Il nostro Garante per la Protezione dei Dati Personali ha recentemente pubblicato un vademecum con alcuni suggerimenti per creare e utilizzare password a “prova di privacy”.
Ecco, in sintesi, quali sono le regole indicate dal Garante per una corretta gestione delle password.
In primo luogo, una buona password dovrebbe avere le seguenti caratteristiche:
• deve essere abbastanza lunga: almeno 8 caratteri ma, secondo il Garante, meglio stare sui 15 caratteri;
• deve contenere almeno 4 diverse tipologie di caratteri, da scegliere tra i) lettere maiuscole; ii) lettere minuscole; iii) numeri; iv) caratteri speciali (punti, trattino, underscore, etc.);
• non deve contenere riferimenti personali facili da indovinare (nome, cognome, data di nascita, ecc.), nè contenere riferimenti al nome utente;
• evitare che contenga parole “da dizionario”, cioè parole intere di uso comune, sostituendole con parole di fantasia o parole “camuffate” che rendano i termini meno comuni, interrompendole preferibilmente con caratteri speciali (ad esempio: non caffè ma caf-f3);
• essere periodicamente cambiata, soprattutto per i profili più importanti o che si usano più spesso.
In secondo luogo, per la loro gestione il Garante suggerisce queste accortezze: .
• utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura, ecc.), in modo che, in caso di furto, si eviti il rischio che anche gli altri profili siano vulnerabili;
• non utilizzare termini già utilizzati in passato;
• modificare sempre le password temporanee;
• non scrivere mai le password su biglietti/post-it conservati in posti accessibili a terzi o in file
non protetti sui dispositivi personali (pc, smartphone, tablet, etc.);
• utilizzare, se disponibili, meccanismi di autenticazione multi fattore, quali i codici OTP;
• non condividerle via e-mail, sms, social network, instant messaging, etc. (N.d.r: molto meglio sarebbe stato dire, senza ambiguità, non condividere affatto e per nessuna ragione la password!)
• evitare di memorizzarle su pc, smartphone e altri dispositivi appartenenti a terzi.
Infine, il Garante suggerisce di valutare anche l’utilizzo dei gestori di password, cioè quei software specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro, accessibile con un unica password.
In conclusione, pur comprendendo che il vademecum del Garante sia essenzialmente rivolto al cosiddetto “uomo comune”, trovo il documento della nostra Autorità piuttosto deludente: non vengono, ad esempio, neppure citate le passphrase, né si dà alcuna indicazione su quali caratteristiche dovrebbe avere un gestore password affidabile.
Nel tentativo di offrire un documento di facile comprensione, si è finito per cadere nell’eccessiva semplificazione.