Salta al contenuto

Temi di tendenza

10 consigli per proteggere i tuoi account

Marzia Romeo

07.04.17 4 minuti di lettura

Difficilmente passa giorno senza che non si legga una notizia relativa a una significativa violazione di dati. Negli scorsi anni, miliardi di account di siti e servizi popolari come Linkedin e Yahoo! sono stati esposti su Internet. Abbiamo anche visto partite massive di credenziali di login vendute sul mercato nero dagli hacker mesi o persino anni dopo gli incidenti. Quindi cosa dovresti fare per proteggere i tuoi account?

Ecco 10 consigli di sicurezza per aiutarti a mantenere gli account al sicuro.

  1. In generale, condividere password tra siti è una cattiva idea.Se un servizio online viene compromesso e le password rubate, qualcuno tenterà di usarle su altri siti. E se riusi o condividi password tra siti, la lista delle password di quelle vecchie violazioni risalenti magari a molti anni prima sono ancora utili. Allo stesso modo, se usi modelli di password prevedibili, le violazioni scoprono le tue logiche orientate alla selezione di password.
  2. Proteggi il tuo account email.Molti siti consentono l’invio alla tua email di link per la reimpostazione delle password o per delle password temporanee. Usa un account email differente per recuperare le password rispetto a quello che usi per le normali comunicazioni via email.
  3. Usa sempre l’autenticazione a due fattori quando disponibile.Molti servizi offrono l’autenticazione aggiuntiva per te, in quanto persona che sta tentando di effettuare il login, inviando un codice di verifica generato casualmente – nella maggior parte 6 numeri – al tuo telefonino. Questo servizio aggiunge un altro livello di protezione per la tua privacy.passwords1
  4. Per rendere più difficile l’hash-cracking, focalizzati sulla lunghezza della password.Password composte da frasi lunghe e semplici sono meglio di password corte e complesse che sono difficili da memorizzare. Per ‘craccare’ la frase-password “I like that you are protecting my Passw0rds”, un Supercomputer Tianhe-2, uno dei supercomputer più veloci del mondo, avrebbe bisogno di diverse migliaia di secoli.
  5. Scegli password che non siano facili da generare partendo dalla tua vita o abitudini, e che non derivino da informazioni pubbliche su di te.E in generale, pensa con attenzione a quali informazioni condividi online su di te. Gli attacchi a forza bruta online possono essere prevenuti con password difficili da indovinare.
  6. Scegli password che non siano imbarazzanti per te – se le password con testo in chiaro sono violate, o gli hash sono ‘craccati’, le password possono essere lì fuori.
  7. Usa password manager che ti aiutino a generare password abbastanza lunghe e difficili.Usando la funzionalità per generare password nella gran parte dei password manager, non devi pensare tu alle password – lo strumento lo fa per te. Con i tool più avanzati, puoi generare password lunghe 32 caratteri generate casualmente e praticamente impossibili da violare. Se la tua password è abbastanza forte, l’unica possibilità per rubare i tuoi dati è un attacco di tipo plaintext.passwords2
  8. Iscriviti a un servizio di alert come Have I Been Pwned?Ti avviserà se la tua mail è stata trovata in un attacco in modo che tu possa fare qualsiasi cambiamento necessario.
  9. Impedisci ai browser di ricordare le tue password.Se navighi con Chrome, Safari, Firefox o qualsiasi altro browser, spesso hai l’allettante opzione di salvare la tua password. Se rispondi sì, stai rischiando.
  10. E come ultima regola generale, quando usi il riconoscimento tramite impronta digitale, usa un dito che non usi di solito per toccare diversi device.In altre parole, usa per esempio anulari, mignoli o pollici al posto degli indici per il riconoscimento biometrico.

Come sono fatti gli attacchi?

Ci sono diversi tipi di attacchi che mirano all’accesso di account e password dell’utente. Ecco una lista che spiega alcune delle tattiche più comunemente utilizzate.

Attacco a forza bruta online

Attacchi in cui l’attaccante cerca di ottenere l’accesso al tuo account su un servizio online tentando di effettuare il login con diverse password, di solito impiegando una lista delle password più comuni o generandole basandosi su informazioni pubbliche sul tuo conto.

Hash cracking

Se l’attaccante ha avuto accesso alle informazioni sulle password di un servizio online ma sono archiviate in un formato hash, l’attaccante ha bisogno di ‘craccarle’. Questo si può fare calcolando gli hash con strumenti come hashcat, e confrontando se l’hash risultante dall’ipotesi corrisponde all’hash del file delle password. A tal scopo possono essere usate GPU molto potenti.

Social engineering e phishing

Un tipo di attacco in cui l’attaccante cerca di attirarti verso un sito malevolo, che sembra una vera pagina di login di un servizio reale ma manderà le password all’attaccante. Alternativamente, l’attaccante potrebbe chiederti la password o di rispondere alle tue domande di sicurezza, se c’è una funzionalità di reimpostazione delle password.

Attacchi contro le domande di reimpostazione delle password

L’attaccante prova a rispondere alle domande di reimpostazione delle password utilizzando informazioni disponibili pubblicamente su di te.

10-security-tips-poster-thumbnail1

Abbiamo preparato un poster di promemoria per te e i tuoi collaboratori con 10 trucchi sulle password – puoi scaricarlo qui

 

Articolo tratto da “Never share passwords between sites and 9 other pieces of advice to secure your accounts”, di Emma Varis, Senior Marketing Manager di F-Secure Corporation.

 

Marzia Romeo

07.04.17 4 minuti di lettura

Categorie

Articolo in primo piano

Post correlati

Newsletter modal

Grazie del tuo interesse per la newsletter di F-Secure. Riceverai a breve un email per confermare la sottoscrizione.

Gated Content modal

Congratulazioni – ora puoi accedere al contenuto cliccando sul bottone sottostante.