Password, Password e ancora Password!
Abbiamo password per ogni device, app, servizio: appena apri gli occhi al mattino qualcosa ti chiede una password o un codice di sblocco, arrivi in ufficio e devi inserire la password del PC, poi apri il gestionale, altra password, apri il sito per prenotare una stanza in albergo, altra password.
E non basta che il numero delle nostre password tenda all’infinito, molti sistemi, giustamente, ci richiedono password complesse difficili da ricordare e quindi o metti la stessa password ovunque (sbagliatissimo) o prendi i Post-it e riempi il bordo del monitor (sbagliatissimo).
Come posso gestire in modo sicuro le mie password, senza ricorrere agli psicofarmaci?
Distrazione e pigrizia: i peggiori nemici delle password
Le password sono come le chiavi di casa o di una cassaforte, proteggono qualcosa di molto importante: la nostra identità digitale.
Leggendo il Verizons Data Breach Investigations Report 2022 si scopre che oltre l’80% delle violazioni possono essere attribuite a credenziali rubate o deboli.
Quali sono i tipi di attacchi usati per rubare le password degli utenti? Sono molti, ma i più efficaci sono due e sfruttano la distrazione e la pigrizia umana.
Questi attacchi iniziano con una semplice mail che sembra arrivare da un fornitore di energia elettrica o dalla banca e cerca di convincere l’utente a comunicare la propria password o aprire un sito web (falso) in cui reinserire le proprie credenziali.
Credential Stuffing
Questo attacco si basa sulla pessima abitudine di usare la stessa password per tanti siti e servizi on-line. Capiamo perchè è una pessima abitudine…
L’attacco si concentra sul violare il sito di un servizio online popolare per esfiltrare il database delle credenziali (user e password) per poi provare queste credenziali automaticamente su diverse centinaia di altri servizi online.
Spesso dopo averne usate alcune per altri attacchi e/o truffe vengono vendute sul DarkWeb. (il nostro servizio BreachWatch verifica se le tue password sono finite nel DarkWeb)
Password Cracking
È l’insieme di tutte le tecniche informatiche per recuperare una password dai sistemi e non dall’errore umano.
Possiamo elencare attacchi: Brute Force, a Dizionario, a Regole, a Maschera e tutte le combinazioni precedenti.
Ormai i computer sono molto potenti: facendo lavorare qualche GPU affiancata si possono raggiungere i 100GHz/s e con queste tecniche le password deboli si scoprono in pochi minuti. Come possiamo difendere la nostra identità digitale?
Come faccio a ricordare centinaia di password complesse? Semplice non farlo!
Ci servono password sicure, OK! Ma come deve essere una password sicura?
E’ la complessità a rendere una password sicura: deve avere almeno 12-20 caratteri di tutti i tipi (speciali, numeri, lettere min. e MAIUS), e deve essere unica, ovvero deve essere usata per un singolo servizio. Stop alla stessa password ovunque. Password con queste caratteristiche vanno benissimo, a patto di non scriverle su bigliettini attaccati al monitor!
Obbiezione: ma così ho centinaia di password umanamente impossibili da ricordare!
E’ vero: decine, centina di password così: T@I]6J0A3g5bNND.ViXg, sono complesse e sicure, ma sono umanamente impossibili da ricordare e quindi c’è solo una cosa da fare: tu non devi ricordarle, tu devi usare un Password Manager che le ricorderà per te!
Che cosa è un Password Manager e come funziona?
Una password per domarle, una password per trovarle, una password per ghermirle!
Come nel Signore degli anelli? Si esatto!
I Password Manager sono il vostro personale Anello del Potere! Che cosa sono?
Tecnicamente sono software che creano archivi di password (database) crittografati e ti chiedono di ricordare una sola password, la Master Password che è la chiave per proteggere (crittografare) ed accedere (decrittografare) al tuo archivio di password. Questi software, solitamente hanno anche dei plugin per i browser più diffusi, che permettono l’autocompletamento delle credenziali quando navighi su internet e ti aiutano a creare password complesse quando devi creare le credenziali per una nuova iscrizione.
Quindi, con un buon Password Manger, tu devi ricordarti una sola password con la quale dominerai tutte le altre.
Consigliamo, per rendere ancora più sicuro l’apertura di questa cassaforte delle password di attivare la 2FA o MFA, ovvero l’autenticazione a due o più fattori. Cosa significa?
