Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Gestire bene le password per evitare guai
- GIOVEDÌ 23 MARZO 2017


Il 6 Giugno del 2016 qualcuno ha preso il controllo degli account Twitter e Pinterest di marck Zuckerberg: se la notizia suona già strana così, scoprire che tutti e due gli account avevano la stessa password e pure molto banale (dadada) è ancora più strano. 

Per evitare che facciate la stessa fine di Zuckerberg, abbiamo pensato di darvi alcuni consigli.

Cominciamo dai fondamentali...
Le 3 regole d'oro per quanto riguarda le password sono:
1. Usa password lunghe e difficili
2. Cambia spesso le password dei tuoi account.
3. Usa password diverse per account diversi. 

Ma, c'è un ma...
L'autenticazione tramite password è, in realtà, un sistema di protezione intrinsecamente debole. Partiamo dal primo punto.

1. usa password lunghe e difficili
Siamo abituati a consigliare l'utilizzo di password lunghe almeno 8 caratteri, comprendenti maiuscole, minuscole, numeri e caratteri speciali. Il consiglio deriva dal fatto che così si rendono più difficili gli attacchi "brute-force", attacchi nei quali un software tenta di indovinare" la password provando tutte le combinazioni.  

Il "ma" in questo caso risiede nel fatto che siamo essere umani e necessitiamo di avere password che possiamo ricordarci e quindi finiamo solitamente per usare password che hanno un senso compiuto e una lunghezza limitata: se le password sono parole di senso compiuto, il brute-force è anche più semplice. Invece di tentare tutti i caratteri "a caso", l'attacco può essere portato usando dizionari, che usano appunto parole di senso compiuto. Questo restringe notevolmente il campo delle possibilità e facilita il successo del brute-force. Oltre a questo, ai tempi non si era valutato che i software di brute-forcing potessero arrivare ad una tale capacità di calcolo da potersi confrontare con password lunghe, riducendo oltretutto il tempo necessario all'individuazione della password. Non solo: se pensiamo che aggiungere numeri alle password ci mette al sicuro, questo è vero, ma solo in parte. Infatti aggiungere date di nascita, anniversari ecc.. è del tutto inutile, perché nell'era di Facebook e dei social in genere, sfidiamo chiunque di voi a non aver mai postato la data del vostro compleanno o anche solo una foto che vi ritrae festeggianti davanti alla torta con indicata ben in vista la vostra età.

Infine, anche il vecchio trucco di usare numeri al posto delle lettere (ad esempio il 3 al posto della E) non vale più: i dizionari dei cyber-criminali tengono ormai già conto di questa trucchetto. 

2. Cambia spesso le password dei tuoi account.
Su questo punto, il furto dell'account di Zuckerberg, è istruttivo: la violazione dei suoi account è avvenuta a causa del furto delle sue credenziali Linkedin nel 2012. Zuckerberg aveva infatti usato la stessa password e email per svariati suoi account. I cyber-criminali non hanno fatto altro che ottenere credenziali del 2012 e provarle, scoprendo così che 4 anni dopo queste erano ancora valide e su più account. 

3. Usa password diverse per account diversi. 
Sempre più spesso si usano le credenziali rubate da altri siti per violare gli account. Il fenomeno è diventato molto preoccupante anche a causa della pubblicazione nel dark web (anzi, è più corretto parlare di vendita nel dark web) di database di credenziali rubate da Adobe, Linkedin, MySpace, Tumblr ecc..

Per sapere se le vostre credenziali possono essere state rubate o meno, un sito utile è haveibeenpwned.com, dove potrete verificare se la vostra mail è ricompresa in qualche database di account dei quali è stato segnalato il furto. 

Nella foto il numero di account di cui si è denunciato il furto, divisi per servizio,
nel 2016 e ospitati sul sito haveibeenpwned

Tutto questo serve a fare un bilancio assolutamente realistico della sicurezza delle vostre password: le tre regole d'oro valgono e sono la forma minima di sicurezza che dovrete tenere di conto se vi preme la sicurezza dei vostri account.
Qui vi consigliamo alcuni strumenti utili:

1. Usa un password manager
cioè un software che permette di memorizzare le credenziali di accesso ai vari servizi e le inserisce automaticamente quando serve. Non servirà ricordarsi molte password, ma anzi, una sola, la master password che permette l'accesso al programma. 

2. Usa un generatore di password
esistono software che possono produrre password molto molto complesse e quindi, almeno potenzialmente, più resistenti ad attacchi da brute-force. Di solito la generazione di password è una caratteristica già ricompresa nei password manager. 

3. Usa l'autenticazione a due fattori
se ogni tanto capita di dover usare computer occasionali (in biblioteca, università, negli internet point) dovremmo aprire il password manager su quei pc per avere le nostre password. In questo caso corriamo un rischio gravissimo, ovvero il rischio del furto della master password. In questo caso adottare il sistema di autenticazione a due fattori riduce molto il rischio. Ci sono molte modalità: la scansione dell'iride o delle impronte digitali, il riconoscimento facciale/vocale, ma il metodo più facile e diffuso è il ricorso allo smartphone. In questo caso basta avere un software che genera codici univoci in maniera periodica e che li invia via sms: per ogni sessione di lavoro sul password manager riceverete via sms un codice diverso da affiancare alla master password e senza il quale non sarà possibile accedere al gestionale delle password(Google Authenticator è un esempio di questo tipo di software). 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2021 nwk - Privacy Policy - Cookie Policy - Login