Password: best practices

Come migliorare la sicurezza attraverso il corretto utilizzo delle password

Una forte politica di password è spesso la prima linea di difesa contro gli attacchi informatici, eppure molte organizzazioni continuano a seguire linee guida obsolete che le espongono a rischi significativi.

Le credenziali perse o rubate rimangono la tattica di hacking numero uno utilizzata da attori malintenzionati per perpetrare violazioni di dati.

Per garantire che la tua politica sulle password sia efficace e soddisfi gli standard raccomandati da NIST, Microsoft e NCSC, abbiamo compilato tutte le ultime linee guida in consigli praticabili che la tua organizzazione può utilizzare per migliorare la sicurezza delle password.

Leggi la password policy di Cyberangels e mettila in pratica, inoltre implementa un password manager per aumentare il tuo livello di protezione.

 

Assicurati di utilizzare password sicure

Come scoprono le tue password?

La creazione e gestione delle password è una delle criticità ancora oggi presenti in molte realtà. Usare una password facile da indovinare ti rende più vulnerabile agli attacchi degli hacker. 

Come? Seguendo pochi semplici passaggi:

  • Individuazione del target: ricognizione sugli asset pubblicamente esposti dell’azienda o singolo (social media, website, ecc…). In questa fase si cercano pattern linguistici e di pensiero. Spesso vengono usati programmi come che mediante uno scraping permettono di creare dei dizionari di password costum basate sui suddetti pattern.
  • Tentativi con le password più comuni: esistono interi dataset di password comuni di facile reperibilità che a differenza di quanto si possa pensare non comprendono solo password, come 123456, admin o la stessa parola password. Queste librerie derivano invece da collezioni di databreach avvenuti negli anni, e inoltre permettono attraverso altri software di applicare permutazioni alle parole così da bypassare anche la complessità data dai set di caratteri (James à James105 à James?_56, ecc…);
  • Attacchi di forza bruta: alcuni programmi utilizzano i dizionari individuati negli step precedenti contro l’account che si vuole violare (testando centinaia di migliaia di possibili opzioni) fino a quando non si ottiene accesso

 

Usa password diverse per ogni account

Una volta che gli hacker hanno scoperto il nome utente e la password di un account, possono facilmente provare queste credenziali in tutti gli altri account dello stesso utente (questa tipologia di attacco si chiama password spraying ed è completamente automatizzabile con software e bot).

Se hai riciclato le credenziali ovvero, se hai usato lo stesso nome utente e la stessa password per altri siti o servizi, gli autori dell'attacco avranno trovato la chiave d'accesso a tutti i tuoi account che condividono queste stesse credenziali.

 

Non cambiare troppo frequentemente le tue password 

Il dogma del cambio password ogni 3-6 mesi è caduto: nel 2017, l’autore, Bill Burr (il quale nel 2003 lavorava al NIST, e che contribuì alla pubblicazione del NIST SP 800-63 Appendice A che conteneva consigli su come scegliere una password efficace), ha “chiesto scusa” agli utenti perché “l’obbligo di cambio frequente non serve a garantire la sicurezza delle password”. Al contrario, secondo Burr, se l’utilizzatore deve cambiare la password frequentemente, finirà per sceglierla semplice e ripetitiva. Decine di ricerche successive dimostrano che quanto più spesso si chiede a qualcuno di cambiare la propria password, tanto più deboli sono quelle che vengono scelte (magari sostituendo un carattere alla fine).

Quindi: scegliamo la password una volta sola, ma che sia ben robusta.


Assicurati (ove disponibile) di aver attivato l'autenticazione multifattore 

L’autenticazione a due fattori (2FA) o multifattore è un metodo di autenticazione sicura per sistemi e piattaforme informatiche e consiste nell’utilizzo di due metodi invece che uno, ad esempio l’inserimento di una password e la scansione dell’impronta digitale. L’autenticazione a due fattori protegge efficacemente gli account perché aggiunge un livello di sicurezza in più, rendendo più difficile l’accesso ad hacker e utenti non autorizzati.

Significato di autenticazione a due fattori

Per accedere a un sistema protetto, l’utente deve identificarsi e autenticarsi. Di solito, l’identificazione consiste nell’inserire il proprio nome utente, mentre l’autenticazione è il passaggio in cui l’utente dimostra la propria identità, ad esempio inserendo una password che solo lui o lei può conoscere.

Con il tempo, hacker e criminali si sono evoluti e il sistema di autenticazione standard non è più sufficiente per proteggere in modo efficace gli account. Per questo motivo è stato inventato il concetto di autenticazione multifattoriale (MFA), che prevede l’utilizzo di più fattori durante l’autenticazione. Questi fattori possono essere di tre tipi:

  1. Una cosa che sai, ad esempio una password
  2. Una cosa che hai, ad esempio una smartcard o un altro dispositivo per l’autenticazione
  3. Una cosa che sei, ad esempio l’impronta digitale o il riconoscimento facciale

L’autenticazione a due fattori è un metodo che combina l’utilizzo di due fattori di categorie diverse. Ad esempio, un processo di autenticazione a due fattori è lo sblocco del telefono subito dopo l’accensione, in cui l’utente:

  • Inserisce il PIN (qualcosa che sai)
  • Fa una scansione della propria impronta digitale (qualcosa che sei)

In questo modo, il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.


Aggiorna le password delle reti aziendali seguendo le pratiche suggerite da Cyberangels

Perché è importante proteggere i dispositivi elettronici con password complesse?

Ogni servizio che utilizziamo in Rete; posta elettronica, online banking, social network, richiedono l’uso di una password che, associata al nome utente scelto, chiamato username permette di proteggere le proprie informazioni dagli accessi non autorizzati.

Il problema delle password sorge quando si devono creare numerosi account per lavoro e per svago.

Per quanto la nostra mente possa essere allenata a ricordare se si pensa che un utente medio ha circa 5/10 account e che le password, per la loro stessa natura e per la nostra sicurezza, devono essere cambiate in media ogni 3 mesi, comincia ad essere difficoltoso tenerne traccia e memoria.

È importante quindi tenerne traccia, ma ancora più importante è come creare una password abbastanza sicura.

Le password più facili da violare sono ovviamente quelle basate su semplici parole, ad esempio, il vostro nome o di un vostro familiare, la data di nascita, il nome del vostro animale domestico, oppure la città od il luogo di vacanza preferiti, è bene variarle immediatamente.

Queste informazioni si reperiscono molto semplicemente consultando il profilo di un utente su Facebook o su un altro social network.

Un utente sprovveduto, diffondendo pubblicamente delle informazioni sulla sua vita privata o sui suoi interessi, può inconsapevolmente facilitare attacchi da parte di aggressori informatici alla ricerca di dati sensibili.

Qual’ è la migliore strategia per generare una password “praticamente inespugnabile”?

Non esiste ma possiamo cercare di rendere le password più sicure ma soprattutto meno intuibili.

L’approccio migliore consiste nel produrre una password contenente una miscela di caratteri alfanumerici (lettere maiuscole, minuscole e numeri) e possibilmente anche simboli o caratteri speciali (ad esempio “#”, “%” oppure “!”).

Ogni password, dovrebbe essere una sequenza complessa di lettere e numeri, lunga almeno otto caratteri, meglio se 12.

Una password diviene tanto più sicura quanto è maggiore il numero di caratteri che essa contiene e quanto più diversa è la loro tipologia.

Come creare password abbastanza sicure?

Non usate solo parole o numeri

Es. Paolo Rossi nato il 23/03/1970

Paolo23, Rospao70, 23370paoross, ecc. tutte password non sicure

Non usare parole comuni

Es. (amanti dei fiori) Dalia1, Camelia18 ecc.

Non usate informazioni personali

(amanti dell’arte) girasoli, bacio, venere oppure estate91, pariginverno ecc.

Non usare parole in un’altra lingua o carattere

(matematici)112358 (linguisti) концентриран

Non usare nomi dati o informazioni di personaggi storici e/o famosi

Pirandello36, totò89, noncirestachepiangere, rocky ecc.

Non usare parole al contrario

Ereilavac, Ottag, Orebla ecc.

Non usare la stessa password (per quanto possa essere sicura) su più account

Questo perché, in caso di violazione di un account, è sempre possibile cercare di proteggere il resto dei nostri dati.

Non usare parole di cose che non ci piacciono o non amiamo

Sono facile da intuire come le parole legate al nostro vissuto.


Perché dotarsi e acquistare un software di gestione delle password?

Un password manager, un gestore di password, è un software che permette all’utente di memorizzare le proprie credenziali di autenticazione a siti e servizi in un archivio cifrato, in una “cassaforte” digitale.

Un password manager conserva tutte le password in un archivio cifrato, protetto da una singola master password, e ce le fornisce quando ci servono. Potremo dunque avere password lunghe e robuste, diverse per ogni sito e servizio, ma dovremo ricordare solo quella che serve per accedere alla “cassaforte” dove queste sono conservate. Un bel passo in avanti rispetto ai post-it attaccati al monitor.

Ma attenzione: la master password deve essere a sua volta molto robusta e segreta e non ce la dobbiamo dimenticare: solitamente non è recuperabile e senza di essa non avremo più accesso all’archivio.

Dobbiamo tenere bene a mente una cosa importante: un password manager è uno strumento utile che ci aiuta nella gestione quotidiana ma che deve aggiungersi a una solida politica di sicurezza a 360 gradi che, con la progressiva digitalizzazione dello stile di vita, chiunque deve mettere in atto, prendendo le dovute precauzioni, quali l’autenticazione a due fattori (sia per i servizi che per lo stesso archivio delle password) e così via.

Oltre alla caratteristica base di mantenere registrate tutte le credenziali dell’utente in un’unica posizione, un password manager solitamente offre anche funzionalità aggiuntive che semplificano sia la gestione delle password (come ad esempio generazione automatica, creazione, modifica ed eliminazione, organizzazione e ricerca e così via) che il loro utilizzo (ad esempio riempimento automatico dei moduli, integrazione con altre app e siti, sincronizzazione tra vari dispositivi e altro ancora).