Password: differenze tra le versioni

Una '''password''' (termine [[Lingua inglese|inglese]]) o '''parola d'accesso''' o '''parola d'ordine''' o '''chiave d'accesso'''<ref>Per i sinonimi italiani, si veda: [http://www.treccani.it/vocabolario/password_%28Sinonimi-e-Contrari%29/ Vocabolario Treccani dei sinonimi e dei contrari]</ref> - anche denominata con la [[locuzione]] inglese '''password''' - è, in ambito [[informatica|informatico]] e [[crittografia|crittografico]], una sequenza di [[carattere (informatica)|caratteri]] [[alfanumerico|alfanumerici]] utilizzata per accedere in modo esclusivo a una [[risorsa informatica]] (sportello [[Automated Teller Machine|bancomat]], [[computer|calcolatore]], connessione [[internet|di rete]], casella della [[posta elettronica]], [[Rete informatica|reti]], [[programma (informatica)|programmi]], [[database|basi dati]], ecc.) o per effettuare operazioni di [[crittografia|cifratura]]. Si parla più propriamente di [[passphrase]] se la chiave è costituita da una frase o da una sequenza sufficientemente lunga di caratteri (non meno di 20/30).

Una parola d'accessopassword è solitamente associata a uno specifico ''[[nome utente]]'' (o ''[[identificatore]] utente''), al fine di ottenere un'identificazione univoca da parte del sistema a cui si chiede l'accesso.

La coppia ''nome utente-parola d'accessopassword'' fornisce le ''credenziali di accesso'' a una delle forme più comuni di [[autenticazione]]; tipico il suo uso nelle procedure di [[Login|accesso]] o "''[[login]]''". Dato lo scopo per il quale è utilizzata, la parola d'accessopassword dovrebbe rimanere segreta a coloro i quali non sono autorizzati ad accedere alla risorsa in questione. Non è consigliabile che una parola d'accessopassword sia costituita da una parola di senso compiuto.

Odierni comuni esempi di utilizzo di parole d'accessopassword si hanno nei servizi bancari (i [[personal identification number|PIN]] dei [[Carta di debito|bancomat]] e delle carte di credito non sono altro che parole d'accessopassword numeriche), nell'ambito della [[telefonia mobile]] e in molti altri campi, spesso coperti dal carattere punto(•).

=== Parole d'accessoPassword dinamiche ===

Un livello maggiore di sicurezza può essere raggiunto mediante parole d'accessopassword dinamiche: si tratta di parole d'accessopassword che variano automaticamente dopo un intervallo di tempo prefissato. In tal caso l'[[autenticazione]] al [[sistema (informatica)|sistema]] si ottiene quando la parola d'accessopassword generata automaticamente e quella immessa dall'utente coincidono.

Nella sua forma più semplice tale meccanismo si basa, infatti, su una componente [[hardware]] ed una [[software]]: la parte software, un [[programma (informatica)|programma]] in esecuzione su di un [[server]] o su un altro sistema da proteggere, genera delle parole d'accessopassword dinamiche a intervalli di tempo prefissati secondo un determinato [[algoritmo]]; la parte hardware, un dispositivo (ad esempio una [[smart card]] oppure un ''[[Token (sicurezza)|Token]]'') nel cui [[firmware]] è codificato il medesimo algoritmo, è [[sincronizzazione|sincronizzata]] con il server in modo da generare la medesima parola d'accessopassword nel medesimo intervallo di tempo.

* Nell'impostare una parola d'accesso è sconsigliabile l'uso di parole ovvie (come il proprio nome o cognome o altri [[anagrafe|dati anagrafici]]), di senso compiuto o direttamente associabili all'[[account]] (come il ''nome utente'' stesso) come anche di parole troppo brevi (di solito per le parole d'accessopassword viene stabilito un numero minimo di caratteri dal momento che all'aumentare del numero di caratteri aumenta [[funzione esponenziale|esponenzialmente]] il numero delle [[disposizione|disposizioni]] possibili).

* In generale è preferibile utilizzare una parola d'accessopassword complessa e memorizzarla (o, in subordine, annotarla in un posto sicuro) piuttosto che sceglierne una di facile memorizzazione ma di più facile determinazione.

* È inoltre sconsigliabile utilizzare parole presenti nei dizionari, come anche [[anagramma|anagrammi]] o combinazioni delle stesse (tale tipo di parola d'accessopassword sono quelle più facilmente attaccabili mediante [[metodo forza bruta|attacchi di ''forza bruta'']]), mentre è consigliabile utilizzare [[combinazione|combinazioni]] del maggior numero possibile di "tipi" di caratteri: maiuscoli, minuscoli, numeri e ''caratteri speciali''.<ref>{{Cita web|url = http://www.corriere.it/foto-gallery/tecnologia/cyber-cultura/15_gennaio_21/25-password-usate-123456-qwerty-0368b712-a15c-11e4-8f86-063e3fa7313b.shtml|titolo = Ecco le 25 password più usate|accesso = 2015-10-24|lingua = it|sito = Corriere della Sera}}</ref>

* È inoltre buona norma cambiare le parole d'accessopassword utilizzate dopo un tempo determinato e non utilizzare la stessa parola d'accessopassword per più servizi.

* Si consiglia inoltre di non registrare le proprie parole d'accessopassword sul PC, perché queste potrebbero essere scoperte tramite l'uso di semplici programmi.

* Quando si termina di utilizzare un sito, occorre non limitarsi a chiudere la relativa finestra del ''browser'' (nel computer ''client'') perché la connessione rimane comunque aperta sul ''server'' del sito e un altro utente tramite lo stesso terminale (PC, smartphone. ecc) può entrare facilmente nel nostro ''account'' , digitandone l'indirizzo. Ciò vale soprattutto se ci si collega da un computer pubblico, oppure tramite il cellulare e computer personale ma collegati tramite una rete pubblica wireless non cifrata e non protetta da parola d'accessopassword personale. È invece necessario terminare la connessione, dal percorso ''nomeutente''>esci oppure da ''nomeutente''>disconnetti. Vari siti consentono di vedere le molteplici connessioni rimaste attive nel tempo da terminali fissi o mobili, e che insistono su un unico ''account'', per poi terminarle manualmente una per una: più raramente prevedono una opzione per cui l'ultimo utente che si connette automaticamente disconnette tutti gli altri, oppure una opzione di ''time-out'' che disconnette automaticamente dall<nowiki>'</nowiki>''account'' un terminale dopo alcune ore di inattività.

* tramite un [[keylogger]] installato da terzi sul terminale personale è possibile registrare l'intera navigazione Internet, vale a dire ogni singolo carattere digitato con la tastiera e ogni click del ''mouse'' , abbinadoli ai relativi siti, inclusi utentiuser e parole d'accessopassword di accesso.

* Si sconsiglia l'utilizzo di parole d'accessopassword e l'invio di informazioni sensibili tramite connessioni non crittografate. Un utente malintenzionato può utilizzare strumenti per eseguire diversi attacchi tra cui man-in-the-middle e/o sniffing, ottenendo così l'accesso a tutte le informazioni scambiate. Durante la visualizzazione di una pagina web accertarsi di visualizzare un'icona con lucchetto verde, che significa che la connessione è crittografata.<ref>{{Cita web|url = https://generatorepassword.win|titolo = Generatore di password|accesso = 2018-04-09|lingua = it|sito = Generatore Password|urlarchivio = https://web.archive.org/web/20180614122113/https://generatorepassword.win/|dataarchivio = 14 giugno 2018|urlmorto = sì}}</ref>