I fattori di autenticazione
L’autenticazione si basa su chi sei (user) e su una o più informazioni aggiuntive:
1) Qualcosa che conosci (una password o un pin)
2) Qualcosa che hai (bancomat, cellulare, badge)
3) Qualcosa che sei (voce, impronte, retina, faccia)
Una password può essere rubata, scoperta, trafugata. Per mitigare al massimo questo rischio su molti sistemi si possono combinare 2 o più fattori per l’autenticazione: basta una app gratuita per i TOTP!
TOTP
Le TOTP (Time-based One Time Password) sono password temporanee di breve durata (da 30 secondi a 5 minuti) che scadono dopo l’uso o la durata prestabilita.
Vengono generate da un algoritmo basato sul tempo e una chiave segreta condivisa (qrcode).
App come Authy o Google Authenticator possono generare TOTP per ogni servizio che usa questo standard. Configurando un TOTP oltre alla password otterremo un’autenticazione a due fattori (2FA), molto più sicura.
Con IronPassword-Keeper risolverai tutti i tuoi problemi nella gestione delle password!
Che mondo complicato! Quindi dovresti avere:
Password lunghe complicate e diverse per ogni servizio!
Come questa IV6f+}{c3ag}qVGG2acd
Un ottimo Password Manager per gestirle e che sia accessibile da PC, Tablet e Smartphone. E soprattutto che sia sicuro e semplice da usare.
Un consulente esperto al tuo fianco che ti aiuti a configurare ed usare velocemente il Password Manager
Siamo consapevoli di quanto la gestione delle password sia complicata per ogni persona ed è per questo che abbiamo cercato e provato molte soluzioni di passoword manager. Alla fine abbiamo trovato la Soluzione: Keeper + IronPassword
La migliore piattaforma di Password Manager (Keeper) affiancata dal miglior supporto di Kaos Informatica (IronPassword)!
Perchè abbiamo scelto Keeper?
Pechè racchiude in sé tutte le caratteristiche descritte, e molto di più, in un unico servizio sicuro e semplice da usare.
Finalmente porterai la sicurezza delle tue password e della tua azienda ai massimi livelli!
Keeper è il password manager aziendale n.1 al mondo semplice e sicuro:
- Configurazione rapida e facile.
- Creazione team di utenti con cui condividere accessi con password uniche e forti.
- Protezione di ogni utente e ogni dispositivo, in ogni luogo, con sistemi blindati.
- Installazione su un numero illimitato di dispositivi: Pc, Tablet, Smartphone
- Piattaforma con sicurezza Zero-Trust e Zero-Knowledge migliore della categoria
- Accesso ai siti Web con un clic grazie all’inserimento automatico delle password su tutti i browser.
- App per tutti gli Smathphone sincronizzate automaticamente.
- Autenticazione a più fattori (2FA – TOTP e KeeperDNA per smartwatch)
- Verifica sulla sicurezza delle password che usi (segnala password poco complesse e/o riutilizzate)
- Cronologia delle password.
- Verifica nel DarkWeb della presenza delle proprie password personali. (opzionale)
- Formazione, supporto e consigli dai nostri esperti di sicurezza.
I prezzi partono da 3,75 euro utente/mese e smetti di impazzire!
45 €/anno per utente per il piano Business
- Sistema blindato e criptato per ogni utente
- Dispositivi illimitati
- Creazione di cartelle e sotto cartelle
- Condivisione delle cartelle dei team
- Standard minimi per la creazione delle nuove password
- Audit e report di sicurezza
- Report sull’attività degli utenti
- Gestione dei team
- Autenticazione a due fattori
- Accesso biometrico senza password
Ma non finisce quì!
Ogni utente Business avrà in omaggio un Piano familiare Keeper gratuito!
Vuoi aumentare il livello di sicurezza della tua azienda?
Utilizza password molto lunghe e complesse, sempre diverse per ogni servizio e abbina un sistema di autenticazione a due fattori.
Con PassPortal la gestione sarà facilissima, professionale e a portata di tutti. Contattaci per avere una quotazione completamente gratuita per la tua infrastruttura!
Social Engineering
Gli attacchi che sfruttano l’ingegneria sociale non usano complesse tecniche informatiche, ma semplicemente un po’ di conoscenza degli schemi mentali umani: distrazione e ignoranza.