La stragrande maggioranza delle intrusioni informatiche avviene ancora (purtroppo) a causa di politiche di gestione delle password a dir poco deboli o inesistenti.
Negli ultimi mesi abbiamo assistito a mastodontici attacchi di tipo “data leakage” che innescano spesso un effetto domino per la sicurezza dell’utente.
Il data leakage, tradotto è l’equivalente di “perdita di dati”. Quasi giornalmente in rete si susseguono rilasci di dati sensibili composti da username e password estratti da siti web vulnerabili che sono oggetto delle attenzioni morbose di hacker e black hat.
Per approfondire : “L’iniezione SQL,l’attacco che spaventa la rete“.
Questo tipo di eventi sono collegati strettamente con la sicurezza di ogni internauta non fosse altro perchè comodamente ogni utente è portato ad utilizzare una singola password con cui accede a numerosi servizi web ed ai social network preferiti… quando non addirittura ai servizi di online banking. Nel momento in cui uno dei siti web che utilizziamo giornalmente viene attaccato e da quest’ultimo vengono estratti eventuali dati personali degli utenti la sicurezza di tutta la sfera digitale della persona viene messa in pericolo. Alla luce di questi dati di fatto diventa chiaro come una corretta gestione delle password è assolutamente fondamentale per garantire la nostra sicurezza online. Ecco alcune linee guida utili :
- modifica con cadenza periodica le password di tutti i tuoi account di posta e/o degli account di iscrizione sui social network che frequenti.
- non utilizzare la stessa password per più account. Impara a differenziare profondamente ogni password dall’altra.
- non utilizzare nomi di persona e/o parole o frasi direttamente attinenti alla tua sfera privata per la costruzione delle password, tradotto non utilizzare nomi di parenti,familiari,amici o animali per le tue password.Sono l’obiettivo primario di ingegneri sociali e black hat.
- per ricordare facilmente le password più complicate impara a ricavarle da frasi o citazioni che puoi memorizzare con scioltezza. Ad esempio la frase “la nebbia agli irti colli” può agevolmente essere trasformata in una password indistruttibile come “l4n3BB1a@g7ir1Co771″.
- se le password da gestire sono veramente tante utilizza dei portafogli virtuali per archiviarle. Ad esempio l’accoppiata KeePass/Truecrypt può essere un’ottima barriera a difesa dei tuoi elenchi di password. KeePass per contenere le parole chiavi e Tryecrypt per crittografare il database delle password e proteggerlo in un volume di memorizzazione esterno e portatile.
Oltre alle linee guida più elementari per la gestione delle password è inoltre molto importante capire come e quando le nostre parole chiavi transitano sulla rete durante l’autenticazione ai servizi online. Ad esempio e’ preferibile utilizzare solo ed esclusivamente le versioni https dei siti web e dei servizi online che utilizziamo quotidianamente. La crittografia del traffico web è un ottimo alleato contro gli attacchi man in the middle.
Per approfondire : “La sicurezza comincia sul desktop, ftp ed sftp“
Un discorso a parte merita invece la politica di gestione delle password dei servizi più sensibili come account ftp o credenziali di login amministrative per portali ed ecommerce. I webmaster più esperti sanno che è necessario fare uso di parole chiavi non prevedibili e ricche di caratteri speciali per scongiurare i rischi derivanti dagli attacchi brute force. Molto spesso, con un trend che fortunatamente è comunque in fase discendente vengono scelte come password semplici sequenze di cifre ricavate dalle date di nascita o da combinazioni prevedibili come 0123456. Sebbene l’utenza media e quella più avanzate stiano acquisendo una sensibilità diversa nei confronti delle attività di gestione delle password sono ancora molti gli account “dormienti”, ovvero quegli account ftp o di posta che vengono utilizzati per anni ed anni senza vedersi mai modificare la password. Una delle pratiche più pericolose è infatti quella di lasciare attive le password di default fornite dal provider di hosting/server al momento dell’attivazione del servizio.
In definitiva quello che si richiede all’utente è un piccolo sforzo a scapito della comodità, ovvero rinunciare alla praticità di utilizzo di password semplici da ricordare ma debolissime per fare spazio a password leggermente più complesse da memorizzare ma molto forti e resistenti. Del resto nell’informatica la comodità non fa rima con la sicurezza. Alla prossima.
