5887 Letture
Creare password sicura: oggi ricorre il World Password Day

Creare password sicura: oggi ricorre il World Password Day

Si torna a parlare dell'importanza delle password. Fintanto che non potranno essere completamente sostituite con metodi di autenticazione più immediati e sicuri, è fondamentale sceglierle con la massima attenzione.

Oggi ricorre il World Password Day, importanto evento a livello mondiale pensato per sensibilizzare gli utenti sull'importanza della scelta di password efficaci e della loro conservazione sicura.

Diversi studi via a via pubblicati dalle principali società attive nel settore della sicurezza informatica sono concordi: ancora oggi una buona fetta di utenti si serve della stessa password a protezione di più account. Si tratta di una pratica sconsiderata perché espone i propri dati personali alla mercé dei malintenzionati allorquando uno solo dei propri account venisse in qualche modo violato.

Creare password sicura: oggi ricorre il World Password Day

Più della metà degli utenti possiede tra uno e quattro dispositivi non protetti da password o da una forma di autenticazione biometrica (come l'impronta digitale).
Inoltre, dato anche questo allarmante, una buona parte degli utenti è più interessato a creare una password facile da ricordare piuttosto che creare una password efficace, in grado di garantire un buon livello di protezione.
Addirittura molti utenti si dichiarano addirittura disponibili alla condivisione delle proprie password con gli altri.


Scegliere bene le password, proteggerle meglio e affidarsi a sistemi di autenticazione più evoluti

1) Non scegliere password prevedibili
Vanno sempre assolutamente evitate password "deboli" e soprattutto contenenti riferimenti alla propria persona, a date importanti, parenti, ricorrenze, animali domestici e così via. Spesso le informazioni utili per violare un account possono essere "rastrellate" agevolmente sui social network. Il caso Cambridge Analytica-Facebook insegna: Facebook e Cambridge Analytica: cosa ha insegnato lo scandalo in tema di tutela della privacy.

2) Scegliere sempre password complesse e sufficientemente lunghe
Non si dia ascolto a chi vuole a tutti i costi una password semplice da ricordare. Le password dovrebbero essere lunghe (preferibilmente almeno 14 caratteri) e complesse, utilizzare caratteri alfanumerici (lettere maiuscole, minuscole, lettere e numeri, caratteri speciali) e almeno un simbolo. Queste attenzioni permettono di scongiurare qualunque rischio di attacco brute force oppure basato sui dizionari.
È ovvio che per i servizi online che non ospitano propri dati sensibili si possono impostare password meno complicate ma la scelta di password "efficaci" è fondamentale per evitare qualunque situazione spiacevole.

3) Non utilizzare mai, per nessun motivo, le stesse credenziali per più account
Una pratica purtroppo molto diffusa consiste nell'utilizzo delle stesse password per l'accesso ad account completamente differenti.
È bene accertarsi invece di non riutilizzare mai la stessa password per più account: nel caso in cui uno fosse violato o si verificasse un furto dei dati lato server, un malintenzionato avrebbe gioco facile per accedere ad altri account del medesimo utente.
È un film già visto e ne abbiamo parlato, ad esempio, nell'articolo Sicurezza account utente a rischio: Leakedsource vendeva nomi utente e password.

4) Non condividere mai i dati di autenticazione
Nome utente e password per l'accesso ai propri account non devono mai, per nessun motivo, essere condivisi con altri utenti.
Inoltre, le proprie password non devono mai essere comunicate via email o mediante software di messaggistica istantanea.

5) Valutare l'utilizzo dell'autenticazione a due fattori o verifica in due passaggi
Soprattutto per la protezione di quegli account che contengono molti dati personali (si pensi a Facebook, Google Drive/Gmail, Microsoft OneDrive/Outlook.com, Dropbox), si può pensare di attivare l'autenticazione a due fattori.
Per accedere all'account non si dovrà così conoscere e introdurre solamente i propri nome utente e password ma si dovrà usare un dispositivo che si possiede o un parametro biometrico per poter accedere.

A tal proposito, suggeriamo la lettura dell'articolo Proteggere gli account web e migliorarne la sicurezza, in particolare al paragrafo Utilizzare l'autenticazione a due fattori.

Come parte integrante del suo sistema per la Verifica in due passaggi, Google mette a disposizione degli utenti che volessero attivarlo un meccanismo che impedisce a utenti non autorizzati di accedere al proprio account. Anche se un malintenzionato conoscesse username (indirizzo email) e password corretti per entrare nell'account Google di un utente, questi non potrebbe fare danni perché ogni tentativo di login da dispositivi sconosciuti viene notificato su un dispositivo in possesso dell'utente e deve essere da questi espressamente autorizzato.
Il nostro consiglio è quello di scegliere la modalità Messaggio di Google per la Verifica in due passaggi: vedere Verifica in due passaggi Google: solo 10% degli utenti la usano.

6) Utilizzare un buon password manager (offline)
Scrivere le proprie password su di un supporto cartaceo non è mai consigliabile: esso potrebbe infatti essere oggetto di furto o agevolmente consultato da persone non autorizzate.
Il modo migliore per proteggere le proprie password è sfruttare un password manager evitando l'utilizzo di quello integrato nel browser (vedere anche l'articolo Riconoscere malware e altre minacce online - TERZA PUNTATA) e, preferibilmente, i password manager online che a noi non sono mai andati a genio (vedere anche Password manager Android vulnerabili secondo il Fraunhofer Institute).


Un ottimo software per gestire le password in locale, anche sui dispositivi mobili, in forma cifrata è Keepass (vedere Gestione password: come farlo in sicurezza e Memorizzare password e gestirle in sicurezza).

Un'eccellente alternativa è Kaspersky Password Manager (Salvare le password in sicurezza e inserirle in automatico nei form di login) che integra anche un pratico generatore password.

7) Collegarsi sempre a pagine HTTPS e valutare l'uso di VPN durante l'impiego delle reti WiFi amministrate da terzi o da sconosciuti
Diffidate dei siti web che non fanno viaggiare le password su connessione cifrata ricorrendo al protocollo HTTPS e a un certificato digitale valido e non scaduto.
Quando ci si collega a Internet usando una WiFi altrui sarebbe opportuno creare un tunnel crittografato in modo che tutte le informazioni in transito non possano essere lette da parte di terzi. Nella maggior parte dei casi l'utilizzo di HTTPS per la consultazione del web è più che sufficiente ma molti utenti continuano non soltanto a scambiare informazioni personali con pagine web che scambiano dati in chiaro (via HTTP) ma usano ad esempio client di posta che si collegano a server POP3/IMAP senza alcuna cifratura (non viene usato il protocollo TLS).

Per usare una VPN su una WiFi si può fare riferimento alle indicazioni riportate nell'articolo Servizi VPN sicuri: come evitare che spifferino l'IP pubblico reale oppure collegarsi al server VPN allestito in azienda, in ufficio o a casa propria (Server VPN, come crearlo usando un NAS).

Creare una password sicura: oggi ricorre il World Password Day - IlSoftware.it