Magazine

Come creare una password sicura e facile da ricordare

04/10/2022

PMIPrivatiProfessionisti

Il 7 maggio di ogni anno, in occasione della Giornata Mondiale della Password, aziende e istituzioni ricordano a dipendenti e utenti quanto sia importante fare ricorso a parole chiave di accesso forti e inattaccabili.

Nei tempi di sovrabbondanza informativa e di servizi digitali in cui stiamo vivendo, la raccomandazione è quanto mai importante. E, secondo quando si apprende dalle analisi più recenti, è anche frequentemente inascoltata.

Tanto per avere un’idea della situazione, a detta di Google un quarto di tutti gli utenti mondiali ha usato parole di accesso quali “password”, “123456”, “qwerty” per “proteggere” i propri account e più di una persona su tre non cambia mai le proprie parole-chiave.

Eppure, per garantire alla posta elettronica, ai siti di e-commerce, ai social network ai sistemi di Content Management, ai sistemi Cloud e via discorrendo, un livello di protezione accettabile non è poi così difficile. Quel che occorre è la giusta consapevolezza dell’importanza di questo aspetto della vita online e seguire alcune semplici regole. Alla domanda con quale frequenza cambiare la password la risposta è quasi sempre più spesso possibile, almeno ogni 3 massimo 6 mesi.

8 regole per creare una password forte

Alcuni dei principali requisiti per creare una keyword di accesso che garantisca una certa protezione:

Non utilizzare numeri o lettere sequenziali.
Non includere l'anno o il mese/giorno di nascita nella password.
Utilizzate una combinazione di almeno otto lettere, numeri e simboli.
Combinare diverse parole non correlate nella password o nella passphrase (l’insieme di parole o di stringhe alfanumeriche).
Non utilizzare nomi o parole presenti prese dalla vita privata (indirizzi, nomi di familiari, hobby, eccetera).
Utilizzare un gestore di password per memorizzare le vostre password.
Non riutilizzare le password.
Cambiare le password ogni tre, sei mesi.

Come funziona l’autenticazione a due fattori

Uno dei metodi migliori per rafforzare la protezione degli account digitali è abilitare, nei sistemi che lo consentono, la cosiddetta autenticazione a due fattori (2FA).

Il suo principio di funzionamento è già descritto nella locuzione che lo contraddistingue e consiste nell’aggiungere un ulteriore livello di sicurezza agli account online mediante una credenziale di accesso aggiuntiva, oltre al nome utente e alla password.

Le principali tipologie di 2FA sono tre:

Credenziali di accesso aggiuntive che solo il titolare dell'account può conoscere. Si tratta di elementi come le risposte alle domande di sicurezza e i numeri PIN.
Dispositivi di proprietà del titolare del servizio che forniscono credenziali di accesso aggiuntive. In genere si tratta di token di sicurezza o di applicazioni per smartphone o per tablet.
Credenziali di accesso biometriche uniche per il titolare dell'account. Includono scansioni della retina e impronte digitali.

Che cosa si intende per attacchi Brute Force

L'attacco brute force, a forza bruta, è una tecnica di hacking che utilizza tentativi ed errori per decifrare password, credenziali di accesso e chiavi crittografiche. È una tattica semplice ma affidabile per ottenere l'accesso non autorizzato ad account individuali e a sistemi e reti aziendali.

In pratica, il malintenzionato effettua tentativi a ripetizione con con più nomi utente e password in un’ampia gamma di combinazioni, finché non trova le informazioni di accesso corrette.

Esistono vari tipi di metodi di attacco di questo tipo.

Attacchi brute force semplici: si verifica quando un hacker tenta di indovinare le credenziali di accesso di un utente manualmente, cioè senza utilizzare alcun software.
Attacchi a dizionario: qui l'aggressore seleziona un obiettivo, quindi testa le possibili password rispetto al nome utente di quell'individuo.
Attacchi ibridi di forza bruta: consistono nella combinazione tra i primi due metodi.
Attacchi a forza bruta inversa: l’aggressore inizia il processo con una password nota, che di solito viene scoperta attraverso una violazione della rete. Dopodiché, utilizza tale password per cercare una credenziale di accesso corrispondente utilizzando elenchi di milioni di nomi utente.
Credential stuffing: sfrutta la grande diffusioni di password deboli. In questo caso, l’hacker utilizza combinazioni di nomi utente e password rubate su una moltitudine di account.

