Come aumentare la sicurezza delle password

Dalle e-mail ai conti corrente: la violazione delle password può determinare un disastro per privati e aziende. Vediamo dunque come mantenerle al sicuro.

Immagine decorativa

Quanto è sicura la mia password?

Se utilizzi sempre le stesse password per tutti gli account, è probabile che non siano sicure come dovrebbero. È abbastanza comune scegliere una combinazione di parole, numeri e lettere che sia facile da ricordare e poi replicarla come "password principale" nei propri account. Se anche tu ti riconosci in questa abitudine, sappi che sei in buona compagnia. Un sondaggio sulla sicurezza condotto da Google ha rilevato che oltre la metà delle persone utilizza la stessa password per più account, mentre il 13% delle persone utilizza la stessa password per tutti gli account. Si tratta di una pessima abitudine; è infatti fondamentale utilizzare password diverse per ogni account.

Tipi di attacchi alle password

Esistono molti modi per hackerare una password ed è questo che rende così importante avere più password che fungano da difesa online:

  • Attacco di forza bruta: come suggerisce il nome, in questo tipo di attacco l'hacker indovina la password attraverso la sola forza di volontà. Ci siamo passati tutti, bloccati davanti alla schermata di accesso di un vecchio account a tentare di indovinare la password. Prendi questa situazione e portala ai livelli di un hacker in grado di programmare una stringa di codice che indovini le credenziali e una password debole può essere violata in pochi secondi.
  • Credential stuffing: i criminali informatici che hanno ottenuto l'accesso agli elenchi di nomi utente e password mediante la violazione di un sito Web li utilizzano spesso per sferrare un attacco di stuffing delle credenziali. In questo caso, l'utente malintenzionato identifica gli account del sito Web dall'elenco delle e-mail per verificare se la password rubata funziona anche per questi account. Poiché le password vengono riciclate da un numero molto elevato di utenti, gli attacchi di stuffing delle credenziali possono amplificare notevolmente i danni causati da una violazione iniziale dei dati.
  • Phishing: probabilmente ti sarà già capitato, ma lo hai riconosciuto. Purtroppo, non tutti sono così fortunati. In un attacco di phishing, l'utente malintenzionato invia una falsa corrispondenza, ad esempio un'e-mail del tuo istituto di credito, in cui ti viene chiesto di inserire i dati della tua carta di credito per risolvere qualche problema, di solito uno troppo bello per essere vero, ad esempio il riaccredito di un importo. Una volta ricevuti i dati, è finita. Se ricevi un'e-mail dalla tua banca in cui ti vengono chieste queste informazioni, è presumibile che si tratti di un messaggio fasullo. Chiama direttamente la banca per confermarne la validità.
  • Attacco a dizionario: simile alla forza bruta, un attacco a dizionario presuppone che si utilizzino parole comuni come password, evento che effettivamente si verifica spesso. Scorrendo i termini del dizionario, se la tua password è composta da una o due parole standard, è improbabile che tu riesca a resistere a questo tipo di attacco.

Best practice per la sicurezza delle password

Adesso che hai capito cosa evitare, che cosa dovresti fare invece per mantenere al sicuro la tua identità digitale e le tue attività? Ecco un breve riepilogo di cosa fare e cosa non fare:

Scegli password sicure e univoche e non utilizzarle mai più di una volta

Una password sicura è una password univoca che, come suggerisce questa definizione, caratterizza in modo unico la tua figura di utente e il tuo account. Una password non deve mai essere utilizzata da nessun'altra parte, né essere associata ad alcun altro account o nome utente. Una password veramente sicura e univoca è costituita da:

  • Caratteri maiuscoli
  • Caratteri minuscoli
  • Caratteri speciali (!#%$*)
  • Numeri
  • Oltre 15 caratteri

Usa il buon senso. Anche se non sei un hacker, non ci vuole un criminale informatico per capire che una password di 5 caratteri è molto più facile da crackare rispetto a una password di 20 o che l'ovvietà della password QWERTY (ovvero, composta dalle prime sei lettere in alto a sinistra della tastiera) è, beh, ovvia. Evita numeri e simboli che rappresentano chiaramente punti di riferimento per le lettere, ad esempio lo 0 al posto della O, l'8 al posto della B e il simbolo $ al posto della S. Ricorda inoltre di modificare le password una volta ogni sei mesi. Anche se potrebbe sembrarti esagerato, quando si tratta della tua sicurezza online niente è mai troppo.

Utilizzo di un gestore password

A questo punto entrano in gioco i generatori di password. Dopotutto, un programma è in grado di difendersi dai programmi di hacking meglio della mente umana. Ad esempio, la password “&*Td^zJxsQkF" è estremamente sicura, e potresti averla generata anche da solo. Tuttavia l'abitudine umana è estremamente prevedibile e siamo tutti molto propensi a seguire percorsi di tastiera simili anche quando vorremmo usarne di casuali.

Utilizza la verifica in due passaggi

La verifica in due passaggi consiste nell'utilizzare due metodi di sicurezza per accedere a un account, generalmente tramite più dispositivi. Un metodo comune consiste nell'inserimento della password come passaggio 1 e successivamente di un codice univoco inviato via SMS come passaggio 2. Altri metodi includono una telefonata automatica al numero di cellulare associato all'account o un codice inviato via e-mail a un indirizzo diverso da quello con cui è stato creato l'account. L'idea è che, anche se un hacker ottiene l'accesso al tuo account originale, è improbabile che abbia anche il tuo telefono e le e-mail secondarie a portata di mano. Dropbox offre un'opzione per la verifica in due passaggi da applicare al tuo account, il che significa che i tuoi documenti sono ben protetti tramite SMS o un'applicazione di autenticazione per dispositivi mobili.

Utilizzare siti e servizi di hosting di file affidabili e sicuri

Nella barra degli indirizzi dei siti sicuri puoi vedere l'icona di un lucchetto; è fondamentale accertarsi che questo sia presente prima di procedere, ad esempio per fare acquisti online o condividere dati personali. La maggior parte dei siti dispone di questa funzionalità; tuttavia, se prevedi di archiviare file e cartelle, assicurati che siano ancora più protetti. Dropbox, ad esempio, utilizza la crittografia e soddisfa rigorosi requisiti di conformità per garantire più livelli di sicurezza cloud.

Non utilizzare reti Wi-Fi pubbliche o non sicure

Un hotspot Wi-Fi pubblico è una connessione aperta, il che significa che chiunque può usarla. È sufficiente che un utente malintenzionato si colleghi a questa rete per essere rapidamente in grado di sfruttare altri utenti. Come regola generale, è bene non condividere mai informazioni quali dati bancari o numeri di carte di credito su un hotspot Wi-Fi pubblico.

Garantire la sicurezza delle password è incredibilmente importante e implica l'adozione costante delle abitudini sopra elencate. Siamo umani e le password da ricordare sono veramente tante; per fortuna, i gestori di password possono farlo al posto nostro. Anche se sei un esperto di password, è sempre bene non essere troppo sicuri. Sia che tu abbia un'azienda, lavori come freelance o condivida semplicemente dei documenti con i tuoi amici, Dropbox ha a cuore la tua sicurezza tanto quanto te.