Di recente, più di mezzo milione di credenziali di accesso appartenenti agli utenti di un popolare servizio VPN sono state raccolte dagli hacker. Nulla si sa dell'attaccante, a parte il soprannome "Orange", con il quale ha rilasciato tutte queste informazioni su un forum del dark web subito dopo averle raccolte.
Sebbene questa sia solo l'ultima grande fuga di dati, non è né la prima né l'ultima. Secondo le informazioni dell'azienda, si ritiene che gli account siano stati compromessi attraverso una vulnerabilità precedentemente scoperta nel prodotto VPN.
Questo incidente è solo uno dei tanti che dovrebbero spingere le persone attente alla sicurezza a passare a strumenti più avanzati per la protezione delle password. In questa pagina, condivideremo i migliori consigli per la sicurezza delle password e discuteremo l'importanza di pratiche di sicurezza delle password solide.
Perché la sicurezza delle password è importante?
Se qualcuno entra in possesso delle tue credenziali di accesso e riesce a entrare nei tuoi account finanziari, potrebbe causarti gravi danni. Inoltre, se gli hacker riescono a rubare le credenziali relative al tuo lavoro, potresti mettere a rischio l'intera azienda, esponendola alla perdita di informazioni preziose.
Anche se lavori in una grande azienda o in un'organizzazione federale sicura, se utilizzi password deboli e credenziali di accesso poco robuste, non importa quanto siano avanzate le misure di sicurezza dell'organizzazione. La dura realtà è che chiunque può essere hackerato se non segue le linee guida consigliate per la sicurezza delle password. Non è una questione di "se", ma di "quando".
Indipendentemente dal tipo di violazione dei dati che affronti, tutte hanno alcuni aspetti in comune. Tutte le violazioni dei dati sono imbarazzanti. Inoltre, spesso comportano costi elevati. Nel solo 2024, il costo stimato degli attacchi hacker e delle violazioni della sicurezza delle password è previsto oltre i due trilioni di dollari.
Considerando che la stragrande maggioranza di queste violazioni avviene a causa di errori umani, l'importanza di buone abitudini nella gestione delle password diventa ancora più evidente. In questo caso, sta a ciascuno di noi proteggersi e assicurarsi di adottare le migliori pratiche di sicurezza per mantenere al sicuro le proprie informazioni. Questo ci porta al prossimo argomento chiave.
Consigli per la sicurezza delle password
Se hai mai cercato su Google "come proteggere la mia password", probabilmente sai quanti articoli inutili ci sono online che non offrono alcun consiglio valido. Senza girarci troppo attorno, abbiamo riassunto i migliori consigli per aggiungere un ulteriore livello di sicurezza ai tuoi account. Ecco come proteggere al meglio le tue password:
Sicurezza delle password: Livello 1
Sai davvero quanto è sicura la tua password? Indipendentemente da quanto pensi che la tua password sia sicura, puoi sempre proteggerla meglio. Il primo e più semplice modo per farlo è attivare la autenticazione a due fattori (2FA). In parole semplici, la 2FA è un passaggio aggiuntivo nel processo di verifica che aggiunge un ulteriore livello di sicurezza ai tuoi dati.
Ogni volta che accedi al tuo account o profilo da un nuovo dispositivo, dovrai verificare la tua identità con una chiave secondaria oltre alle credenziali di accesso iniziali. Nessuno può accedere al tuo account senza questa chiave secondaria, anche se ottiene le tue credenziali reali. Ecco perché dovresti sempre attivare la 2FA o la MFA (autenticazione multifattoriale) quando disponibile.
Gli esempi più comuni di 2FA e MFA sono i codici temporanei che ricevi sul telefono tramite SMS o un'app. Tuttavia, questa non è ancora la soluzione più sicura, poiché hacker esperti possono intercettare questi messaggi e segnali per accedere al tuo account.
Il modo migliore per utilizzare la 2FA come chiave di sicurezza delle password è usare un'app di autenticazione separata. L'app più conosciuta di questo tipo è Google Authenticator. È sicura, veloce e compatibile con la maggior parte dei servizi e delle piattaforme principali.
Tieni presente che questo passaggio aggiuntivo comporta alcuni svantaggi. Se non fai attenzione, potresti facilmente essere bloccato dal sistema 2FA, specialmente se cambi numero di telefono o perdi il dispositivo. Gestire la sicurezza in questo modo può essere impegnativo, ma con una buona organizzazione e abitudini di gestione delle password, è possibile proteggere tutti i tuoi account con la 2FA.
Sicurezza delle password: Livello 2
Se vuoi andare oltre il livello uno e aggiungere regole più rigide per la sicurezza delle password, assicurati che tutte le tue password rispettino le linee guida NIST. In breve, una password sicura dovrebbe:
- Avere una lunghezza di almeno 16 caratteri.
- Includere una combinazione di lettere, numeri e caratteri speciali.
- Non includere informazioni personali facilmente reperibili (indirizzo, nomi di figli, coniuge, animali domestici).
- Non avere numeri o lettere consecutivi.
Inoltre, non dovresti mai condividere le tue password, scriverle su carta o conservarle in un file sui tuoi dispositivi. Più persone conoscono le tue credenziali, maggiore è il rischio che queste informazioni finiscano nelle mani sbagliate.
Ancora più preoccupante, recenti ricerche mostrano che quasi la metà degli americani utilizza password deboli di soli otto caratteri o meno. Queste non sono nemmeno lontanamente sicure quanto le password che sono lunghe il doppio o più.
Ma se utilizzi password così forti e complesse da non poterle annotare da nessuna parte, come puoi ricordarti tutte le diverse credenziali di accesso per tutte le piattaforme e i servizi che usi? Fortunatamente, c'è una soluzione semplice a tutto questo: utilizzare un gestore di password.
Questi strumenti pratici ti consentono di generare e archiviare tutte le tue password in un'unica posizione. Invece di ricordare tutte le password e le credenziali di accesso, devi ricordare solo una password principale quando utilizzi il gestore di password. Esistono molti tipi di gestori di password, ma possiamo classificarli in tre gruppi principali: basati su browser, basati su cloud e basati su desktop.
Ovviamente, ciò solleva una domanda ragionevole: quanto sono sicuri i gestori di password? Ci sono alcuni rischi da considerare, in particolare il fatto che la natura dei gestori di password richiede che tutti i dati siano in un unico luogo. Inoltre, il backup non è sempre possibile, quindi dimenticare la tua password principale può causare problemi.
Tenendo conto di tutto ciò, un gestore di password robusto è estremamente difficile da compromettere in alcun modo. Questo perché utilizzano una crittografia AES a 256 bit e la cosiddetta tecnica "zero-knowledge". Il compito più cruciale è di nuovo tuo, l'utente. Finché crei una password principale forte, il tuo gestore di password sarà quasi impossibile da violare.
Sicurezza delle password: Livello 3
Nel caso in cui il Livello 2 non ti fornisca una sicurezza sufficiente, ci sono pratiche di sicurezza ancora più avanzate che puoi implementare. Tra queste, la più importante è l'abbandono totale delle password per tutti i tuoi account e servizi.
Negli ultimi anni, una nuova ondata di metodi di autenticazione si è diffusa nel settore grazie alla FIDO Alliance. FIDO supporta un'ampia gamma di tecnologie di autenticazione senza password, principalmente basate sull'identificazione biometrica. Questo include scanner di impronte digitali e dell'iride, riconoscimento vocale e facciale. Inoltre, l'autenticazione FIDO include soluzioni già efficaci, come token di sicurezza USB, smart card e NFC.
FIDO2 è l'ultimo standard senza password, che utilizza la crittografia a chiave pubblica per garantire un sistema di autenticazione sicuro e conveniente. Per farlo, FIDO2 utilizza sia una chiave privata che una chiave pubblica. Per configurare e utilizzare FIDO2, devi prima registrarti sui siti che supportano questo metodo di sicurezza.
FIDO2 è ben rappresentato nella maggior parte dei servizi principali ed è supportato da Google, Microsoft, Facebook, Twitter, AWS e altri servizi di alto livello. Puoi scegliere tra decine di chiavi di sicurezza compatibili con FIDO2, molte delle quali supportano i quattro principali sistemi operativi (Android, Windows, iOS e macOS). Questo ti consente di utilizzare comodamente l'autenticazione biometrica su tutti i dispositivi che supportano questa funzionalità.
Lo svantaggio principale di questo tipo di sicurezza delle password è che è ancora nelle sue fasi iniziali, il che significa che non si è diffuso a tutti i servizi e le piattaforme. Oltre ai principali attori tecnologici del settore, poche piattaforme e siti più piccoli hanno implementato lo standard FIDO2. Pertanto, per ora, non puoi impegnarti completamente nel Livello 3 e abbandonare del tutto l'autenticazione basata su password.
Gestione delle password senza problemi
Se vuoi creare il sistema più sicuro per gestire le tue password ma non apprezzi le complicazioni che derivano dai metodi dei livelli di sicurezza discussi sopra, abbiamo una soluzione semplice ed efficace per te. Il Hideez Key 4 colma il divario tra autenticazione basata su password e senza password.
Con questa chiave di sicurezza, tutte le tue password degli account sono archiviate in un dispositivo crittografato separato. Il dispositivo stesso è protetto da una password principale. Hideez Key si collega al tuo dispositivo tramite Bluetooth. Compila automaticamente le tue password con un solo clic e genera password robuste conformi agli standard NIST o password monouso. Inoltre, dispone di una funzione di autenticazione a prossimità, così puoi bloccare o sbloccare automaticamente il tuo PC quando ti avvicini o ti allontani.
Inoltre, funziona come una chiave di sicurezza FIDO. Questo significa che hai automaticamente accesso senza password ai siti web e alle app supportate da FIDO, poiché la chiave stessa sostituisce le password.
Il meglio di tutto, Hideez Key 4 possiede entrambe le certificazioni FIDO U2F e FIDO2. Puoi utilizzarlo sia per esigenze di sicurezza personali che nel tuo ambiente aziendale per proteggere postazioni di lavoro e account condivisi. Se vuoi saperne di più, puoi provare gratuitamente il servizio di autenticazione Hideez o prenotare una demo con uno dei nostri esperti di sicurezza.
