Tratta le password come fossero le tue mutande

Tratta le password come fossero le tue mutande 5 Ottobre 2019

Sviluppatore web professionista con esperienza pluriennale nella realizzazione di siti internet. Lavoro per migliorare la comunicazione on-line di hotel, ristoranti, agenzie immobiliari, liberi professionisti e non solo.

poster password

Treat your passwords like your underwear” Cosi’ esordiva una raccomandazione dell’Universita’ di Maastricht per i suoi impiegati e ricercatori.

Ben consapevoli di quanto fosse, ed e’ tuttora, importante proteggere le password, l’Universita’ olandese decise di promuovere una serie di poster dove si paragonavano le password ad un paio di mutande.. ma cos’hanno esattamente in comune?

Il poster elencava tre punti specifici:

  1. Non condividerle mai con nessuno
  2. Cambiale regolarmente
  3. Tienile lontano dalla tua scrivania!

Parlando di mutande, diamo per scontato che i concetti siano ben chiari e analizziamoli, invece, a proposito della protezione delle nostre password:

  1. Non condividerle mai con nessuno

Sembra un’ovvieta’ ma molto spesso le persone tendono a condividere le proprie password. Molto spesso si tratta di leggerezze come ad esempio: accedere sul proprio profilo Facebook dal dispositivo di un amico, oppure, ‘scambiare’ le password tra colleghi di ufficio, <<in caso ti servisse di controllare questa pratica sul mio pc quando sono in ferie..>> o cose del genere.

Inutile dire quanto questa pratica sia rischiosa. Il problema non e’ tanto l’aver fiducia nell’amico o nel collega, che, siamo convinti, non userebbero mai le vostre password senza permesso, quanto piuttosto la superficialita’ con cui questa persona potrebbe trattare le proprie (e quindi anche le vostre) password. A meno che non sia un ricercatore dell’Universita’ di Maastricht ovviamente 😛

Passiamo alla seconda raccomandazione:

2. Cambiale regolarmente

Cambiare password regolarmente dovrebbe diventare un’abitudine. Basti pensare che l’80% di tutti gli attacchi informatici hanno beneficiato di password deboli o rubate, un numero cosi’ alto puo’ indicare solo una cosa: la maggior parte delle persone NON cambia le password regolarmente.

E’ importante capire che cambiando le password con una certa frequenza, diciamo una volta ogni 3-6 mesi, si riduce notevolmente il rischio di essere hackerati.

Per comprendere a pieno l’importanza di cambiare password regolarmente, si deve considerare le fasi che portano ad un attacco informatico:

Frequentemente, la persona che vi ruba la password e quella che poi la usa ‘contro di voi’, non sono la stessa persona. Molto spesso, infatti, durante un attacco massiccio eseguito contro grossi ‘bersagli’ (Facebook, ad esempio), il cosidetto ‘data breach‘, i malintenzionati possono entrare in possesso in un colpo solo di milioni di password e indirizzi email.

Una volta riuscito l’attacco, questi criminali mettono in vendita in blocco le password rubate che vengono poi acquistate da altri hacker. Saranno questi ultimi a utilizzare le password, compresa la vostra, per eseguire gli attacchi ai singoli utenti.

Dal momento del furto in massa delle password a quando esse vengono rivendute e riutilizzate, possono passare diversi mesi; quindi se cambiate le password regolarmente, quando gli hacker vi attaccheranno con le vecchie password esse non saranno piu’ valide!

3. Tienile lontano dalla tua scrivania!

Anche la terza regola potrebbe sembrare una banalita’ eppure la maggior parte degli utenti continua a tenere le password sulla scrivania, o ancor peggio su di un bel post-it attaccato al monitor!

Chiaramente lasciando le password cosi’ esposte, chiunque abbia accesso alla nostra scrivania puo’ entrarne in possesso e utilizzarle.

