Le memoria di massa portatili che si collegano al computer mediante la porta USB sono universalmente note come “chiavette USB” o “penne USB” e rappresentano oramai il modo più pratico e diffuso di scambiare fisicamente file da un computer all’altro. Tramontata l’era degli scomodi e poco efficienti floppy disk prima e CD dopo, il metodo più pratico per portarsi appresso file di ogni tipo e dimensione è rappresentato da una chiavetta di dimensioni talmente piccole da essere oramai tenuta nel portamonete.
La sua praticità è anche il suo tallone d’Achille: esattamente come perdere un PC portatile può rappresentare un grosso pericolo in termini di segretezza. Così una chiavetta, che ha oramai la capacità di un piccolo hard disk, se smarrita può costituire un grosso pericolo per la riservatezza dei dati.
Cifrare i file
Il metodo più pratico per difendersi da questo rischio è cifrare le informazioni contenute nella chiavetta, rendendole leggibili solo a chi dispone della password per la decifratura, chi dovesse così trovare una chiavetta cifrata si troverà in mano un oggetto pieno di documenti (per lui) illeggibili.
Ci sono essenzialmente due metodi pratici per proteggere una chiavetta: si può cifrare tutta (o parzialmente) la chiavetta o si può impostare una password per il singolo file che si vuole proteggere. Il primo metodo è più sicuro, ma il secondo permette un maggior scambio di dati pur tenendo riservate le cose che non si vogliono far vedere a chi usa magari temporaneamente la chiavetta.
Alcuni programmi permettono di proteggere con una password i file da loro creati: è così possibile proteggere file Word, Excel e PDF. Purtroppo è un metodo molto poco sicuro. Esistono vari trucchi per sbloccare file così protetti, e addirittura, con una rapida ricerca su Google, ci sono dei siti che consentono l’upload del file cifrato restituendolo perfettamente sbloccato.
I programmi
Il programma di riferimento utilizzato è VeraCrypt, disponibile per Windows, Mac e Linux ed è gratuito. Il programma consente di creare e formattare un volume criptato, cancellando preventivamente tutto il contenuto della chiavetta o codificare quanto già presente sulla memoria di massa. Questa seconda opzione è più lenta e meno sicura, ma da adottare quando non si ha la possibilità di salvare i file da qualche parte prima di cifrare la chiavetta. Per aprire una chiavetta così codificata bisogna installare VeraCrypt sul PC, e questo è il lato negativo del programma: non si può aprire la chiavetta su pc dove non sono installabili programmi o dove magari manca una connessione per scaricare VeraCrypt.
Rohos Mini Drive invece risolve questo problema in quanto il programma viene eseguito direttamente dalla chiavetta e quindi non c’è bisogno di altro. L’edizione gratuita del programma può creare una partizione nascosta e cifrata grande fino a 8GB, ed usa l’algoritmo di cifratura AES a 256 bit, estremamente sicuro agli attacchi. Grazie al software presente sulla chiavetta rappresenta la soluzione ideale per chi vuole avere una chivetta usabile ovunque e con file sopra sempre al sicuro.
SecurStick è molto simile, crea una “safe zone” sulla chiavetta USB e non richiede installazione sul computer. Basta lanciare il programma, creare una password e verrà realizzata una zona sicura sulla chiavetta. Tutti i file messi dentro questa zona sicura verranno cifrati.
Esiste infine una soluzione meno sicura ma molto pratica, dato che utilizza popolarissimi software praticamente sempre presenti sui computer: i cosiddetti “zippatori”, come Winzip o WinRAR sono programmi che consentono di comprimere file e raggrupparli sotto un unico pacchetto.
Avendo la possibilità di comprimere i file utilizzando una password è facilissimo creare pacchetti di file, o anche di un solo file, attribuendo a questi una password: successivamente non sarà possibile estrarre il file o il pacchetto senza inserire la password. Anche per questi popolari programmi di archiviazione esistono online vari servizi di cracking, i quali si incaricano di analizzare il file provando milioni di combinazioni di password fino a trovare quella giusta. Qui però si rientra in un discorso più ampio sulla gestione delle password, discorso che affrontiamo qui di seguito. Gli zippatori vanno comunque bene per un uso rapido per cifrare in un solo colpo molti file presenti sulla chiavetta.
Password, siti craccatori, password manager: cerchiamo di fare un po’ di chiarezza
Non vogliamo qui aprire una lunga, noiosa e complicata discussione sulle password, come gestirle, come sceglierle e come conservarle, ma è possibile dare qualche rapido consiglio su come organizzare il mondo di codici, password e parole chiave che inevitabilmente tutti siamo tenuti a governare, a partire dal codice bancomat fino ad arrivare ai codici di siti usatissimi come quelli della Pubblica Amministrazione (INPS, Agenzia delle Entrate, ecc.).
Il mondo delle password si divide in due: i codici che ci vengono assegnati da enti terzi (la banca, la carta di credito, il sito dell’INPS appunto, ecc. ecc.) e le password che possiamo scegliere noi per siti ed applicazioni come quelle descritte sopra di cifratura delle chiavette USB.
