Protezione password – creazione e gestione sicura

Protezione password: come posso fare?

Se hai già letto il nostro primo articolo introduttivo sulla cyber security, o se ti occupi di sicurezza informatica, hai una idea di cosa sia una vulnerabilità informatica. Per quanto si adottino antivirus e firewall etc., la vulnerabilità numero uno siamo noi con le nostre abitudini, in particolare nella protezione password.

Cos’è una password e come posso proteggerla

Hai un account su Amazon? Sei iscritto a Facebook? Ad Instagram? Giochi online con Playstation, XBOX o Steam network? Hai una email con Gmail o Hotmail? Se hai risposto si ad almeno una delle domande vuol dire che hai almeno una password da gestire.

Le credenziali per accedere ad un servizio online sono generalmente di tipo username e password: la prima è una serie di caratteri e numeri che ci identifica all’interno di un servizio online; la seconda invece è una serie di caratteri, numeri e simboli (di punteggiatura ad esempio) che ci autentica ed autorizza ad accedere alle informazioni di un servizio online.

1. password “forte”

Fin dalla sua nascita la password deve avere in se i principali accorgimenti che la rendano sicura. Tra i criteri più semplici è quello di evitare il nostro nome e cognome, o del nostro cane o comunque una parola che possa essere facilmente indovinata da malintenzionati: come password per il vostro home banking utilizzereste la password 1234?

Più è lunga e complessa la nostra password e con più è considerata forte e sicura, più avanti ti spiego come creare una password “forte” e sicura.

2. trasmessa attraverso un canale sicuro

Quando fornisco le mie credenziali di accesso ad un servizio online, devo essere sicuro che il sito al quale le sto inviando sia quello corretto: l’indirizzo di navigazione del sito a cui mi sono collegato è corretto?

Devo inoltre sincerarmi che la connessione tra me ed il sito sia cifrata: in questo modo la comunicazione tra me ed il server, se intercettata, risulterà incomprensibile.

Se ho anche il minimo dubbio di essere collegato ad un sito truffa oppure di non essere connesso tramite un canale sicuro, devo chiudere la finestra di navigazione senza inviare alcuna informazione.

Principali attacchi alla protezione delle password

Di seguito riporto alcune delle tipologie di attacco alle nostre password

Durante la digitazione

Attacco tanto banale quanto mai efficace: guardando la digitazione sulla tastiera e guardando l’inserimento a monitor è facile capire le nostre credenziali. Con questo sistema chiunque, sconosciuto o anche un conoscente, può sapere a quale sito collegarsi, quale nome utente inserire e password… a colpo praticamente sicuro.

Fate sempre molta attenzione quando inserire le vostre password al PC se qualcuno, chiunque esso sia, vi sta alle spalle. Stesso dicasi al cellulare.

A dizionario

Questo tipo di attacco può essere eseguito tentando di accedere ad un servizio online oppure sfruttando un database di password.

In entrambi i casi viene utilizzato un elenco di password presenti in un dizionario, queste sono tipicamente:

• frasi o parole più ovvie, come quelle tipiche di default di molti programmi (es. utente: admin, password: admin);
• nomi geografici, nomi di corpi celesti, personaggi della letteratura, nomi propri di persona;
• le più recenti password decifrate dagli ultimi attacchi noti;

Forza bruta

Gli attacchi di forza bruta sono molto più impegnativi, perché possono impiegare molto tempo, rispetto a quelli a dizionario, ma sono anche quelli più efficaci.

Anche questi possono essere eseguiti sia tentando un accesso di log-in che su un elenco di password rubate.

Prevedono tecniche combinatorie che permettono di provare tutte le combinazioni di caratteri possibili per decifrare una password.

Con la velocità dei moderni computer, e perché no telefoni, le password create in modo semplice possono essere decifrate in pochissimi minuti.

Come generare una password sicura

Una password è definita forte o debole, se questa è generata con criteri per i quali la sua decifrazione sia difficile anche con programmi specifici. Quindi per la protezione della propria password, questi sono i criteri con i quali creare una password forte.

La password deve contenere:

• almeno 15 caratteri;
• lettere maiuscole e minuscole;
• numeri;
• e simboli come  ` ! ” ? $ ? % ^ & * ( ) _ – + = { [ } ] : ; @ ‘ ~ # | \ < , > . ? /

Inoltre una password forte, per essere considerata tale, non deve essere:

• il tuo login o il tuo username;
• il tuo nome, il nome di un tuo amico, il nome di un tuo famigliare o un nome comune;
• la tua data di nascita;
• una parola presente nel dizionario;
• uguale ad una tua password precedente;
• a sequenze di tastiera, come as qwerty, asdfghjkl, or 12345678

Prova a creare una password sicura dal sito https://passgen.co/

Passphrase: una soluzione più sicura alle password tradizionali

Una passphrase è una password composta da una frase o da una sequenza di parole, invece che da una combinazione di lettere, numeri e simboli. Le passphrase sono spesso più facili da ricordare e da digitare rispetto alle password tradizionali, e sono anche più difficili da indovinare o da scoprire utilizzando gli attacchi informatici.

Ad esempio, una passphrase potrebbe essere “il gatto grigio dorme sulla poltrona verde“, mentre una password tradizionale potrebbe essere “G4t$Gr3nP0ltr0n@“. Come puoi vedere, la passphrase è più facile da ricordare e da digitare, ma è anche più difficile da indovinare o da scoprire utilizzando gli attacchi informatici.

Le passphrase sono spesso utilizzate insieme ai password manager, che permettono di creare e gestire facilmente password sicure e difficili da indovinare. Se vuoi proteggere i tuoi account e i tuoi dati sensibili, ti consiglio di utilizzare una passphrase sicura invece di una password debole o facilmente indovinabile. Ricorda di scegliere una passphrase che sia facile da ricordare per te, ma difficile da indovinare per gli altri.

La possibilità di utilizzare una passphrase rispetto ad una password convenzionale dipende dal sito, o servizio online, presso il quale ci si collega.

Proteggere la password con un Password Manager

Un password manager è uno strumento che permette di gestire e proteggere le password in modo sicuro. Invece di utilizzare la stessa password per tutti i tuoi account o di scrivere le password su fogli di carta o di tenerle in un file sul tuo computer, puoi utilizzare un password manager per creare, memorizzare e gestire le tue password in modo sicuro.

I password manager sono disponibili sia per computer che per dispositivi mobili, e la maggior parte di essi offre funzionalità avanzate come la generazione di password sicure, il rilevamento di password duplicati e la sincronizzazione delle password su più dispositivi. Inoltre, molti password manager offrono anche la possibilità di proteggere le tue password con una password principale, in modo da poterle utilizzare in modo sicuro anche su dispositivi pubblici o condivisi.

Protezione della password con Bitwarden

Ti consiglio di provare il password manager Bitwarden (https://bitwarden.com), che utilizziamo come strumento aziendale di gestione delle password, utilizzando il profilo gratuito. Queste sono le caratteristiche che ci hanno portato alla scelta di questo password manager.:

1. Gestione delle password: Bitwarden ti permette di creare, memorizzare e gestire le tue password in modo sicuro.
2. Generazione di password sicure: Bitwarden offre una funzionalità di generazione di password sicure, che ti permette di creare password uniche e difficili da indovinare.
3. Sincronizzazione delle password su più dispositivi: con Bitwarden, puoi sincronizzare le tue password su tutti i tuoi dispositivi, in modo da poterle utilizzare in modo sicuro su qualsiasi dispositivo.
4. Autenticazione a due fattori: Bitwarden offre l’opzione di attivare l’autenticazione a due fattori per proteggere ulteriormente il tuo account.
5. Gestione dei dati personali: oltre alle password, con Bitwarden puoi anche gestire altri dati sensibili come indirizzi e-mail, numeri di telefono e informazioni di pagamento.
6. Estensioni per i browser: Bitwarden è disponibile come estensione per diversi browser, in modo da poter gestire le tue password direttamente dal browser.
7. App per dispositivi mobili: Bitwarden offre anche delle app per dispositivi mobili, in modo da poter gestire le tue password anche quando sei in movimento.
8. Prevede un piano gratuito che permette la generazione e la gestione completa delle password.
9. Il piano a pagamento ha un importo abbordabile anche per chi ne farebbe un uso solo personale.

Autenticazione a due fattori: protezione password maggiore

L’autenticazione a due fattori (2FA) è un metodo di autenticazione che richiede due forme di verifica per accedere a un account o a un servizio. In genere, la prima forma di verifica è la password, mentre la seconda forma può essere un codice di verifica inviato via SMS al tuo telefono, una chiamata di verifica, una notifica push su un’app per dispositivi mobili o una scansione di un codice QR.

L’utilizzo dell’autenticazione a due fattori rende più difficile per gli hacker accedere a un account, poiché essi devono conoscere non solo la password, ma anche la seconda forma di verifica. Inoltre, se la password viene rubata o indovinata, l’autenticazione a due fattori protegge comunque l’account, poiché gli hacker non possono accedere senza la seconda forma di verifica.

L’autenticazione a due fattori è particolarmente utile per proteggere account e servizi sensibili, come quelli bancari o di e-commerce. Se utilizzi un password manager che offre l’opzione di attivare l’autenticazione a due fattori, ti consiglio di attivarla per aumentare la sicurezza del tuo account. Inoltre, tieni presente che alcuni servizi online richiedono l’autenticazione a due fattori per proteggere i tuoi dati sensibili. In questi casi, è importante assicurarsi di avere sempre accesso al tuo telefono o a un’altra forma di verifica, in modo da poter accedere al tuo account o ai servizi in modo sicuro.

Se utilizzi l’autenticazione a due fattori, tieni presente che alcune app o servizi potrebbero richiedere una connessione a Internet per inviare il codice di verifica o la notifica push. Inoltre, assicurati di tenere sempre il tuo telefono o altra forma di verifica sicuri e di non condividerli con nessuno.

In generale, l’autenticazione a due fattori è un ottima protezione per le password dei tuoi account e per la salvaguardia dei tuoi dati, e ti consiglio di utilizzarla se disponibile.