C’è una differenza enorme tra una regola che non rispetti e una regola che non puoi rispettare. «Una password diversa per ogni sito» è la seconda.
Di tutto il catechismo che abbiamo imparato — la maiuscola, il numero, il simbolo, il cambio periodico obbligatorio — il NIST ha buttato quasi tutto a mare nel SP 800-63B. La lunghezza è passata a contare più della contorsione. La rotazione forzata è sparita, salvo indizi di compromissione. E la pretesa dei simboli è stata sostituita da qualcosa di molto più sensato: verificare la password contro le liste di quelle già trapelate.
È sopravvissuta una regola sola. Quella di non ripetersi. Ed è proprio quella a cui abbiamo dato meno retta, perché per rispettarla serviva qualcosa che nessun cartello appeso in intranet nominava mai.
Perché la tua memoria non ce la fa
Pensa a quanti account hai. Non quelli che usi: quelli che hai. La banca, la posta, l’altra posta, il negozio dove hai comprato un paio di scarpe nel 2019, il forum, la compagnia aerea, l’app dei parcheggi, il portale dell’amministratore di condominio, il sito della pubblica amministrazione che ti ha costretto a registrarti per una pratica da cinque minuti.
Adesso immagina di memorizzare una stringa lunga, casuale e diversa per ognuno. Non è che sia difficile. È che non è un obiettivo raggiungibile da un cervello umano, e sostenere il contrario per anni è stata una delle crudeltà minori della sicurezza informatica.
Così abbiamo fatto l’unica cosa che si poteva fare: una password buona e le sue
variazioni. Carciofo2019! per la banca e Carciofo2019? per il forum. Oppure
direttamente la stessa dappertutto, con un asterisco mentale del tipo «vabbè, in
banca ne ho un’altra».
Ed è lì il problema, perché l’attacco vero non consiste nell’indovinare la tua password. Consiste nel provare quella che ti hanno già rubato altrove. Il forum del 2019 subisce una fuga di dati — i forum del 2019 subiscono fughe di dati —, qualcuno prende quella lista di indirizzi e password e la prova, in automatico, contro tutti i servizi che gli vengono in mente. Non serve sfondare niente. La chiave gliel’hai già data tu; sta solo provando le porte. Questo è il credential stuffing, e funziona esattamente perché l’unica regola che contava era quella che nessuno poteva rispettare.
Un gestore non è comodità
Qui di solito il gestore di password viene venduto come un lusso: che comodo, compila da solo, non devi digitare niente. È vero, ed è la cosa meno importante.
Un gestore non ti fa risparmiare lavoro: ti rende possibile una regola che senza di lui è irraggiungibile. È la differenza tra chiederti di correre cento chilometri e darti una bicicletta. Il numero non cambia; cambia se puoi farcela.
Con uno davanti, tutto il resto del SP 800-63B si risolve da sé. Lunghe più che complesse? Il gestore le genera della lunghezza che vuoi, tanto non le devi digitare. Diverse per ogni sito? Banale, per definizione. Niente rotazione forzata? Perfetto: cambi solo quella che è trapelata, e molti gestori ti avvisano quando succede. L’unica che devi ancora memorizzare è la master, e quella sì merita di essere generata con cura — quattro o cinque parole a caso nel generatore e poi una verifica di quanto regge nel controllo.
L’obiezione onesta
«Mettere tutte le uova nello stesso paniere.» L’ho sentita mille volte e non è una sciocchezza. Se qualcuno entra nel tuo gestore, entra in tutto. È un singolo punto di rottura, e chi ti dice il contrario ti sta vendendo qualcosa.
Anche la risposta deve essere onesta: sì, è un paniere unico, ma l’alternativa non è avere le uova distribuite. È averle per terra. Senza gestore non finisci con ottanta password indipendenti; finisci con la stessa password su ottanta siti, che è lo stesso paniere ma senza chiusura, senza cifratura e replicato su ottanta server altrui la cui sicurezza ti è del tutto ignota.
Guarda il modello di minaccia reale. Che qualcuno sfondi la cassaforte cifrata di un gestore serio richiede o un difetto grave del prodotto, o la tua password master. Che qualcuno provi sulla tua posta la password che hai usato in un negozio online non richiede assolutamente niente: è uno script e una lista. Stai mettendo a confronto un attacco che ha bisogno di molto con uno che sta già avvenendo, di continuo, con il pilota automatico inserito.
Quello che invece è una precauzione ragionevole: una master lunga e unica, il secondo fattore attivo sul gestore, e la consapevolezza che ormai la master è il tuo punto critico. Trattala come tale.
Quale, e perché non c’è una risposta sola
Qui tocca dire una cosa scomoda per un sito che ha link di affiliazione: il miglior gestore è quello che userai davvero, e ce n’è più di uno buono.
Bitwarden è software libero, ha un piano gratuito che copre quello che serve a quasi tutti e, se ti va, puoi ospitartelo da solo. Che il suo codice sia verificabile non è marketing: significa che non dipendi dalla parola di nessuno.
KeePass — e i suoi derivati — tiene tutto in un file locale. Niente cloud, niente account, niente fornitore. Se la tua preoccupazione è «non voglio che le mie password stiano sul server di qualcun altro», quella preoccupazione è letteralmente risolta. In cambio, la sincronizzazione tra i tuoi dispositivi è affare tuo.
1Password è a pagamento ed è quello a cui rimandiamo da qui — affiliazione, che sia messo agli atti. Quello che fa bene è la parte che di solito decide se un gestore sopravvive in una casa: che le persone non tecniche lo capiscano, lo condividano con il partner e non lo abbandonino dopo una settimana. Non è più sicuro di Bitwarden perché si paga. È, per molta gente, più difficile da abbandonare.
E il gestore del tuo browser. Gratis, ce l’hai già installato, ti propone già di salvare. Sta sotto ai precedenti in controllo, in portabilità e nella condivisione, e ti lega a un ecosistema. Non importa: usare quello del browser è incomparabilmente meglio che non usarne nessuno, perché risolve il problema grosso. Chiunque ti dica il contrario sta mettendo la purezza davanti al rischio reale.
La frase che riassume tutto
Per anni ci hanno detto come doveva essere ogni password e quasi mai ci hanno detto come avremmo fatto a ricordarcele tutte. Era il passaggio che mancava, e senza di quello l’unica regola sopravvissuta non era una regola: era un rimprovero.
Scegline uno. Uno qualsiasi. Il dibattito su quale sia marginale rispetto alla distanza che c’è tra avere un gestore e non averlo.
Fonti: NIST SP 800-63B, «Digital Identity Guidelines: Authentication and Lifecycle Management» (lunghezza sopra la complessità, niente rotazione forzata salvo indizi di compromissione, confronto con liste di password compromesse) · documentazione e modelli di sicurezza pubblicati da Bitwarden, KeePass e 1Password.