Password Day: cosa fare e cosa non fare per proteggere i dati personali

Il 6 maggio, l’ottavo appuntamento di World Password Day (giornata mondiale delle password lanciata da intel) ci ha ricordato di prestare attenzione nel creare o modificare le nostre chiavi di sicurezza.

Mai scegliere password banali (come 123456, la più usata al mondo), troppo semplici, prevedibili, facili da ricordare, ripetitive. al contrario, bisogna utilizzare password sicure e forti (lunghe, articolate, alfanumeriche, con caratteri speciali) per proteggerci dalle mire dei criminali informatici ed evitare data breach.

A molti risulta “faticoso” ragionare su una password efficace, quasi una scocciatura e, spesso, si utilizza la stessa password per più servizi (posta elettronica, social, piattaforme di streaming video, dad, ecc.). Ogni servizio deve essere associato ad una pws diversa e unica altrimenti, in caso di violazione di una sola password, l’hacker può “bucare” tutti i servizi.
È soprattutto l’utilizzo delle stesse pws su più servizi che ha portato a violazioni ed attacchi alle credenziali negli ultimi 5 anni.

Addirittura, gran parte di coloro che sono venuti a conoscenza di importanti violazioni di dati (il 66%) non pensa neanche a cambiare la chiave di accesso, mentre oltre la metà delle persone non la aggiorna negli ultimi 12 mesi. Una pacchia per gli hacker considerando, oltretutto, che a lungo andare i servizi online raccolgono sempre più dati degli utenti: dati personali che devono essere protetti in modo sempre più sicuro.

Password Day: no a quelle banali

Ad oggi, le password restano il sistema più usato e diffuso per tenere al sicuro i dati personali o per accedere ai servizi – vita quotidiana, lavoro. Restano, perciò, il bersaglio più ambito per gli autori di truffe, furti di identità, data breach. Secondo il recente rapporto Verizon data breach investigation, l’81% delle violazioni passa per il furto delle credenziali.

Data di nascita, 123, nome di un animale domestico, una parola comune come “password” rappresentano le scelte peggiori che si possano fare per le credenziali di accesso.
Acronis riferisce che, a novembre 2020, le pws più comuni nel globo erano 123456, 123456789 e immagine1. Ha anche comunicato che il 75% degli utenti it ed il 50% dei professionisti it hanno perso dati lo scorso anno.

La violazione dei dati personali e delle credenziali mette a rischio tutto: dai conti bancari ai numeri di previdenza sociale. aziende e fornitori di servizi IT rischiano anche di più: danni alla reputazione e al business, multe salate, lunghi e costosi tempi di inattività.

Furto di password: le tecniche più utilizzate

Nel mondo sono principalmente 3 le tecniche utilizzate per rubare le password:

• phishing: invio di una e-mail apparentemente innocua e che sembra provenire da fonti affidabili (banche, enti statali, operatori energetici, ecc.) ma che, in realtà, mira ad ingannare l’utente ed a rubargli dati sensibili. È bene evitare di cliccare su file da scaricare o link contenuti all’interno di e-mail e messaggi che richiedono dati di autenticazione anche se, a prima vista, possono risultare conosciuti o fidati. Se la mail invita a collegarsi ad un servizio tramite link, conviene ignorare ed aprire una nuova tab del browser in cui inserire le credenziali;
• dictionary hacking: cyberattacco che consiste nel tentare di decifrare la password tramite la sua formulazione, combinando nomi, numeri e lettere finché il criminale non trova il codice giusto;
• keylogger: software (in genere, un malware su pc o smartphone) in grado di registrare ogni tasto premuto sulla tastiera e ciò che viene visualizzato sullo schermo per, poi, trasmettere le informazioni registrate (pws incluse) ai cyber criminali (un server esterno).

