Uno dei buoni propositi per il nuovo anno: migliorare le proprie password

05/01/2021

È quel periodo dell’anno in cui pensiamo tutti a come migliorare le nostre vite nel 2021. Non sarà difficile trovare idee su come rendere il prossimo anno migliore del 2020, ma quando si tratta di buoni propositi per l’anno nuovo, perchè non proviamo qualcosa di diverso dai soliti “perdere peso” e “mangiare meglio”?

Diventiamo più scaltri con le password
Usi “12345678” o “password” come password? O forse usi “87654321” o “p@ssword”. Forse riutilizzi la stessa password sui tuoi account Netflix e Gmail come fai per l’accesso al tuo laptop, ma per la tua password bancaria, metti in maiuscolo la prima lettera e aggiungi un numero alla fine. Se sei colpevole di una di queste cattive abitudini, stai mettendo in pericolo te stesso, la tua identità, i tuoi beni e persino la tua azienda. Non aspettare per modificare queste abitudini. Cambiale ora.

Smetti di riutilizzare le stesse password per i tuoi account
Non sei il solo. Un sondaggio di Google del 2019 ha rilevato che il 52% delle persone riutilizza le password su più account e il 13% riutilizza la stessa password su ogni account. Ecco perché questa è una cattiva abitudine: i siti web subiscono frequenti violazioni della sicurezza e, quando ciò accade, i criminali ottengono l’accesso alle credenziali di accesso e password per quel sito. Quindi li testano su altri siti e vendono le credenziali ad altri hacker che li testano ancora di più. Se riutilizzi la stessa password, quei criminali sono tenuti a sbloccare account aggiuntivi, anche se quei siti non sono mai stati violati.

Quando SpyCloud, che cura la più grande raccolta al mondo di dati sulle violazioni, ha esaminato il riutilizzo delle password tra i dipendenti di Fortune 1000, ha scoperto che il 76,5% ha riutilizzato la stessa password abbinata alla propria e-mail aziendale su altri account violati. Questo è un problema sia per i consumatori che per le imprese.

Presta attenzione agli avvisi di violazione
Negli ultimi anni, i tuoi dati sono stati probabilmente parte di una violazione, o più. L’azienda i cui dati sono stati violati ti ha informato che le tue informazioni erano a rischio e ti ha costretto (o fortemente consigliato) a cambiare la tua password. Quante volte hai cambiato la stessa password o le sue varianti in tutti i tuoi siti?

Penseresti che sapere che una password sia a rischio potrebbe spingere tutti gli interessati a cambiarla, ma quando Google ha notificato agli utenti tramite un’estensione di Chrome che le loro password erano state compromesse, solo il 26% delle persone le ha cambiate.

Le violazioni sono così pericolose perché spesso non vengono scoperte fino a mesi dopo, il che dà ai cattivi un lungo vantaggio. Quando gli utenti vengono informati che i loro dati sono stati inclusi in una violazione, i criminali hanno setacciato i loro account e identificato altri che sono vulnerabili perché utilizzano le stesse password. Come ho spiegato sopra, ecco perché è importante non riutilizzare le password. Se vieni avvisato di una violazione, non ignorarla. Segui le istruzioni per proteggerti e aggiornare altri account che utilizzano le stesse password.

Usa password complesse
Oltre a riciclare le password tra account, le persone tendono a utilizzare password semplici facili da ricordare. Quando SpyCloud ha analizzato i dati sulla violazione raccolti solo lo scorso anno, ha trovato 13 milioni di istanze di “qwerty123” e 3 milioni di istanze di “iloveyou”. Queste password e le loro varianti sono facili da indovinare per i criminali. Mantengono elenchi di password comuni e li utilizzano negli attacchi di password spraying, mettendo a rischio gli account con password deboli anche se l’utente non ha riutilizzato la password.

Mentre i cracker di password possono capire praticamente qualsiasi password composta da caratteri alfanumerici, le password più lunghe e complesse sono più difficili. Utilizza password di almeno 16 caratteri, con una combinazione casuale di lettere minuscole e maiuscole, numeri e caratteri speciali. La realtà è che gli hacker hanno tempo e potenza di calcolo variabili per decifrare le password. Più gli fai fatica, più è probabile che si arrendano.

Usa un password manager
I password manager ti aiutano a generare password casuali e ad archiviarle in modo da non dover ricordare password diverse per ogni sito. Ci sono tanti password manager disponibili, quindi sceglierne uno richiederà un po’ di ricerca. Assicurati di sceglierne uno che supporti qualunque piattaforma utilizzi e che abbia anche integrato il monitoraggio delle credenziali violate. La maggior parte, ma non tutti, funzionano su PC o Mac e iOS e Android. Inoltre variano in base a ciò che fanno pagare, al numero di password che memorizzano e ad altre funzionalità.

Indipendentemente dal gestore che utilizzi, richiedono tutti una password principale per accedere al tuo gestore di password, quindi ricorda ciò che hai imparato nella sezione precedente sull’impostazione di password complesse.

Abilita l’autenticazione a più fattori
Probabilmente hai ricevuto suggerimenti dai tuoi vari account per configurare l’autenticazione a più fattori (MFA), un miglioramento della sicurezza che richiede di presentare due credenziali separate per accedere a un account. Di solito, quelle credenziali sono qualcosa che conosci come una password o un PIN, qualcosa che hai come un token digitale o fisico o qualcosa che sei come un’impronta digitale o una scansione della retina. In genere è necessario presentare due di questi tre, quindi dopo aver inserito la password, potrebbe essere richiesto di inserire un codice monouso inviato al telefono. L’idea è che mentre gli hacker potrebbero essere in grado di scoprire la tua password, non avranno nemmeno il tuo telefono o l’impronta digitale.

Come minimo, dovresti abilitare MFA sui tuoi account più sensibili, come i tuoi account di posta elettronica e finanziari. Nota: è possibile che ti venga presentata la possibilità di inviare i codici al tuo telefono o e-mail, ma gli hacker potrebbero essere in grado di intercettarli. Utilizzare un token hardware fisico è l’opzione più sicura, seguita da vicino utilizzando un’app come Hypr, Google Authenticator o OneLogin.

Questo è un periodo dell’anno frenetico e stressante, ma avere a che fare con un account compromesso, acquisti fraudolenti o denaro rubato o punti fedeltà non farà che peggiorare le cose. Rendi le pratiche migliori per le password parte dei tuoi piani per il 2021 o, meglio ancora, inizia ora.

PUBBLICATO DA:<br>Webmaster
PUBBLICATO DA:
Webmaster

ARTICOLI CORRELATI

Sei costosi equivoci sul SIEM

Sei costosi equivoci sul SIEM

Come ottenere maggior valore dagli strumenti SIEM: Approccio Tradizionale vs. Cloud Negli ultimi anni, le soluzioni di sicurezza delle informazioni e di gestione degli eventi (SIEM) sono diventate uno degli strumenti preferiti per proteggere le risorse e gli utenti,...

Gli errori di Email Security che gli MSP devono evitare

Gli errori di Email Security che gli MSP devono evitare

Un Managed Service Provider (MSP) ha un enorme impegno quando lavora con la posta elettronica dei client aziendali. Devono mantenere i server, impostare account di posta elettronica e, soprattutto, proteggere la posta elettronica dagli attacchi. Molte delle più grandi...

La sicurezza informatica inizia con i fondamentali

La sicurezza informatica inizia con i fondamentali

Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l'importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra...