Difendersi dal furto di password sul web

Nonostante le aziende facciano molta attenzione alla sicurezza digitale gli attacchi non tendono a diminuire, piuttosto a cambiare forma diventando difficili da prevenire. Una delle forme più utilizzate di attacco è il furto di password. Si tratta di una modalità remunerativa sotto diversi punti di vista: da un lato il cybercriminale fa commercio delle password, trattandosi di un bene prezioso, dall’altro le utilizza ad esempio per mettersi in contatto con la rubrica del malcapitato, cercando di estorcere denaro dichiarandosi in difficoltà economica. 

Barracuda ha recentemente individuato le tecniche più utilizzate al momento.

  • Phishing, vale a dire invio di email contenenti allegati infetti,
  • Impersonation, email con allegati sono presentati come documenti ufficiali
  • aggiramento tecniche di riconoscimento, cioè invio di fileWord ed Excel, documenti che creano fiducia in chi riceve e per questo vengono aperti facilmente.
A tutti può essere capitato, per questo bisogna tenere gli occhi aperti, in particolar modo i lavoratori in azienda.

L’unico modo per difendersi da questi attacchi è la conoscenza, sapere sotto che forma possono arrivare le email ed essere scettici permette di evitare errori. Per questo gioca un ruolo fondamentale la formazione azienda, per rendere consapevoli i dipendenti e aggiornarli sui nuovi tipi di attacchi, trattandosi di un mondo in continua evoluzione.

Online banking, social network e sistemi aziendali di amministrazione o fruizione hanno tutti in comune la necessità di adottare credenziali di accesso. Si può fare da sé o affidarsi ad un software di creazione e gestione password.

Se non si vuole delegare il tutto ad un sistema di password manager, però, è utile conoscere le regole di composizione delle credenziali più sicure, al fine di una facile e corretta memorizzazione. Partendo da un punto fermo: diversificare, complicare e ricordare facilmente le password di accesso sono i  tre requisiti essenziali per proteggere con efficacia  i dati informatici.

Come creare password

Mentre l’ID potrebbe anche circolare in chiaro, la password non deve mai essere intellegibile, intuibile o ricavabile facilmente. Più facile a dirsi che a farsi. Per soddisfare l’esigenza è di renderla contemporaneamente diversificata per ogni sistema, il più complicata possibile e di facile memorizzazione basta applicare una regola aurea: mai scegliere una parola ma il risultato di una formula  nota solo all’utente. Da cui discendono le altre.

  • lunghezza oltre gli 8-10 caratteri.: un attacco a forza bruta (che tenta tutte le possibili varianti) richiederebbe tempi abbastanza lunghi per il comune cyber-criminale.
  • mix di lettere, numeri e caratteri speciali: le combinazioni possibili crescono esponenzialmente con rispetto al set di caratteri per ogni posizione.
  • senso: caratteri a caso sulla tastiera creano password complesse ma non memorizzabili, meglio una frase di cui inserire prima le consonanti, poi le vocali e poi la punteggiatura o i caratteri speciali.
  • caratteri speciali al posto delle lettere: ad esempio$ per la S, “zero” per la O, € per la E.
  • riferimenti: si può abbinare la password al servizio per cui serve, aggiungendo caratteri speciali o numeri prima, dopo o nel mezzo.
  • formule: si può scegliere una formula matematica o una serie numerica arricchita dii altri caratteri (es:: pi greco è 3.141592653589793238…).
  • aggiornamento: cambiare password a intervalli regolari per stroncare eventuali attacchi ripetuti nel tempo al proprio account.

Da evitare

  • Dati personali: nascita e matrimoni, nomi e cognomi, codice fiscale…
  • Ripetizioni di lettere, caratteri e numeri…
  • Notorietà: frasi famose, parole lunghe dal dizionario o troppo comuni (Dio, Sesso, Amore…) che troneggiano nei dizionari degli hacker per i sistemi “forza bruta”.
  • Trascrizione: non custodire le password in nessun luogo fisico o digitale.
  • Comunicazione: non citarle al telefono, via mail o per SMS.

Alcuni sistemi software, comunque, misurano il grado di complessità evidenziando in verde o in rosso il grado raggiunto: è sempre bene ascoltare i suggerimenti dati per una ulteriore ottimizzazione della password.

Se non siete esperti o non volete lasciare spazio ad errori meglio affidarsi ad un tecnico esperto in materia. Se ci contattate sapremo essere di aiuto.

Leave a Reply

Vai alla barra degli strumenti