Quali sono i pericoli del phishing

Attraverso questa tecnica che consiste nell’inviare mail contraffatte che invitano il destinatario a fornire i propri dati personali motivando le richieste, perlopiù con ragioni tecniche, possono essere compiute varie tipologie di frodi, alcune delle quali sono più dirette, altre più subdole.

La versione più comune e diffusa di questo genere di truffa consiste nell’aprire una mail falsificata nella quale viene richiesto di inviare i propri dati personali necessari a risolvere una qualche presunta problematica tecnica o di servizio, oppure che contiene un malware che si installa nel computer o nel device dello sventurato destinatario.

Abbastanza diffusa è anche la variante che prevede sempre l’invio di una mail modificata ma che non viene effettuato da un apparente azienda o istituzione, bensì da un account di posta conosciuto o presente nella propria rubrica dei contatti.

Un’ulteriore variante, il whaling o whale phishing, si caratterizza per le stesse dinamiche di funzionamento delle precedenti appena viste, con la differenza che il target è rappresentato da un soggetto che, all’interno dell’azienda, occupa un ruolo di vertice.

Password , Phishing , Sicurezza

Articoli recenti

Enterprise

La soluzione all'avanguardia per la gestione dei processi aziendali

La gestione efficace dei processi aziendali è diventata una necessità fondamentale per le organizzazioni che desiderano prosperare nell'era digitale.

Enterprise

Una colocation all'avanguardia per la Sanità Digitale

Modernizzazione e Innovazione in Sanità

ProfessionistiPubblica Amministrazione

Ufficio del Processo: il nuovo concorso per 3.946 posti per il quale è necessaria la PEC

Il Ministero della Giustizia ha indetto un concorso pubblico, per titoli ed esami, su base distrettuale, per il reclutamento a tempo determinato di 3.946 unità di personale non dirigenziale dell’Area funzionari, con il profilo di Addetto all’Ufficio per il Processo, da inquadrare tra il personale del Ministero della Giustizia.

PMIPrivatiProfessionisti

Quali sono i plugin consigliati da Aruba per il vostro sito

Da quando WordPress è diventata la piattaforma più usata al mondo per creare siti web, il concetto di plugin, associato fin dai primordi al CMS (Content Management System) ha conquistato, di riflesso, una popolarità sempre maggiore.

PMIProfessionisti

La fatturazione elettronica per le professioni sanitarie slitta al 2025

Per tutto il 2024, i soggetti tenuti all’invio dei dati al Sistema Tessera Sanitaria sono dispensati dall’onere di emissione delle fatture elettroniche per le prestazioni sanitarie, garantendo, così, il diritto alla privacy dei pazienti.

Articoli più letti

EnterprisePartnerPMIPrivatiProfessionistiPubblica Amministrazione

Proteggi il tuo brand: registra i domini

Proteggere un brand è una missione tanto importante, quanto complessa.

PMIPrivati

Fibra ottica a 10Gbps e non hai più limiti!

Quanti sono 10Gbps? Di primo acchito una cifra di questo tipo può essere letta come un lusso, come un’abbuffata, come un’esagerazione nella quale sguazzare per poter godere della semplice certezza di non essere mai a corto di banda.

PartnerPMIPrivatiProfessionisti

Sparisce il lucchetto di Google, più fiducia dai tuoi clienti con i certificati OV

Google cambia visual identificativo del certificato, come mantenere alta la fiducia di visitatori e clienti, garantendo la propria immagine e awareness sul web?

PMIPrivatiProfessionistiPubblica Amministrazione

Firma digitale: guida all’uso

Apporre una firma digitale significa sostanzialmente aggiungere un certificato relativo alla propria identità dentro una busta, nella quale sarà altresì presente il contenuto che si va a firmare.

EnterprisePMIProfessionisti

Le scadenze fiscali del 2024

Importanti novità nel settore fiscale riguardano la dichiarazione dei redditi precompilata, che l’Agenzia delle Entrate renderà disponibile entro il 30 aprile di ogni anno.

Hosting e domini

PEC e Trust Services

Connettività

Cloud

Server e colocation

Altri servizi

Aruba Business

Certificati SSL Actalis

Microsoft 365

Pratiche.it

SMS