Capisco che alcune password siano troppo complesse da tenere a mente Percio’ se proprio dovete segnarvele da qualche parte, pensate ad un luogo piu’ sicuro, magari un cassetto chiuso a chiave.

Se poi siete dei tipi ingegnosi e volete stare ancora piu’ tranquilli, potreste utilizzare un semplice algoritmo di cifratura per rendere le password illeggibili a chiunque non conosca la chiave di lettura: Giulio Cesare, ad esempio, ne usava uno estremamente semplice ma efficace per crittare i suoi messaggi (vedi Cifrario di Cesare, Wikipedia).

Personalmente aggiungerei una quarta regola:

4. Non usare mai la stessa password su piu’ siti

Con tutte queste password da utilizzare, la tentazione di riusare la stessa parola chiave per piu’ account e’ forte. Potreste sicuramente pensare che cambiando leggermente la stessa password (magari aggiungendo una lettera o un numero) sia sufficiente a mettervi al riparo da attacchi hackers ma non e’ cosi.

Una volta che si sono impossessati della vostra password, gli attaccanti cercheranno di utilizzarla per tutti gli account di cui presumono voi siate proprietari, e se non riscono nell’intento, sicuramente proveranno a variare leggermente la parola chiave e a tentare di nuovo.

Quindi, piu’ una password e’ riutilizzata e piu’ possibilita’ gli hacker hanno per portare a termine un attacco con successo. Inoltre, se riutilizzate la stessa password e venite hackerati, vi troverete nella spiacevole situazione di attacchi a cascata (anche contemporaneamente) verso tutti i vostri account: non avrete nemmeno il tempo materiale per reagire.

Il miglior modo per prevenire questo disastro e’ utilizzare password uniche e sufficientemente robuste (lettere maiuscole e minuscole, numeri e caratteri speciali). In questo modo se un vostro account dovesse venir compromesso, quanto meno gli altri sarebbero salvi.

Come capire se le proprie password sono state rubate?

Come precedentemente spiegato al punto 2, molto spesso gli hacker rubano le credenziali degli utenti durante massicci attacchi rivolti a grandi aziende.

Ecco un piccolo elenco delle compagnie che hanno subito un furto di dati, o data breach nel 2019:

  • CafePress – 23 milioni di account compromessi
  • Canva – 137 milioni di account compromessi
  • DubSmash – 161 milioni di account compromessi
  • MyFitnessPal – 143 milioni di account compromessi
  • MyHeritage – quasi 92 milioni di account compromessi
  • Verifications.io – 763 milioni di account compromessi

dati: https://haveibeenpwned.com/PwnedWebsites

Questa era solo una piccola porzione della massiva quantita’ di account che hanno violato nel tempo.

Esiste un interessante sito per controllare se la propria password e’ stata rubata; il servizio si chiama Have I Been Pwned (letteralmente ‘Sono stato investito?’). E’ totalmente gratuito e permette verificare se hanno rubato le nostre credenziali in uno di questi furti massivi di dati. Il sito e’ in inglese ma di facile utilizzo: inserite l’email da controllare nell’apposito campo e premete il bottone ‘pwned?‘; se appare una schermata verde come questa:

Tutto OK!

Viceversa, se la schermata si colora di rosso, significa che hanno rubato la vostra email e potrebbe essere presto utilizzata contro di voi. In questo caso vi consiglio di cambiare SUBITO la password, ed eventualmente contattare un esperto del web per maggiori consigli su come evitare ulteriori problemi.

Spero l’articolo possa esser stato d’aiuto per capire come tenere al sicuro le password e per qualsiasi ulteriore esigenza, contattami, saro’ felice di aiutarti.

Sviluppatore web professionista con esperienza pluriennale nella realizzazione di siti internet. Lavoro per migliorare la comunicazione on-line di hotel, ristoranti, agenzie immobiliari, liberi professionisti e non solo.

Realizza il tuo sito internet al miglior prezzo