Password - Cyber attacchi - Alcune regole base
In questo articolo parleremo di Password, e sarà il primo di una serie di articoli che ci condurranno ad un maggior grado di consapevolezza nell’utilizzo dei nostri dispositivi così da prevenire una buona parte di attacchi informatici, consentendo di proteggere i nostri dati e con essi, salvaguardare noi stessi e i nostri cari.
Le nostre chiavi di casa: le password
Usereste delle chiavi di casa che tutti potrebbero riprodurre? Dareste le vostre chiavi di casa a chiunque? Se qualcuno fosse venuto in possesso delle vostre chiavi, cosa fareste?
Il mondo digitale non è così distante da quello reale, i comportamenti prudenti che siamo abituati ad avere nella vita di tutti i giorni, improvvisamente li dimentichiamo quando utilizziamo le nuove tecnologie.
Comportamenti pericolosi
Se qualcuno venisse da voi e vi dicesse di consegnargli una copia del vostro documento, voi gli fareste tantissime domande e poi, tranne che non sia particolarmente convincente, non gli dareste alcunché.
Ecco, sui social si trovano tantissime persone che pubblicano il loro documento, questo avviene tra i ragazzi che mostrano sui social la patente appena conseguita con tutti i loro dati in bella mostra, ma capita anche agli adulti che postano i loro esami clinici completi per ricevere consigli o solo un po’ di attenzione.
Le password che utilizziamo per autenticarci ogni giorno non vengono trattate meglio nonostante già la terminologia spesso utilizzata e cioè: “Chiavi d’accesso”, dovrebbe farci riflettere sull’importanza di quelle informazioni.
Gli errori più comuni sono quelli di utilizzare password corte, uguali per account diversi, facilmente riconducibili alla nostra persona, scriverle su fogli, agende, post-it, su computer o cellulari non protetti, memorizzarle sui browser, ecc.
A volte anche utilizzare tutte le accortezze necessarie potrebbe non essere sufficiente.
Quanto sono frequenti i casi di furto
Agli inizi di febbraio il forum di hacking “RaidForums” ha pubblicato un archivio composto da oltre 3 miliardi di coppie uniche di email e password, provenienti da più violazioni di sicurezza e proprio per questo è stato battezzato “Compilation of Many Breaches” con l’acronimo COMB.
Questo è il risultato di attacchi effettuati in passato a famose piattaforme come Netflix, Linkedin, Canva ma violazioni alla sicurezza aziendale avvengono ogni giorno, come di recente avvenuto per Ho Mobile.
Non sottovalutate i rischi
Cosa possono fare gli hacker con queste informazioni: ad esempio acquisire gli account e inviare mail o messaggi sostituendosi a voi; questo sarebbe favorito anche dalla cronica abitudine degli utenti di riutilizzare le stesse password per la posta elettronica, i social media, l’e-commerce, i servizi di banking online.
Le cronache riportano che anche personaggi famosi come Joe Biden, Barack Obama, Bill Gates, Elon Musk e Jeff Bezos hanno subito violazioni dei loro account, in particolare di Twitter e, questo ha coinvolto milioni di follower che hanno abboccato a una truffa con danni di migliaia di dollari.
L’altro aspetto da considerare è proprio questo, la sicurezza dei nostri dati non riguarda solo noi ma può coinvolgere negativamente anche i nostri cari o i nostri amici.
Cosa possiamo fare per proteggerci
Vediamo allora alcuni consigli, perché se è vero che non esiste una sicurezza assoluta, alcune giuste precauzioni potrebbero permetterci di salvaguardare a lungo i nostri dati più preziosi.
Come scoprire se il nostro account è stato coinvolto in qualche attacco
Da diversi anni esiste un servizio gratuito in rete che ci permette di capire se il nostro account utente sia stato coinvolto in qualche attacco.
Si chiama Have I been pwned, (pwned è l'abbreviazione di "perfectly owned") che tradotto significa "completamente posseduto", ed è raggiungile all’indirizzo https://haveibeenpwned.com.
Have I been pwned è un database che raccoglie, a livello mondiale, tutti gli account che sono stati coinvolti in violazioni di sicurezza su siti diversi.
Questo non significa però che i criminali informatici siano in possesso della vostra password, perché, spesso, i gestori dei servizi online la salvano in formato cifrato che lavora in un'unica direzione: la password inserita dall’utente genera una versione codificata corrispondente ma questa non consente di risalire alla password in chiaro.
Interrogando il servizio questo vi risponderà con la frase “Good news - no pwnage found!”, su sfondo verde, oppure con “Oh no - pwned!”, evidenziando il pericolo su sfondo rosso.
Cosa fare se vi compare “Oh no - pwned!”? Anche se non è sicuro che i criminali siano in possesso della vostra password il consiglio è ovviamente quello di cambiarla.
Tanti servizi = tante password, come utilizzare password sicure e memorizzarle facilmente.
Il progresso della tecnica e dei materiali sta portando i nostri elaboratori ad avere una velocità sempre maggiore, questo fattore è da tenere in considerazione anche per quanto riguarda la sicurezza.
Infatti, fino a pochi anni fa una password di otto caratteri era sufficiente a garantire la sicurezza, oggi l’ideale sarebbe di averne una di almeno 12-15 caratteri, contenenti maiuscole e minuscole, numeri e caratteri speciali, e che non includono sequenze di parole che si trovano in un dizionario.
Un vecchio detto informatico afferma che la password più che sicura è quella che non ti ricordi e questo è possibile realizzarlo attraverso i password manager.
I password manager sono dei database, possono contenere non solo account completi, ma anche l’indirizzo per accedere ai siti e note in cui inserire domande segrete, precedenti password e qualsiasi altra informazione.
L’accesso al password manager avverrebbe utilizzando solo una password e questa sì, deve essere estremamente sicura, perché è come sei voi foste i portieri di un grattacielo e chi possiede la vostra chiave può aprire tutti gli appartamenti.
Ma allora partiamo dall’inizio, creiamo una password sicura.
Creiamo una password sicura
La tecnica consigliabile è quella della “Passphrases” che utilizza frasi, permutazioni e padding.
Il seguente video è un piccolo tutorial su come creare una nuova passowrd con queste tecniche.
Password manager
Adesso che abbiamo una password sicura, utilizziamola per creare il nostro password manager.
Come abbiamo detto, i password manager sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) ma anche altre note che vogliamo inserire.
Ne esistono di diversi tipi, la maggior parte sono multipiattaforma, cioè funzionano con Mac, Windows, iOS ed Android, consentendo in questo modo anche la loro sincronizzazione tramite il cloud, alcuni sono gratuiti altri a pagamento.
Tra i più usati troviamo:
-1Password (https://1password.com/),
-lastpass (https://www.lastpass.com/it/),
-Kaspersky Password Manager (https://www.kaspersky.it/password-manager costa circa 14 euro all’anno),
-Dashlane (https://www.dashlane.com/it costa una cinquantina di euro all’anno e prevede una versione famiglia che comprende anche la VPN e l’autenticazione a due fattori),
-KeePass (https://keepass.info/ totalmente gratuito perché è un progetto open source e prevede anche la versione portable).
Sono tutti ottimi prodotti, quelli commerciali sono sicuramente più immediati da utilizzare anche perché permettono la sincronizzazione tra tutti dispositivi su cui li avete installati.
Bisogna però fare attenzione che consentano l’autenticazione a due fattori perché il vostro database è residente in qualche server nel mondo e, seppur crittografato, qualcuno potrebbe avere o trovare le chiavi d’accesso.