Punti chiave
Le password complesse sono ovviamente fondamentali per la tua sicurezza. La sfida è creare password complesse che puoi effettivamente ricordare, senza cadere nelle cattive abitudini che possono danneggiarti, come riutilizzare la stessa password per più account. Ma quante password riesci a ricordare? Potresti avere facilmente 85 password per tutti i tuoi account, dal bancario allo streaming ai social media.
Le password deboli o l’uso eccessivo della stessa password possono avere gravi conseguenze se i dati sono compromessi, anche se tale password è sicura. Ad esempio, nel 2019 le aziende hanno segnalato 5.183 violazioni dei dati che hanno rivelato informazioni personali come credenziali di accesso e indirizzi di casa che qualcuno potrebbe utilizzare per frodare o rubare la tua identità. E dal 2017, gli hacker hanno pubblicato 555 milioni di password rubate sul Web oscuro che i criminali possono utilizzare per violare i tuoi account.
La sicurezza della password potrebbe non impedire completamente l’esposizione dei dati, ma queste migliori pratiche possono aiutare a minimizzare il rischio. Ecco come creare e gestire le migliori password, come scoprire se vengono rubate e un suggerimento essenziale per rendere i tuoi account ancora più sicuri.
Utilizzare un gestore di password per tenere traccia delle password
Le password complesse sono più lunghe di otto caratteri, difficili da indovinare e contengono una varietà di caratteri, numeri e simboli speciali. I migliori possono essere difficili da ricordare, soprattutto se si utilizza un accesso distinto per ogni sito (che è consigliato). Qui entra in gioco la gestione delle password.
Un gestore di password di fiducia come 1Password o LastPass può creare e archiviare password complesse e lunghe per te. Funzionano su desktop e telefono.
Il piccolo avvertimento è che dovrai ancora memorizzare una singola password principale che sblocca tutte le altre password. Quindi rendilo il più forte possibile (e vedi sotto per suggerimenti più specifici al riguardo).
Browser come Google Chrome e Firefox di Mozilla sono dotati anche di gestori di password, ma il metodo di protezione delle password che memorizzano non è dei migliori, è preferibile utilizzare un’app dedicata.
I gestori di password con i loro contenuti sono, ovviamente, obiettivi ovvi per gli hacker. E i gestori di password non sono perfetti. Lo scorso settembre LastPass ha corretto un difetto che avrebbe potuto esporre le credenziali di un cliente.
Scrivere le tue credenziali di accesso. Veramente?
Questa raccomandazione va contro tutto ciò che ci è stato detto sulla protezione di noi stessi online. Ma i gestori di password non sono per tutti e alcuni dei maggiori esperti di sicurezza, come la Electronic Frontier Foundation, suggeriscono che conservare le informazioni di accesso su un foglio di carta fisico o su un taccuino sia un modo fattibile per tenere traccia delle credenziali.
E stiamo parlando di un vero documento vecchio stile, non di un documento elettronico come un file Word o un foglio di calcolo di Google, perché se qualcuno accede al tuo computer o agli account online, può anche ottenere l’accesso a quel file di password elettronica.
Certo, questo è utile nel caso l’attacco avvenga online, come in virus, come una intrusione esterna. C’è però un pericolo nella scrittura fisica, amici e “partner”, o colleghi invidiosi. Se qualcuno sapesse che le tue password sono su un blocchetto o un foglio, sarebbe facilissimo per chiunque prenderlo. E’ quindi un qualcosa di sconsigliato.
Scopri se le tue password sono state rubate
Non è sempre possibile impedire il furto delle password, attraverso una violazione dei dati o un hack dannoso. Ma puoi verificare in qualsiasi momento la presenza di suggerimenti che potrebbero compromettere i tuoi account.
Mozilla Firefox Monitor e Google Password Checkup possono mostrarti quali dei tuoi indirizzi e-mail e password sono stati compromessi in una violazione dei dati in modo da poter agire. Have I Been Pwned può anche mostrarti se le tue e-mail e password sono state rubate.
Evita parole e combinazioni comuni nella tua password
L’obiettivo è creare una password che qualcun altro non conosce o non sarà in grado di indovinare facilmente. Stai lontano da parole comuni come “password”, frasi come “parola chiave” e sequenze di caratteri prevedibili come “qwerty” o “buongiorno”.
Evita anche di usare il tuo nome, soprannome, il nome del tuo animale domestico, il tuo compleanno o anniversario, il nome della tua strada o qualsiasi cosa associata a te che qualcuno potrebbe scoprire dai social media o da una conversazione sentita con uno sconosciuto su un aereo o al bar.
Le password più lunghe sono migliori: 8 caratteri è un punto di partenza
8 caratteri sono un ottimo punto di partenza quando si crea una password complessa, ma le combinazioni più lunghe sono migliori. La Electronic Frontier Foundation e l’esperto di sicurezza Brian Curbs, tra molti altri, consigliano di utilizzare una passphrase composta da tre o quattro parole casuali per una maggiore sicurezza. Una passphrase più lunga composta da parole non connesse può essere difficile da ricordare, tuttavia, è per questo che dovresti prendere in considerazione l’uso di un gestore di password.
Non riciclare le tue password
Vale la pena ripetere che riutilizzare le password su account diversi è un’idea terribile. Se qualcuno scopre la tua password riutilizzata per un account, ha la chiave per ogni altro account per cui usi quella password.
Lo stesso vale per la modifica di una password di root che cambia con l’aggiunta di un prefisso o suffisso. Ad esempio, PasswordOne, PasswordTwo (entrambi sono dannosi per diversi motivi). Scegliendo una password univoca per ciascun account, se anche la tua password fosse scoperta non potrebbero usarla per accedere a tutto il resto.
Non è necessario reimpostare periodicamente la password
Per anni, cambiare le password ogni 60 o 90 giorni è stata una pratica accettata come sicura, perché, secondo il pensiero, era il tempo impiegato per decifrare una password.
Ma Microsoft ora consiglia che, a meno che non si sospetti che le password siano state esposte, non è necessario modificarle periodicamente. La ragione? Molti di noi, costretti a cambiare le nostre password ogni pochi mesi, cadono in cattive abitudini nel creare password facili da ricordare o scriverle su foglietti adesivi e metterle sui nostri monitor.
Usa l’autenticazione a due fattori (2FA) ma cerca di evitare i codici dei messaggi di testo
Se i ladri rubano la tua password, puoi comunque impedire loro di accedere al tuo account con l’ autenticazione a due fattori (chiamata anche verifica in due passaggi o 2FA), una protezione di sicurezza che richiede di inserire una seconda informazione che solo tu hai (di solito un codice una tantum) prima che l’app o il servizio ti conceda accesso.
In questo modo, anche se un attacker scopre le tue password, senza il tuo dispositivo di controllo (come il tuo telefono) e il codice di verifica che conferma che sei davvero tu, non sarà in grado di accedere al tuo account.
Mentre è comune e conveniente ricevere questi codici in un messaggio di testo sul tuo cellulare o in una chiamata al tuo telefono fisso, è abbastanza semplice per un intruso rubare il tuo numero di telefono attraverso la frode di scambio SIM e quindi intercettare il tuo codice di verifica.
Un modo molto più sicuro per ricevere i codici di verifica è quello di generare e recuperarli tu stesso utilizzando un’app di autenticazione come Authy , Google Authenticator o Microsoft Authenticator. E una volta configurato, puoi scegliere di registrare il tuo dispositivo o browser in modo da non dover continuare a verificarlo ogni volta che accedi.
Quando si tratta di sicurezza delle password, essere proattivi è la migliore protezione. Ciò include sapere se la tua e-mail e le password si trovano sul dark web. E se scopri che i tuoi dati sono stati rubati agisci immediatamente con esperti o pratiche di sicurezza.