Nessuno è immune agli attacchi informatici

Con la diffusione dello smartworking a seguito della pandemia, gli hacker sfruttano l’errore umano per mettere in atto data breach aziendali. La diffusione del lavoro a distanza ha accresciuto il rischio di violazioni informatiche per le aziende. Ecco perché la formazione del personale è essenziale.

C’è da dire che gli hacker non prendono di mira solo le aziende ma chiunque: i dati sensibili e le credenziali di tutti noi hanno un valore commerciale nel mercato nero (dark web), quindi siamo tutti sotto attacco informatico. È proprio il mercato delle password (con database contenenti milioni di credenziali da mettere in vendita) ad alimentare gran parte dei cyber attacchi contro aziende e privati.

La sicurezza non è appannaggio esclusivo delle corporate ma riguarda anche le piccole aziende oltre ai privati. Serve ad evitare rischi enormi per le aziende, specie in tempi di smartworking.

Gestore di password ed altre soluzioni

Fortunatamente, oggi esiste il gestore di password, strumento che funziona come una sorta di cassaforte per tutte le credenziali dell’utente. Si apre e si prende automaticamente la chiave che serve in un dato momento. Questo software provvede ad archiviare pws considerando l’impossibilità di ricordare tante combinazioni o certe stringhe. optare per un password manager è utile per non doversi ricordare a memoria decine o centinaia di password.

I principali browser ora offrono pws uniche e robuste, molte aziende di cybersecurity rilasciano strumenti per verificare se le credenziali create fanno parte di una violazione dati.

Per proteggere la password, gli esperti consigliano agli utenti:

• autenticazione a più fattori, un servizio extra di sicurezza che richiede all’utente di inserire un codice inviato tramite sms o generato tramite app. È preferibile utilizzare autenticatori basati sui token o app piuttosto che codici inviati tramite sms;
• biometria che elimina la necessità di password ed aggiunge un livello di complessità alle proprie credenziali;
• chiave U2F, dispositivo fisico di protezione da collegare al pc;
• mantenimento della password. Si consiglia di controllare gli account abbinati alle password, rimuovere quelli inutili, mantenere le password al minimo per ridurre le possibilità di furti legati a nomi utente e indirizzi e-mail.

Ridurre il rischio di violazione password: i 5 consigli di Bitdefender

Bitdefender dà 5 consigli per ridurre all’osso il rischio di violazione delle password:

• sfruttare un software per la gestione delle password: genera password casuali, lunghe oltre i 20 caratteri, permette di ricordare solo la pws principale di questo strumento che funziona come una cassaforte di credenziali;
• evitare quei servizi che non supportano la MFA (autenticazione a più fattori);
• utilizzare l’autenticazione unica (single sign on) anziché creare un account e un’altra password: accedere con Apple, Google, Facebook, Active directory aziendale, ecc.;
• sfruttare sistemi di riconoscimento biometrico (l’iride, il riconoscimento facciale, impronta digitale);
• usare prudenza ogni volta che si digitano online le proprie credenziali (pass, pin, pattern, telefono) sia per le persone vicine a noi sia considerando che le telecamere ormai sono diffuse ovunque.

Il futuro IT sarà senza password?

Cisco fa sapere che la crescita esponenziale del numero di password genera costi aggiuntivi e difficoltà di gestione. Ha, perciò, annunciato una modalità di autenticazione che non necessita di password: consente di accedere alle app cloud con una chiave di sicurezza o tramite riconoscimento biometrico.

Una soluzione innovativa arriva dalla startup torinese Toothpic. il sistema che propone trasforma qualsiasi smartphone in una chiave di accesso sicura per l’autenticazione online sfruttando la firma involontaria e nascosta lasciata da ogni fotocamera. Il sistema custodisce le chiavi del telefono criptandole con un codice segreto estrapolato da una caratteristica hardware: le imperfezioni di fabbricazione dei sensori fotografici, uniche e non replicabili, rendono ogni cellulare diverso da qualsiasi altro.