1. Scegli una password o una passphrase complessa di 16+ caratteri
Ormai, penseresti che tutti i consigli sull’importanza delle password complesse sarebbero stati assorbiti. Eppure, tra le password recuperate da SpyCloud solo l’anno scorso, “123456” è stato trovato oltre 9,8 milioni di volte, “password” è stata trovata oltre 1,2 milioni di volte e “qwerty” è stato trovato 719.178 volte. Se utilizziamo password facili da ricordare, per i criminali sono facili da indovinare. Questo ci rende vulnerabili al password spraying, un attacco di forza bruta in cui un criminale informatico utilizza un elenco di nomi utente e password comuni per tentare di accedere a un determinato sito. Una volta ottenuta una corrispondenza, il criminale testerà la stessa combinazione di nome utente e password su quanti più account possibile.
Inoltre, i nostri test hanno rivelato che le password con più di 16 lettere, numeri e caratteri casuali, indipendentemente dall’algoritmo di hashing utilizzato, richiederebbero secoli per essere decifrate. È utile ricordare che mentre il modo in cui un’azienda protegge le password è fuori dal controllo degli utenti, possiamo assumerci la responsabilità della sicurezza del nostro account creando password più complesse.
2. Rendi uniche le password tra gli account
Data l’esplosione dei servizi digitali negli ultimi anni e il passaggio globale al lavoro a distanza nel 2020, la maggior parte delle persone si destreggia con più accessi online che mai. I criminali si affidano a credenziali rubate per perpetrare frodi e agiscono partendo dal presupposto che se si utilizza una password per un account, probabilmente si utilizza la stessa password per un altro. Ma nonostante l’istruzione diffusa su questo argomento, negli ultimi due anni SpyCloud ha osservato un tasso di riutilizzo delle password del 60% nei nostri dati sulle violazioni recuperati, quindi sembra che il problema non stia migliorando. L’introduzione di strumenti automatizzati di stuffing delle credenziali ha reso facile per i criminali testare le coppie di credenziali su un numero di siti Web per vedere quali account aggiuntivi possono rilevare; ecco perché il riutilizzo della password è così pericoloso.
Rendi tutto più facile: usa un gestore di password per generare e archiviare password univoche per le tue centinaia di accessi online.
3. Non mischiare gli accessi aziendali con gli account personali
Oltre il 76% dei dipendenti di Fortune 1000 riutilizza le password negli account di lavoro e personali. Sebbene questo problema sembri simile a quello sopra, la sfumatura qui è che la disattenzione a casa mette a rischio i datori di lavoro. Se il tuo account di streaming o di gioco è compromesso e sei colpevole di riutilizzare le password (anche variazioni di tali password), è possibile che i criminali informatici accedano a più account personali e professionali.
4. Usa l’autenticazione a più fattori
Quando è stata introdotta per la prima volta, l’autenticazione a più fattori (MFA) è stata venduta come una “proiettile magica” progettata per colmare le lacune nella sicurezza delle password. Richiedere agli utenti di fornire qualcosa che conoscono (una password) più qualcosa che sono (biometria) o qualcosa che hanno (token per smartphone) è un importante livello di protezione e dissuaderà alcuni attacchi informatici. Come tutti i deterrenti, i criminali hanno trovato il modo per aggirarlo, ma ciò non significa che non dovresti usarlo.
5. Appoggiati alle linee guida del NIST
Il National Institute for Standards and Technology (NIST) sviluppa regole in base alle quali le agenzie federali devono conformarsi, ma queste linee guida sono utili anche per le organizzazioni del settore privato. Uno degli aspetti più critici della guida del NIST quando si tratta di sicurezza delle password è limitare l’uso delle password contenute nei precedenti corpus di violazioni. Ciò significa che qualsiasi password esposta in una violazione dei dati, non importa quanto complessa, dovrebbe essere vietata.
Sebbene le aziende possano applicare molte linee guida NIST attraverso le impostazioni integrate fornite dalla maggior parte dei servizi di directory (incluso Microsoft Active Directory), il confronto delle password con un elenco in continua evoluzione di password esposte non è una funzionalità predefinita e il confronto delle password ad un elenco statico non soddisferà la guida del NIST. Nuove violazioni si verificano continuamente, aumentando continuamente l’esposizione al rischio della tua organizzazione, quindi prendi in considerazione i servizi di terze parti per migliorare le capacità di Active Directory in questo senso.
Come utente, puoi anche registrarti per il monitoraggio proattivo da SpyCloud gratuitamente. Dopo aver fatto clic sul pulsante “Accedi” e aver effettuato la registrazione, riceverai un avviso ogni volta che rileviamo il tuo indirizzo e-mail + password in una violazione dei dati. È un avvertimento per cambiare la password per quel servizio (e qualsiasi altro servizio in cui usi la stessa password o una simile) con qualcosa di nuovo, complesso e unico.
Con i servizi online che vengono violati regolarmente, le password trapelate/rubate rappresentano una grave minaccia se continuiamo a riutilizzare le password. I gestori di password sono importanti, così come il monitoraggio continuo delle credenziali esposte, ma per le organizzazioni è anche fondamentale educare gli utenti sui rischi di una scarsa igiene delle password. Se c’è una variabile che le misure di sicurezza informatica non possono affrontare, è il comportamento umano. Tuttavia, queste pratiche e suggerimenti dovrebbero essere i primi passi verso la creazione di un framework di password sicuro per te e la tua organizzazione.
