Password:quale scegliere

Premessa

• le password dovrebbero servire per proteggere dati
• generalmente le password vengono gestite da un apposito ufficio garante dei dati
• alcune volte è possibile inserire una password a piacere; altre volte il gestore “comanda” di usare un certo numero di regole: es. almeno “un carattere maiuscolo, uno minuscolo, un numero, un carattere speciale” . Col tempo la fantasia si sta scatenando
• alcuni obbligano il cambio di password periodico (anche su tempi brevi) e controllano/vietano l'uso di una precedente vecchia password o l'uso di una nuova password "somigliante" alla precedente 
• alcuni uffici sono molto lenti nel rilasciare password
• altri pensano che meno password ci sono in giro meno pericoli ci sono per i dati
• quasi tutti vogliono proteggere la propria procedura anche se i dati contenuti non sono assolutamente importanti
• i vari browser permettono di memorizzare nome utente e password

Più difficoltà ci sono ad ottenere una password, più la password è complicata, più si arriva all’assurdo:

MOLTI TERMINALI HANNO LA PASSWORD ATTACCATA AL PERSONAL COMPUTER

e viene usata da chiunque ne ha bisogno a proposito ed a sproposito. Come al solito chi vuole troppo proteggere, rischia di mettere in pubblico i dati “riservati”

E:

• Una password può essere di vari livelli: tipica la password di amministratore; password da sistemista;  password da utente; password solo lettura; ecc.

Per le password da utente (e a maggior ragione per password di sola lettura), come ex dirigente informatico, suggerisco:

• una password che l’utente possa scegliere a piacere senza nessun vincolo tranne un numero minimo di caratteri. Niente da dire se poi la password viene giudicata “facile” “media” “difficile” dal gestore per scaricare la propria responsabilità
• una password facile da ricordare piuttosto che essere costretti a scrivere la password a fianco del terminale per ricordarla
• di consigliare (non obbligare) il cambio della password periodico: a questo punto è responsabilità dell’utente cambiare o meno la password in base a quanto vuol tenere riservati i propri dati
• di usare come password 12345678 quando non c’è nessuna preoccupazione a proteggere certi dati
• Di usare altre precauzioni per proteggere dati riservati. Un esempio sono i dati bancari: spesso (oltre alla password) viene inviato un sms (one time password) per confermare l’operazione. In altri casi c’è una seconda password per altre operazioni. Ovviamente il sms è più sicuro della seconda password ma è più lento. Se l’operatività richiede una certa celerità è meglio la seconda password
• Di mandare un sms o una email dopo certe operazioni (vedi banche, dati sanitari, ecc.) come ulteriore protezione dei dati e della privacy
• Di mandare la OTP (One Time Password) sia via sms (sul telefonino) sia tramite email. Questo ci protegge se il telefonino è indisponibile. La email ha il vantaggio di poter essere letta da qualsiasi pc e/o da uno smartphone.

E comunque

• Le password debbono essere rilasciate con molta velocità specie nei casi in cui l’utente / utilizzatore del terminale può variare con una certa frequenza (vedi personale volontario di cui si avvalgono molti enti di beneficenza e/o onlus). Se la struttura in cui si opera è molto grande, bisogna delegare ogni sottostruttura
• Nessuna password dovrebbe permettere di vedere dati di altre persone (vedi dati sanitari) senza il consenso esplicito dell’interessato (salvo casi di emergenza)
• Impedire ai sistemi operativi di memorizzare le password 

Per concludere

• La password che preferisco in assoluto è l’impronta digitale che viene utilizzata su certi smartphone: non ha bisogno di essere variata; è molto veloce; è personale. Non ho idea se ci sono controindicazioni

Bypass di una password importante

• Il giorno 10/08/2020 dovevo far manutenzione ad una mia procedura installata presso una onlus collegata a sua volta con un importante ente
• per accedere alla procedura bisogna usare nome utente e password
• Il gestore obbliga il cambio password ogni 3 mesi per cui la password viene scritta sui terminali: era scritta male ed ho fatto fatica a leggerla. Per tre volte ho tentato: poi il sistema mi ha bloccato.
• A sorpresa mi ha presentato la schermata per cambiare password: mi è sembrata una presa in giro in quanto normalmente per cambiare password bisogna conoscere la vecchia password
• stavo per andarmene quando mi sono accorto che la schermata mi è stata presentata con il nome utente e password pre impostati
• Incredulo ho provato ad inserire una nuova password (senza conoscere la vecchia password). Il sistema ha “ingoiato” tutto e con la nuova password ho lavorato
• Morale: sono entrato nel sistema senza conoscere la password. Fantastico no?