FAQs - password

Le domande sulla sicurezza tratte dalla rivista semestrale GARR News


Password: consigli per l'uso
Tratto dalla rubrica Risponde Cecchini - GARR News 11 - Dicembre 2014

Purtroppo la famigerata coppia utente/ password sembra sia destinata a dominare ancora per molti anni il reame dell'autenticazione. È persino ancora utilizzata in molte realizzazioni di sofisticati sistemi globali (ad es. Kerberos). Un po' come avere una porta blindata con serratura a toppa, vista anche la qualità delle scelte degli utenti.

Ad esempio, le tre password più comuni del 2013, ricavate dai milioni di account compromessi che si trovano in rete, sono "123456", "password" e "12345678" (le stesse del 2012) [v.gd/xofofi] - [v.gd/bojuba]

Se a questo aggiungiamo il serio rischio dovuto ai frequenti attacchi di phishing o social engineering, si arriva a un quadro non particolarmente confortante. Per cercare di minimizzare i rischi, eccovi alcuni consigli.

Usate un buon algoritmo di generazione

caratteri, di cui almeno 1 minuscolo, 1 maiuscolo, un numero e un carattere speciale. Evitate le parole di qualsiasi lingua, anche con un numero prima o dopo, e le sostituzioni banali: ”pa$$w0rd“ non è una buona password. Se avete speranza di ricordarle potete partire dalle iniziali delle parole dei vostri versi preferiti, altrimenti utilizzate un generatore casuale (tutti i password manager citati sotto ne hanno uno) o SuperGen- Pass, un bookmarklet che genera sempre la stessa password per ogni combinazione Master Password / indirizzo web.

Non usate mai lo stesso utente/password in posti diversi

Ricordate che se un vostro account viene compromesso, magari uno aperto anni fa e di cui non vi ricordate nemmeno più, o se cadete in un phishing (capita!), la stessa combinazione utente/password verrà provata dovunque, anche sul vostro nuovo gmail. Ogni anno gli account compromessi si contano a centinaia di milioni.

Utilizzate un gestore di password

A meno che non siate Pico della Mirandola, se seguite le norme di sopra avete bisogno di un buon strumento di memorizzazione. Sconsiglio i browser perché spesso poco sicuri e di non sempre facile sincronizzazione tra sistemi diversi. Qui trovate una rassegna dei migliori password manager in circolazione: [v.gd/93TdF7]. I miei preferiti sono LastPass e KeePass quest'ultimo magari insieme ad un meccanismo di sincronizzazione come Dropbox, entrambi multipiattaforma.

Utilizzate l'autenticazione a due fattori

L'autenticazione a due fattori al momento è il meglio che potete fare per proteggere i vostri account. Il funzionamento è semplice. Dopo aver scritto nome utente e password, viene richiesta l'immissione di un codice identificativo ogni volta diverso: da dispositivo hardware, come per i conti bancari, o spedito via sms o calcolato da un'applicazione, ad es. SAASPASS sul vostro smartphone. Ormai è disponibile quasi ovunque con modalità più o meno simili. Chiaramente la facilità d'uso diminuisce, ma sono fermamente convinto che ne valga la pena. Concludo con due suggerimenti: per sapere se uno dei vostri account è stato compromesso potete usare questo sito [v.gd/itomen] e seguite @GARR_CERT su twitter !

 

 

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa

Abbiamo modificato alcune delle nostre politiche per rispondere ai requisiti del nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR). In particolare abbiamo aggiornato la Privacy Policy e la Cookie Policy per renderle più chiare e trasparenti e per introdurre i nuovi diritti che il Regolamento ti garantisce. Ti invitiamo a prenderne visione.

Informativa sulla privacy