Agenzia SEO
Leaderboards
Leaderboards
Consulenza SEO Ecommerce
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2
Home
Scienza e Tecnologia
Informatica e Internet

Password: i sette peccati capitali
Data:
in: Informatica e Internet

di Michele  Pinassi*

“Non c’è nulla di più bello di una chiave, finché non si sa che cosa apre.” (Maurice Maeterlinck)

SIENA. Una password è come una chiave: uno strumento, anche se virtuale, che ci permette accedere a dati e informazioni riservate. Già la parola “password“, parola di accesso, è – allo stato dell’arte – errata: dovremmo parlare di “passphrase“, a sottolineare l’importanza di usare una combinazione lunga e complessa di simboli e caratteri alfanumerici per comporre la sequenza che ci consente l’accesso.

Eppure, e i dati lo confermano, ancora oggi la scelta di una chiave adeguata è una sfida che molti utenti non riescono ad affrontare correttamente. Vediamo alcuni degli errori più comuni.

Errore n. 1: troppo semplice

Dovremmo aver imparato che “pippo” e “password” non sono buone password. Facile capirne il perché: sono parole di uso comune e indovinarle è molto semplice, rendendo quindi facilmente vana la misura di protezione.

Forse non sorprenderà scoprire che sono ancora molto usate, insieme a un elenco abbastanza nutrito di altre password fin troppo comuni come: 123456, 123456789, 12345,  12345678, qwerty, juventus, 00000,  password.

Se in questo elenco riconoscete una delle vostre password, è arrivata decisamente l’ora di cambiarla.

La scelta dovrebbe ricadere su un elenco di 4 parole combinate in modo casuale, per formare una passphrase di almeno 12-16 caratteri contenente un paio di simboli e numeri.

Errore n. 2: usare informazioni personali

Tra le informazioni sfruttate dagli attaccanti per cercare di violare un accesso protetto da password, ci sono:

  • nomi di animali domestici;
  • nome del figlio/figlia o della moglie/marito;
  • data di nascita propria o di un proprio caro;
  • targa e/o modello dell’auto o della moto;
  • città di residenza;
  • la propria squadra del cuore;

Molte di queste informazioni sono facilmente recuperabili dai social network o da altre fonti OSINT, come ad esempio partecipazione a concorsi, bandi pubblici etc: spesso è sufficiente digitare il nome e cognome su un motore di ricerca per scoprire molte più informazioni di quanto si creda. Informazioni, giusto per chiarire, che è bene non usare come credenziale di accesso.

Lo stesso principio è valido anche per quei metodi di recupero credenziali che si avvalgono d’informazioni personali, come ad esempio “quale è il nome da nubile di tua madre?” o similari: ormai è facile risalire a certe informazioni e, in ogni caso, un attaccante ben motivato potrebbe sfruttare tecniche d’ingegneria sociale per scoprirle direttamente da voi. In questi casi, come risposta meglio impostare qualcosa che non abbia senso, ad esempio: “Quale è stata la tua prima auto?” “Burundi”. Per poi aver premura di memorizzare questa risposta nel password manager.

Errore n. 3: usare sempre la stessa password

Usereste una sola chiave per tutte le vostre serrature? Potreste avere la migliore passphrase del mondo, 16 caratteri casuali alfanumerici con simboli, ma considerando la quantità delle credenziali disponibili nei data breach pubblicati in rete, un qualsiasi attaccante impiegherebbe poco a scoprirla.

Usare una chiave diversa per ogni servizio ci mette al sicuro dalla possibilità che una compromissione delle credenziali, causata ad esempio da una cattiva politica del gestore del servizio stesso, possa mettere a repentaglio anche tutti gli altri nostri accessi.

Errore n. 4: non usare un password manager

Un password manager è come un portachiavi virtuale: un software specifico per la conservazione sicura delle nostre credenziali, dove ricordando una sola – e sicura – password per sbloccare il database, possiamo accedere all’elenco di tutte le nostre parole chiave. Ne esistono diversi, come LastpassBitwarden1Password e KeePass. Personalmente uso ormai da anni, con soddisfazione, KeePassXC, una versione evoluta di KeePass: open source e disponibile per ogni piattaforma, da GNU/Linux ad Android, permette di accedere alle credenziali memorizzate da ogni dispositivo, in qualunque momento. Inoltre, il plugin per Firefox e Chrome permette di utilizzarlo comodamente anche nel browser.

Sarà necessario ovviamente conservare con cura sia la password “master“, per accedere al database sia il database stesso: un po’ come quando nascondiamo la cassaforte, anche se blindata e chiusa a chiave, dietro un quadro in salotto.

Errore n. 5: cambiare password troppo spesso

Quanto è antipatico dover cambiare la password di accesso a un servizio online troppo spesso? Ce ne sono alcuni che, ogni 2 o 3 mesi, chiedono di scegliere una nuova credenziale di accesso! È consigliabile cambiare periodicamente le credenziali, soprattutto per i servizi più critici, spesso e volentieri l’effetto che queste richieste ottengono è che l’utente reinserisce semplicemente una combinazione sensibilmente diversa della password già immessa.

I gestori dei servizi dovrebbero sensibilizzare nell’uso di credenziali di autenticazione sicure, multi fattore (MFA) e uniche, più che costringere i loro utenti a un frustrante cambio periodico delle credenziali stesse.

Errore n. 6: non aderire a una piattaforma di monitoring delle credenziali rubate

La più famosa è indubbiamente ihavebeenpwned dove, inserendo il proprio indirizzo e-mail (usato sempre più spesso come “nome utente“), si ottiene in risposta l’eventuale presenza dello stesso in qualche data leak di cui abbiamo parlato in un punto precedente.

È una operazione importantissima per la propria digital hygiene poiché ci permette di capire se una nostra credenziale è compromessa e, quindi, cambiarla prima che possa essere usata indebitamente.

Ricordarsi di controllare manualmente tutti i nostri account, però, può essere noioso. Per questo esistono servizi, come Firefox Monitor, che permettono di abbonarsi e ricevere una notifica nel caso il nostro indirizzo mail finisca in qualche leak.

Altri servizi per controllare la presenza del nostro indirizzo mail in qualche databreach sono: DeHashedLeakCheckSpyCloud e BreachChecker.

Errore n. 7: non usare la MFA dove possibile

MFA, ovvero multi-factor authentication, “autenticazione a più fattori”. Consiste essenzialmente nell’unire, alla consueta coppia username e password, un ulteriore elemento come un codice inviato via SMS o un numero OTP visualizzato in una app come “Google Authenticator“.

Per quanto possa essere una ulteriore scocciatura, questo meccanismo rende difficile a un eventuale attaccante di accedere ai nostri dati, anche nel caso in cui le nostre credenziali siano state compromesse: senza questo ulteriore codice, generato dinamicamente sul momento, non sarà possibile finalizzare l’accesso.

Già da anni i sistemi di accesso all’home banking richiedono meccanismi simili e sono ormai sempre di più le piattaforme, ad esempio Google, che permettono di attivarlo sul proprio account. Personalmente, consiglio fortemente di attivarlo ovunque sia possibile.

*www.zerozone.it

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula