Sicurezza e gestione delle Password
Blog sulla realizzazione di siti web, argomenti SEO e consigli utili
scritto da Marco Angiolini il 09-01-2024 17:33
Una delle principali problematiche della navigazione su Internet riguarda la gestione e la protezione delle password. All’interno della rete abbiamo credenziali di accesso per diversi siti web, come i social, la casella email, l’account bancario, servizi di intrattenimento, ecc.
Pur sapendo che sarebbe buona norma avere password diverse per ogni sito web, molti utenti faticano a ricordarne così tante, finendo per utilizzare sempre la stessa su ogni piattaforma.
È proprio su questo principio che i malintenzionati progettano attacchi per rubare le credenziali di accesso.
Social, fornitori di servizio email, banche, servizi di intrattenimento, hanno tutti necessariamente un database dove memorizzano le credenziali di accesso di tutti i loro clienti. Certo, le normative sulla sicurezza e la privacy impongono che i dati di accesso non siano memorizzati in chiaro (ossia esattamente come sono scritti), ma che vengano cifrati per renderli illeggibili dai malintenzionati.
Accade però talvolta che i database di alcuni siti vengano hackerati e il loro contenuto venduto nel Dark Web.
In questi casi, i dati sensibili degli utenti iscritti a quei siti possono essere acquisiti da malintenzionati, che li useranno per rubare le identità o provare ad accedere ad altri siti internet sapendo che molti utenti avranno utilizzato le stesse password.
Per nostra fortuna abbiamo modo di scoprire se le nostre credenziali sono state compromesse. Il sito Have I Been Pwned (https://haveibeenpwned.com/) ha raccolto tutti i database che sappiamo che sono stati copiati e trasmessi sul web.
All'interno del sito è possibile inserire il proprio indirizzo email e, cliccando sul pulsante "pwned?" sapremo se l’indirizzo è presente in uno o più database compromessi.
È anche possibile verificare se le password che stiamo utilizzando sono prensenti all’interno dei database: dalla sezione “Passwords” (https://haveibeenpwned.com/Passwords) sapremo se la nostra password è stata compromessa.
Attenzione: il sito non verifica la corrispondenza tra l’indirizzo email e la password, per cui se trova riscontri per la password c’è comunque la possibilità che non sia la vostra, ma di altri utenti. Ovviamente questo nel caso in cui la password sia banale, difficilmente più utenti possono avere la stessa password se questa è "rFYwB6[*=2h?C!e8-97zmZ"
Anche i principali browser (Google Chrome, Mozilla Firefox, ecc) hanno integrato lo strumento per verificare le credenziali di accesso. Questo strumento è disponibile solo se abbiamo scelto di far memorizzare le nostre password al browser
Google Chrome
Accedere alla impostazioni del browser Google Chrome cliccando sul pulsante con i tre punti verticali che si trova in alto a destra e quindi cliccando su "Impostazioni", oppure accedendo direttamente all’indirizzo chrome://settings/
Nel menu laterale selezionare la voce "Compilazione automatica" e quindi cliccare su "Gestione Password". Nella pagina seguente cliccare su "Controlla password" e attendere il risultato.
Dal menu laterale seleziona infine la voce "Privacy e sicurezza". Nella pagina corrispondenze seleziona "Protezione avanzata", in questo modo il browser ti manderà una notifica se una delle tue password è stata compromessa.
Mozilla Firefox
Accedere alle impostazioni del browser Mozilla Firefox cliccando sul pulsante con le tre linee orizzontali che si trova in alto a destra e quindi cliccando su "Preferenze", oppure accedendo direttamente all’indirizzo about:preferences
Nel menu laterale selezionare la voce "Privacy e sicurezza", scorrere la pagina fino alla sezionne "Credenziali e password" e selezionare la casella "Visualizza avvisi per le password di siti coinvolti in violazioni di dati"
Nel caso in cui vengano segnalate delle corrispondenze, è buona norma procedere alla modifica delle password su tutti i propri account.
1) Cambiare periodicamente le password
Molti sostengono che occorra modificare le password ogni 3 mesi circa.
Questo periodo di tempo va bene se utilizziamo password poco sicure, perché sono facili da hackerare. Va tenuto di conto però che cambiare troppo spesso le password ci porta a modificarle di poco, per evitare di dimenticarcele. Per esempio passiamo da “comodino1” a “comodino2” e così via. Se un malintenzionato ha a disposizione lo storico delle nostre password, impiegherà pochissimi secondi a risalire alla nostra password se conosce una di quelle passate.
