Home > Computer - Informatica > Hacking Sicurezza Informatica > Scegliere password sicure, guida in italiano

Scegliere password sicure, guida in italiano

Computer - Informatica, Hacking Sicurezza Informatica Nessun commento

guida alla password sicura

Guida in italiano su come utilizzare password sicure

Microsoft, Amazon, il nostro Wi-Fi, la nostra posta elettronica, la banca online, e tante, tante altre decine di accessi protetti da password che ci assicurano la sicurezza online. Ormai è molto importante imparare a non dare per scontata quella chiave d’accesso ai nostri dati, che va sotto il nome di password.

Come creare codici sicuri? In rete circolano le solite vecchie regole: mischiare lettere, numeri, simboli. Obbligatoriamente sempre più di 8 caratteri, non utilizzare mai la stessa parola per più di un account e altri consigli più o meno simili. Ma la tecnologia avanza e anche, soprattutto, gli hacker in rete. Come possiamo assicurarci di non fare errori nella composizioni delle nostre password?

L’anello debole della catena è sempre l’utente

Quando si tratta di scegliere i caratteri e numeri per difendere la nostra vita privata, le nostre attività professionali e molto altro, siamo decisamente troppo “leggeri” nei comportamenti.

Nel 2017 la password più utilizzata al mondo è stata 123456. Utilizzare password fragili e riutilizzarle su più siti è il primo passo per essere “bucati”.

I danni causati dalle arci-note regole per le password sicure sono invece un disastro. La vecchia regola di scegliere un simbolo, un numero, una maiuscola e non utilizzare parole comuni sono ormai superate e pericolose.

In realtà password che riteniamo complesse, possono essere scoperte in poco tempo, senza alcun attacco informatico sofisticato. Una password efficace dev’essere la più lunga possibile ma, soprattutto, dev’essere facile da memorizzare per l’utente.

Una password lunga è fondamentale

Edward Snowden ex consulente dell’NSA  ha dichiarato che è molto più robusta una password molto lunga (anche se segue un concetto logico) di una sequenza di lettere e numeri più corta e magari impossibile da ricordare. Questo consiglio è stato poi criticato, ma il principio rimane valido. Puntare sulla lunghezza è in cima alle linee guida: non dobbiamo avere paura di superare i 30 caratteri tipo: nonmihaichiamatolucillaieri4234, i criminali informatici procedono informaticamente per tentativi: più lunga sarà la sequenza, più sarà difficile indovinarla (non importa se ha una sequenza logica).

Certo, è necessario evitare qualcosa che possa essere collegato alla nostra vita privata. Vietate password con la nostra email, nome e cognome, numero di telefono, via di residenza, nomi di figli o date di nascita.

La scelta migliore è puntare su associazioni logiche create solo nella nostra mente. Poichè gli attaccanti, però, utilizzano in automatico vocabolari correnti (ad esempio i 300 mila lemmi della lingua italiana) un ottimo trucco è quello di inserire qualche errore grammaticale, tipo, tornando alla password di prima: nonmiaichiamadolucillaierri4234. Una frase del genere renderà impossibile o solo con risorse enormi il tentativo di indovinarla.

Cambiare spesso la password non serve

La nuova regola degli esperti è di cambiare una lunga password valida solo se è stato violato un sito al quale siamo registrati. Purtroppo capita, spesso ormai, che vengano violati i database conservati sui server esterni.

Il problema è che però spesso le aziende nascondono i furti di dati, credendo così di evitare danni alla reputazione. Yahoo! ammise solo dopo due anni di aver avuto un attacco informatico con milioni di password rubate.

Tra le regole più importanti occorre sempre seguire quella di non utilizzare mai lo stesso codice per più servizi. Il sito Have I been Pwned?, consente di verificare l’email e visualizzare se è stata compromessa: nel caso di segnalazione positiva è importante cambiare la password d’accesso.

Utilizzare emoji per potenziare una password

Con un Mac si raggiungono premendo insieme i tasti control + command + spazio, con Windows 10 è necessario abilitare la tastiera virtuale (clic con il tasto destro del mouse sulla barra delle applicazioni e infine scegliere mostra pulsante tastiera virtuale). Occorre però ricordare che i vecchi servizi non consentono di utilizzarle.

Meglio non usare le login automatiche dei vari social

Il grave problema di Cambridge Analytica ci insegna e sconsiglia di registrarci utilizzando login con Facebook, LinkedIn, Google e altri siti simili. Certo, è molto comodo dover evitare di scegliere password sempre nuove, ma con questo metodo concederete molte informazioni in più.

Altra cosa importante: queste autenticazioni automatiche dei social si basano su un protocollo molto sicuro e crittografato, ad esempio lo OAuth 2.0,  ma se un giorno verrà scoperta dagli hacker una vulnerabilità strutturale, di colpo milioni e milioni di password saranno allo scoperto.

Abilitare la doppia autenticazione quando possibile

La doppia autenticazione sta diventando sempre più utilizzata perché aggiunge maggiore sicurezza. Con Google e Facebook non è più necessario inserire una sequenza di sei numeri: quando proveremo a entrare, sul telefono arriverà la domanda «qualcuno sta tentando di accedere» voi dovrete solo confermare l’accesso.

Il vostro account sarà collegato ad un database registrato che ricorderà il tipo di smartphone e la vostra area geografica.

Non perdetevi anche la nostra intervista ad un Hacker dove descrive come avvengono per davvero i furti di dati online.

L’invio del codice tramite sms è invece un pericolo. Ormai è semplice intercettare il contenuto di un messaggio di testo sfruttando una vulnerabilità del protocollo di comunicazioni chiamato SS7. Una falla conosciuta sin dal 2014 e quasi impossibile da correggere per gli operatori.

Un problema potrebbe capitare smarrendo il nostro telefono. Per precauzione, potremmo stampare (nascondendolo in un posto sicuro) i codici di ripristino, presenti nelle opzioni di sicurezza dell’account Google.

Questi numeri particolari sono otto, potrete utilizzarli solo una sola volta e anche essere revocati. Consentono di accedere a Big G e, da Gmail, sarà poi possibile ripristinare gli accessi agli altri siti.

Leggi anche: scoprire una password tempo richiesto

I software di archivio delle vostre password

LastPass e Keepass: sono delle vere e proprie casseforti che raccolgono tutte le password e le rendono accessibili da qualunque dispositivo. Una password principale, dovrete sceglierla complicatissima, blinderà tutte le altre password.

LastPass è online, mentre Keepass è open-source (cosa significa Open-Source) e quest’ultimo si scarica sul proprio Pc.

Gli esperti di sicurezza non sono tutti convinti sull’utilizzo di questi software di archiviazione crittografati. Alcuni dicono che è pericoloso concentrare in un unico luogo tutte le password: se gli hacker dovessero riuscire ad entrare avranno poi accesso, in un colpo solo, a tutte le password.

Altri esperti invece li consigliano poiché questi servizi consentono di memorizzare password molto complicate che non dovremo ricordare a memoria. Oltretutto questi software evitano il salvataggio delle informazioni sui browser (pratica sconsigliata).

Il pericolo delle Wi-Fi pubbliche e sconosciute

Evitiamo di entrare nei nostri siti più importanti mentre siamo connessi ad una rete WiFi pubblica, gli utenti più smaliziati possono utilizzare un servizio VPN (cosa significa VPN) che “blinda” il nostro traffico mentre siamo connessi al Wi-Fi pubblico. In un nostro articolo avevamo parlato di come trovare la password in una rete Wi-Fi.

Leggi anche: uso sicuro di un Wi-Fi pubblico

Una cosa molto importante, per la sicurezza dei nostri account, è sempre importante fare “logout” quando terminiamo di utilizzare i servizi. Anche se, molte piattaforme hanno ormai una opzione per terminare le sessioni aperte in caso di inutilizzo per alcuni minuti.

Leggi anche: come accedere a Windows 10 senza conoscere la password

Tags:, ,

Altri articoli sull'argomento

Lascia un commento e ti risponderò!

Il tuo indirizzo email non sarà pubblicato.