Business

Come gestire tutte le password

17 Giugno 2013

Grandi soddisfazioni dal nostro ultimo sondaggio settimanale.
Abbiamo chiesto ai nostri clienti, fornitori di servizi IT, di dirci come fanno a ricordare le password.

Se pensate che la metà delle persone utilizzi il nome dell'amico a quattro zampe o che annoti le password su un post-it attaccato al monitor, rimarrete sorpresi.
Pare infatti che la stragrande maggioranza dei nostri clienti (94%) gestisca coscientemente le password:

  • il 70% ha risposto che utilizza un programma per la gestione delle password;
  • il 18% le tiene in un file Excel non protetto;
  • il 6% utilizza un file Excel protetto.

Proteggere un file Excel vuole dire fare sì che per aprirlo si debba inserire una password; è una scelta più sicura del file non protetto ma non so di quanto, visto il numero di utility reperibili in rete che consentono di accedere a file Excel di cui… si è dimenticata la password.

Comunque, protetti o no, anche i file Excel rappresentano una sorta di gestione industriale delle password.
E questo è molto incoraggiante, soprattutto per i clienti dei nostri rivenditori.


Come ricordi le tue password

In effetti si dice che il numero di password che un sistemista deve gestire quotidianamente oscilli tra le sette e la trentina. Sarebbe impensabile ricordarle tutte.

Il dramma è che spesso la soluzione al problema di ricordarle tutte è usare la stessa password per tutti i sistemi.
Oppure la stessa password di base con alcune modifiche che dipendono dal cliente: ad esempio xyzwRO per il server del cliente Rossi, xyzwBI per quello di Bianchi e così via.
Come ho detto, un autentico dramma.

L’utilizzo di un programma per la gestione delle password denota invece un approccio maturo e responsabile alla gestione delle chiavi di accesso ai sistemi propri e dei propri clienti.
Le applicazioni per gestire le password sono numerose e ne cito solo alcune: Keepass, HandyPassword, PassPack fino ad arrivare a AuthAnvil, una vera e propria soluzione di secure password management.

Approccio maturo e responsabile dicevamo, ma non per questo scevro di criticità

  1. Il problema che emerge più di frequente è come ricordare la password per accedere al programma che salva le password.

Deve essere ovviamente abbastanza complessa da non poter essere indovinata, ma non troppo altrimenti non sarebbe possibile ricordarla.
Diciamo che JMxdre6mkpodtr567JPIOxdrtjn8GHYUGTgbre è meglio di EiFuSiccomeImmobileDatoIlMortalSospiro ma decisamente più impegnativa da ricordare.
(Per tutti i trucchi per creare password complesse e impararle a memoria, rimando al post di giovedì prossimo)

  1. Il secondo punto critico verte su dove tenere questa applicazione.

Se gira sul PC in ufficio come accedervi quando siamo in giro? Se è installata sullo smartphone ho maggiore probabilità di perdere dispositivo e password. Potrei tenerla in the cloud ma tra Echelon e Prism non si può stare tranquilli un attimo. Senza contare che il cloud in questo caso risolve solo parzialmente il problema della disponibilità, perché ci sono sistemi che non sono collegati a Internet.

Entrambi sono problemi sormontabili, ma vale la pena di pensarci prima.

E tu, come ricordi le tue password?

Autore
Andrea Veca
Sono nato nel 1967 a Milano dove ho frequentato con successo le elementari di via Stoppani. Qualche anno dopo, nel 1992, mi sono laureato in ingegneria elettronica, al Politecnico di Milano. Nel frattempo ho conseguito un master presso il centro Cefriel nell'area Network Systems; spiegare agli stranieri come il diploma di master sia arrivato prima della laurea è sempre motivo di grande divertimento. In attesa di servire lo Stato ho trascorso qualche mese a Vienna, lavorando per la società di consulenza Austroconsult (che bella Vienna, chi vi dice che è una città morta non ci è mai stato). Alla fine lo Stato l'ho servito e sono stato ufficiale di complemento in Marina: un anno a Roma a occuparmi di sicurezza dell'informazione, anzi di come sfondare l'altrui sicurezza dell'informazione (che bella Roma, chi vi dice che non è la città più bella del mondo non ci è mai stato). Congedatomi nel 1994 ho costituito Achab il 19 luglio insieme ad alcuni amici. Visione chiara, richiamo della missione, do or die, opportunità da non perdere? Macché: puro caso e poche idee (confuse). Verso la fine del 1998 padroneggiavo il concetto di fattura quando è cominciato il delirio dot com che ci ha fatto trascorrere due o tre anni pieni di follia e divertimento. Due tentativi di acquisizione, la possibile entrata nel capitale di una merchant bank (qualche giorno prima dell'undici settembre abbiamo pensato che non fosse il caso di concludere: è andata bene a entrambi) e una pletora di progetti assurdi in cui si lanciava con grande spregio dei fondamentali. Nel 2003 ci si è dati tutti una calmata. Nel 2007 ho costituito una nuova società, CiDica, destinata a rivoluzionare il modo in cui si erogavano i servizi IT. Ero fermamente determinato a non ripetere gli errori commessi ai tempi della nascita di Achab. E ho mantenuto questa promessa; in compenso ne ho fatto una valanga di altri per cui, visti i cieli plumbei del 2008, ho pensato di liquidare il tutto prima che qualcuno si facesse male. Oggi continuo a lavorare in Achab con grande soddisfazione. Lavoro attivamente a RadioAchab, il podcast per chi si occupa di IT. Appena posso vado a parlare da chi ha voglia di ascoltarmi. Se ti serve un keynote speaker, fammi un fischio. Mi trovi su LinkedInFacebook e Twitter. 31/1/2020: a Pontedera per festeggiare i quarant'anni di PC System Andrea Veca keynote speaker per i 40 anni di PC System 30/1/2020: a Cesenatico a parlare di Comanaged IT a #TCON2020, organizzata da T-Consulting Andrea Veca keynote speaker a TCon2020 organizzata da T-Consulting
Commenti (3)

Fino ad ora il metodo più efficacie che ho visto usare (e che adotto e consiglio di adottare) è quello dell’algoritmo, ovvero costruire di volta in volta la password basandola su una regola logico/matematica. La nostra mente è molto più a suo agio nel ricordare un "ragionamento" rispetto ad una sequenza alfanumerica.
Ovviamente è bene usare algoritmi diversi per situazioni diverse, un conto solo per password personali, un altro quelle relative alle utenze ed ai servizi aziendali che devo anche sottostare ad una policy di rinnovo periodico della password.

Rocco Sicilia,

Io mi affido alla mia cara agenda Moleskine, usando password alquanto robuste 😉

Apepoker,

Ricordo il caso di un cliente, che memorizzava le password in un programma di gestione delle password a sua volta protetto da una password robusta. Un bel giorno però si è dimenticato la password di accesso al programma. Del resto tutto ha i suoi pro e contro, il post-it direi solo contro.

Emilio Polenghi,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.