Lo spettro delle passkey incombe sulle password, i big della tecnologia stanno per avvicendare i due sistemi di accesso e in qualche caso peraltro hanno già provveduto, vedi Google, ieri, anche in Italia. Malgrado però le passkey iniziano a muovere i loro primi passi, con le password dovremo convivere ancora a lungo, immaginare che tutti gli innumerevoli servizi che utilizziamo da anni abbandonino a breve le chiavi alfanumeriche, talvolta complesse per complicare la vita ai malintenzionati (e alla nostra memoria), è utopia.

Per cui la Giornata Mondiale della Password o World Password Day ancora è più che attuale, e oggi, primo giovedì di maggio, come ogni anno si celebra la ricorrenza del 2023 nel tentativo di sensibilizzare gli utenti a usare password efficaci per tenere al sicuro i propri dati, e di dati online ormai ne abbiamo parecchi.

La password più utilizzata al mondo nel 2022 secondo l'ultima ricerca di Nordpass è stata... Password, in Italia ha vinto123456. Al di là del fatto che ormai quasi tutte le piattaforme, di certo le più famose, richiedono password alfanumeriche, spesso con l'inserimento di uno o più caratteri speciali, se l'account è stato creato dieci o venti anni fa inserire delle password banali era ancora permesso.

Qualora aveste un account "protetto" con una password inconsistente, vi invitiamo a spazzar via per un attimo tutto il superfluo dal tavolo e riflettere su un aspetto fondamentale, cioè la ragione per esistono le password. Nascono per proteggere i servizi a cui siamo iscritti/abbonati, quindi i nostri dati personali e spesso e volentieri anche i nostri metodi di pagamento. È questo il principale nonché l'unico scopo delle password.

Una password quindi deve essere anzitutto sicura, la semplicità di tenerla a mente viene poi, non può e non deve essere il motivo per cui scegliamo una combinazione di lettere o di numeri piuttosto che un'altra. E va evitato di costruire una password con delle informazioni personali, chi ci conosce un minimo di fatto avrebbe degli indizi per un tentativo di successo:

• niente date o luoghi di nascita
• 8 caratteri alfanumerici più, se possibile, speciali; meglio 10 o più caratteri se il servizio lo consente
• evitare parole o frasi comuni, come citazioni famose
• meglio non scrivere le password
• se proprio la si deve condividere temporaneamente, meglio cambiarla con una provvisoria; non perché l'amico o il parente debba necessariamente farsi i fatti nostri, ma perché potrebbe trattarla in modo improprio.

Alle brutte, meglio investire pochi euro su un antifurto

La password quindi deve essere complessa, senza basi "reali" come informazioni reperibili facilmente da chiunque. Nonostante questo può comunque essere relativamente semplice da ricordare, basta legarla a un ricordo o qualcosa di simile. E alle brutte si può utilizzare uno dei tanti password manager o gestori di password disponibili sul mercato, da quelli gratuiti che sono integrati ad esempio nei sistemi operativi (non il massimo, ma meglio che niente) a quelli a pagamento: investire del denaro (poco, in genere) sulla propria sicurezza (perché la sicurezza, nel mondo attuale, è anche digitale) non è mai sbagliato.

Del resto il principio è simile a quello che ci spinge ad acquistare una catena robusta per la bici o lo scooter o un buon antifurto meccanico per parcheggiare l'auto e andar via tranquilli: anche se non esiste antifurto che non possa essere violato, la discriminante è il tempo. Tra due bici, scooter, auto o chicchessia equivalenti, i ladri sceglieranno sempre quello più semplice e veloce da portar via.

Lo stesso concetto si può applicare alle password. A meno che l'hacker non voglia "bucare" proprio la vostra identità digitale, preferirà sempre partire dalle password semplici e banali, come Password o 123456 e vedere cosa raccoglie.

Altra raccomandazione da ribadire in occasione del World Password Day, fondamentale, semplice, a volte trita e ritrita ma comunque troppo spesso snobbata, è quella di differenziare le password: mai utilizzare la stessa per più di un account, anche se la si sceglie lunga, con caratteri speciali, numeri e più di una maiuscola. Chi utilizzerebbe del resto la medesima chiave per aprire più di un appartamento? Il concetto è lo stesso, perché dovrebbe esser buono per il mondo del "tangibile" e non per quello digitale? Se la si smarrisse, si rischierebbero dati e/o metodi di pagamento di diversi account.

Una similitudine alla portata di chiunque quella con la chiave di una porta, e allora perché tantissima gente utilizza la stessa password, magari anche complessa, per due, tre, dieci o cento account? Perché così bisogna ricordarne una sola. Comprensibile, certo, ma molto poco sicuro. La soluzione ancora una volta è quella di affidarsi a un gestore di password, che custodisca per noi in sicurezza tutte le password che ci consentono di aprire questa, quella e quell'altra porta digitale.

In tempi relativamente recenti, un po' tutte le piattaforme più grandi hanno implementato l'autenticazione a due fattori o two factor authentication (2FA). Come suggerisce il nome, consiste in una doppia verifica: la prima, classica, è la password, il secondo check è un SMS, una notifica, una mail o una chiamata sullo smartphone, che si suppone tra le mani del proprietario dell'account. Non azzera le possibilità di frodi, furti e quant'altro, ma introducendo una seconda variabile, quella legata allo smartphone, dimezza il rischio. E nel caso in cui il tentativo non lo avessimo fatto noi, ci consente di sapere se siamo finiti nel mirino di qualcuno.

Va da sé che è importante attivare l'autenticazione a due fattori su ogni servizio o piattaforma che la offre. Del resto la complicazione al login è trascurabile, il tempo per effettuare l'accesso si dilata di un nulla: basta inserire la password, attendere il codice inviato sullo smartphone o per posta e inserirlo nella pagina di accesso. Un piccolo passaggio in più per dare una sforbiciata alla possibilità di essere frodati.