Il World Password Day è la giornata mondiale con lo scopo di ricordarci quanto è importante proteggere le nostre password ed educare all’importanza di aggiornarle con frequenza per proteggere i dati sensibili che immettiamo nel web.
Grazie alle password possiamo fare acquisti, socializzare online, ma soprattutto mantengono protetti molti dei nostri dati.
La pandemia ci ha costretti a passare più tempo a casa e di conseguenza abbiamo trascorso molto più tempo online e la sicurezza dei dati è diventata ancora più importante. È stato rilevato un aumento del tempo trascorso online di ogni utente in media raddoppiato rispetto a prima della pandemia, da 3 ore e 17 minuti a 6 ore e 59 minuti.
La cosa positiva è che nel 2020 si è registrato un aumento del livello di sicurezza degli utenti che hanno messo in atto buone pratiche per aumentare il livello di sicurezza delle proprie password aumentando così il livello di sicurezza dei propri dispositivi.
Quali sono gli errori più frequenti quando si sceglie una password?
Scegliere una password poco sicura equivale, nella vita di tutti i giorni, a lasciare le chiavi appese alla porta della propria casa. Nonostante negli ultimi 2 anni di pandemia ci siamo trovati a vivere più online che fuori dalle nostre case, e nonostante sia aumentata la consapevolezza dell’importanza di avere delle password sicure, la classifica delle Top 200 password più comuni ci dimostra che non abbiamo ancora imparato abbastanza.
Quali regole seguire per scegliere una password sicura
Ecco alcuni suggerimenti per scegliere una buona password:
- Scegli una password complessa che sia composta almeno da 12 caratteri con una combinazione di lettere minuscole, MAIUSCOLE, numeri e simboli (!$%&?). Oppure scegli un Generatore di password.
- Non riutilizzare le vecchie password. Usare la stessa password per più account è il modo per facilitare il lavoro degli hacker, basta che uno dei tuoi account sia compromesso e gli altri lo saranno di conseguenza.
- Aggiorna periodicamente le password, almeno ogni 90 giorni. Questo aumenta sensibilmente la sicurezza dei tuoi account.
- Controlla la sicurezza delle tue password, per farlo puoi utilizzare questo sito web www.passwordmonster.com/
- Utilizza un generatore di password, in questo modo sarai ancora più sicuro che la password che hai scelto è efficace.
Come si ruba una password?
Esistono molti modi per scoprire una password, a volte i metodi utilizzati sono molto banali:
Phishing (Password Sniffing)
In pratica siamo noi che ci lasciamo ingannare dalle tecniche di social engineering e diamo le password a chi ce le chiede attraverso per esempio messaggi, email, siti fake (falsi) che dissimulano un sito noto.
Indovinando le password
Utilizzando informazioni personali come nome, data di nascita o nomi di animali domestici. A scoprire la password non sarà un hacker lontano, ma magari l’amico o il vicino di casa…
Attacco “brute force”
Esistono programmi sviluppati appositamente per trovare la password corretta per entrare negli account. Il programma lavora facendo continui tentativi finchè indovina la password giusta. Questa è una tecnica molto costosa sia in termini di sviluppo software sia di potenza di calcolo, ma molto utilizzata.
Intercettazione di una password in rete
Quante volte ti è capitato di comunicare una password via email? Alcuni siti web, dopo che ci siamo registrati, ci inviano una mail di benvenuto contenente username e password. Ma purtroppo la mail non è uno strumento sicuro per scambiare questi dati in chiaro.
Shoulder surfing
Questo sistema funziona installando un keylogger che intercetta le password quando vengono digitate in un dispositivo. I keylogger sono programmi (trojan) che registrano tutto ciò che viene digitato sulla tastiera, trasmettono poi questi dati all’hacker che ha installato il programma.
Password memorizzate in modo non sicuro
Uno dei metodi più comuni è quello di scrivere le password in un file del proprio computer, magari nominando il file “Password”…
Oppure compromettendo un database contenente un gran numero di password utente che poi vengono utilizzate per attaccare altri sistemi dove gli utenti hanno riutilizzato le stesse password (“credential stuffing”). È esattamente quello che è successo con il data breach di LinkedIn (2012) attraverso il quale furono violati gli account LinkedIn, Twitter e Pinterest di Mark Zuckerberg (che usava la stessa password in tutti!).
Fai subito un test in questo sito web, è un archivio di data breach che ti permette di fare una ricerca con la tua mail per verificare se i tuoi dati risultano violati.