Se invece si utilizzano passowrd sicure, è sufficiente cambiarle ogni 6-12 mesi, sempre facendo attenzione a non creare nuove password “simili” a quelle precedenti.
2) Non utilizzare la stessa password su siti diversi
Come specificato in precedenza in questo articolo, utilizzare la stessa password permette a un malintenzionato che è riscito ad hackrarla di poter avere accesso a tutti i siti ai quali siamo iscritti.
3) Creare password sicure
Vediamo nel paragrafo successivo come poter creare una password sicura.
1) Utilizza lettere minuscole, lettere maiuscole, numeri e simboli
Non limitarti a usare la maiuscola all'inizio della password, usane alcune anche nel centro.
Cerca di non creare parole di senso compiuto, come ad esempio "rFYwB6[*=2h?C!e8-97zmZ", o comunque cerca almeno di non usare parole che siano riconducibili a te, come la tua squadra preferita, il giorno del tuo compleanno, il nome di un parente, ecc.
2) Crea una password lunga
Molti siti consigliano almeno 8 caratteri, ma ricorda che più lunga è la password e più difficile diventa da indovinare: creane una di almeno 12-15 caratteri.
3) Crea una password complessa escogitando un modo per ricordarla
Ci sono molti modi per creare password usando un sistema logico per ricordarle.
Puoi ad esempio invertire le lettere di una parola con i numeri e i simboli che gli somigliano, per esempio invece di "caleidoscopio" potresti usare "C@l3!d0Sc0p!0".
Oltre a questo puoi usare parole generiche separate da numeri o trattini, come ad esempio "@lb3r0-F!0r3-S3m3".
Oppure ancora creare stringhe apparentemente casuali che però per te hanno un significato, come ad esempio l’anno in cui la tua squadra ha vinto il mondiale seguito dalle iniziali dei nomi dei sette nani in ordine alfabetico seguiti infine dal tuo numero di scarpe e quindi ottenere "2020#bcdegmp#45"
Pur sapendo che sarebbe buona norma avere password diverse per ogni sito web, molti utenti faticano a ricordarne così tante, finendo per utilizzare sempre la stessa su ogni piattaforma.
È proprio su questo principio che i malintenzionati progettano attacchi per rubare le credenziali di accesso.
Social, fornitori di servizio email, banche, servizi di intrattenimento, hanno tutti necessariamente un database dove memorizzano le credenziali di accesso di tutti i loro clienti. Certo, le normative sulla sicurezza e la privacy impongono che i dati di accesso non siano memorizzati in chiaro (ossia esattamente come sono scritti), ma che vengano cifrati per renderli illeggibili dai malintenzionati.
Accade però talvolta che i database di alcuni siti vengano hackerati e il loro contenuto venduto nel Dark Web.
In questi casi, i dati sensibili degli utenti iscritti a quei siti possono essere acquisiti da malintenzionati, che li useranno per rubare le identità o provare ad accedere ad altri siti internet sapendo che molti utenti avranno utilizzato le stesse password.
Come verificare se i propri dati sono stati compromessi
Per nostra fortuna abbiamo modo di scoprire se le nostre credenziali sono state compromesse. Il sito Have I Been Pwned (https://haveibeenpwned.com/) ha raccolto tutti i database che sappiamo che sono stati copiati e trasmessi sul web.
All'interno del sito è possibile inserire il proprio indirizzo email e, cliccando sul pulsante "pwned?" sapremo se l’indirizzo è presente in uno o più database compromessi.
È anche possibile verificare se le password che stiamo utilizzando sono prensenti all’interno dei database: dalla sezione “Passwords” (https://haveibeenpwned.com/Passwords) sapremo se la nostra password è stata compromessa.
Attenzione: il sito non verifica la corrispondenza tra l’indirizzo email e la password, per cui se trova riscontri per la password c’è comunque la possibilità che non sia la vostra, ma di altri utenti. Ovviamente questo nel caso in cui la password sia banale, difficilmente più utenti possono avere la stessa password se questa è "rFYwB6[*=2h?C!e8-97zmZ"
Anche i principali browser (Google Chrome, Mozilla Firefox, ecc) hanno integrato lo strumento per verificare le credenziali di accesso. Questo strumento è disponibile solo se abbiamo scelto di far memorizzare le nostre password al browser
Google Chrome
Accedere alla impostazioni del browser Google Chrome cliccando sul pulsante con i tre punti verticali che si trova in alto a destra e quindi cliccando su "Impostazioni", oppure accedendo direttamente all’indirizzo chrome://settings/
Nel menu laterale selezionare la voce "Compilazione automatica" e quindi cliccare su "Gestione Password". Nella pagina seguente cliccare su "Controlla password" e attendere il risultato.