Per i codici che ci vengono assegnati d’ufficio e che non possiamo cambiare a nostro piacimento c’è poco da fare, vanno memorizzati da qualche parte pena una lunga e fastidiosa operazione di recupero password.
Alcuni siti obbligano l’utente a cambiare codice ogni X giorni e lo obbligano a scegliere combinazioni di numeri e lettere difficilmente memorizzabili, è ancora più necessario trovare quindi un posto dove scrivere i codici.
Come scegliere una password e dove memorizzarla
Così come per il codice del bancomat che va tenuto riservato, la regola è mai scrivere qualsiasi codice “in chiaro” (cioè visibile a tutti) da qualche parte, meno che mai sui dispositivi che ci portiamo appresso (o sul bancomat stesso). Un modo sicuro per memorizzare questi codici è scriverli su una agendina o sul telefonino, cambiando però qualche dato. Ad esempio se bisogna memorizzare il codice numerico del bancomat basta scriverlo scambiando di posto alcuni numeri, sempre gli stessi. Oppure aggiungendo una cifra mnemonica facile da ricordare, come il proprio numero civico. In questo modo non sarà necessario ricordare il codice originale per intero, ma solo come è stato creato: ad esempio basta ricordarsi che il codice del bancomat è quello scritto sulla agenda del telefonino ma al quale va sottratto il proprio numero civico, che in questo caso rappresenta la “chiave” di cifratura.
E’ una maniera semplice e rapida di gestire il mare di password che abbiamo tutti, basta inventarsi un “algoritmo” mentale da applicare al codice da memorizzare e scrivere in chiaro la password alterata. Non è un sistema sicurissimo ma lo è abbastanza per dare tempo all’utilizzatore di cambiare codice (bancomat o altro) nel caso il telefono o l’agendina finiscano sotto l’occhio di qualche estraneo.
Per le password scelte dall’utente, anche quelle usate dai programmi di cui sopra, la regola base è: mai usare password facili. I vari programmi di cracking online (o craccatori) fidano proprio sulla semplicità della password scelta per provare milioni di password attingendo da un dizionario o da una database di parole. Più complicata e lunga è la password scelta, più impiegherà il programma a forzare la password, spesso utilizzando tempi così lunghi da rendere non conveniente la ricerca della password stessa. Per questo vengono chieste combinazioni che utilizzino segni di interpunzione, maiuscole e minuscole insieme a caratteri alfabetici. Un buon sistema può essere quello di scegliere password utilizzando lingue straniere (non l’inglese) o inventarsi di sana pianta parole che non esistono o scrivere una frase senza senso che non può essere presente in un database di letteratura al quale attinge il programma craccatore. Quindi la sicurezza o meno di una chiavetta sulla quale sono stati salvati i dati dipende molto dalla cura con la quale è stata scelta la password di cifratura.
Una volta scelta la password, magari avendola inventata, si ritorna però nel problema di cui sopra, come e dove custodirla?
Si può usare il metodo di creare un algoritmo mentale per scriverla in chiaro avendola preventivamente codificata, oppure se ne può scrivere sull’agenda solo una parte, obbligandosi a ricordare il resto.
Le app per memorizzare le password
Esiste infine un metodo sicuro per gestire tutti i propri codici: utilizzare un password manager, cioè una app che permetta di organizzare tutte le password. Sono app che si presentano come delle agendine, con il nome del sito o del servizio e accanto scritta in chiaro la relativa password di accesso. Questa app contiene tutte le password utilizzate e naturalmente per essere usata a sua volta avrà bisogno di una password: il vantaggio in questo caso è che bisogna ricordarsi una sola password per vedere tutte le altre.
I dati contenuti dal password manager sono sempre scritti in forma cifrata, così se anche viene rubato il telefono o la app con tutti i dati finisce in mani indesiderate, senza password è impossibile aprire il cofanetto dei codici. Spesso queste app hanno un sistema di backup su cloud naturalmente cifrato, in caso di cambio di telefono o di perdita dello stesso il file dei dati verrà automaticamente ripristinato dalla cloud (solitamente una di quelle gratuite di Microsoft o Google).
Il password manager può essere usato anche per scrivere i numeri della carta di credito o dei documenti personali, la combinazione del garage o qualsiasi cosa si voglia tenere riservata: è quindi una alternativa alla chiavetta cifrata ed è una alternativa molto sicura a patto di aver scelto bene (vedi sopra) la password del programma.
Password Saver per Android è una semplice app molto sicura che memorizza qualsiasi tipo di codice ed effettua un eventuale backup dei dati su cloud. Molto semplice da usare non ha però una interfaccia web e quindi risulta un po’ scomodo come primo uso, ma è leggero e non richiede connessioni se non per il backup e il ripristino ed è gratis.
LastPass è forse il gestore di password più famoso, si integra coi browser usati per navigare su internet, è compatibile per Android, iOS e Windows Phone e consente l’inserimento da interfaccia web. Ha una versione base gratis, ma quella a pagamento consente il backup su cloud e sistemi di autenticazione evoluta come le impronte digitali da apposito lettore sul pc.