Dal menu laterale seleziona infine la voce "Privacy e sicurezza". Nella pagina corrispondenze seleziona "Protezione avanzata", in questo modo il browser ti manderà una notifica se una delle tue password è stata compromessa.
Mozilla Firefox
Accedere alle impostazioni del browser Mozilla Firefox cliccando sul pulsante con le tre linee orizzontali che si trova in alto a destra e quindi cliccando su "Preferenze", oppure accedendo direttamente all’indirizzo about:preferences
Nel menu laterale selezionare la voce "Privacy e sicurezza", scorrere la pagina fino alla sezionne "Credenziali e password" e selezionare la casella "Visualizza avvisi per le password di siti coinvolti in violazioni di dati"
Cosa fare se i tuoi dati sono compromessi
Nel caso in cui vengano segnalate delle corrispondenze, è buona norma procedere alla modifica delle password su tutti i propri account.
Come gestire al meglio e rendere sicure le tue password
1) Cambiare periodicamente le password
Molti sostengono che occorra modificare le password ogni 3 mesi circa.
Questo periodo di tempo va bene se utilizziamo password poco sicure, perché sono facili da hackerare. Va tenuto di conto però che cambiare troppo spesso le password ci porta a modificarle di poco, per evitare di dimenticarcele. Per esempio passiamo da “comodino1” a “comodino2” e così via. Se un malintenzionato ha a disposizione lo storico delle nostre password, impiegherà pochissimi secondi a risalire alla nostra password se conosce una di quelle passate.
Se invece si utilizzano passowrd sicure, è sufficiente cambiarle ogni 6-12 mesi, sempre facendo attenzione a non creare nuove password “simili” a quelle precedenti.
2) Non utilizzare la stessa password su siti diversi
Come specificato in precedenza in questo articolo, utilizzare la stessa password permette a un malintenzionato che è riscito ad hackrarla di poter avere accesso a tutti i siti ai quali siamo iscritti.
3) Creare password sicure
Vediamo nel paragrafo successivo come poter creare una password sicura.
Linee guida per creare password sicure
1) Utilizza lettere minuscole, lettere maiuscole, numeri e simboli
Non limitarti a usare la maiuscola all'inizio della password, usane alcune anche nel centro.
Cerca di non creare parole di senso compiuto, come ad esempio "rFYwB6[*=2h?C!e8-97zmZ", o comunque cerca almeno di non usare parole che siano riconducibili a te, come la tua squadra preferita, il giorno del tuo compleanno, il nome di un parente, ecc.
2) Crea una password lunga
Molti siti consigliano almeno 8 caratteri, ma ricorda che più lunga è la password e più difficile diventa da indovinare: creane una di almeno 12-15 caratteri.
3) Crea una password complessa escogitando un modo per ricordarla
Ci sono molti modi per creare password usando un sistema logico per ricordarle.
Puoi ad esempio invertire le lettere di una parola con i numeri e i simboli che gli somigliano, per esempio invece di "caleidoscopio" potresti usare "C@l3!d0Sc0p!0".
Oltre a questo puoi usare parole generiche separate da numeri o trattini, come ad esempio "@lb3r0-F!0r3-S3m3".
Oppure ancora creare stringhe apparentemente casuali che però per te hanno un significato, come ad esempio l’anno in cui la tua squadra ha vinto il mondiale seguito dalle iniziali dei nomi dei sette nani in ordine alfabetico seguiti infine dal tuo numero di scarpe e quindi ottenere "2020#bcdegmp#45"
Curiosità: le 20 password più utilizzate in Italia
Di seguito la lista delle password più utilizzate nel 2023 in base a una ricerca effettuata da NordPass:
| 1. admin 2. 123456 3. password 4. Password 5. 12345678 6. 123456789 7. password99 8. qwerty 9. UNKNOWN 10. 12345 | 11. ciaociao 12. francesco 13. 1234567890 14. Windows1 15. Windows10 16. riccardo 17. corrado 18. francesca 19. andrea 20. juventus |
[
]
[
]
]
[]