I consigli di Panda Security per poter mettere in atto la difesa delle password dalle minacce tecnologicamente più avanzate. Lo sviluppo della tecnologia fornisce involontariamente strumenti ai cybercriminali per ottenere illecitamente le credenziali di accesso degli utenti, rendendo poco sicure le password prescelte. È dunque diventato indispensabile dotarsi di strumenti di sicurezza efficaci che proteggano i nostri dati di accesso.
Infatti, di recente, la richiesta di creazione della password è cambiata, con l’obiettivo di garantirne una complessità maggiore. E di conseguenza una maggiore difficoltà di individuazione dai parte dei malintenzionati.
Ovviamente la complessità è un concetto relativo in base alla tecnologia che si ha a disposizione. La maggior parte degli hacker ha moltissimi strumenti che rendono la violazione delle password un’operazione relativamente semplice. Parliamo principalmente di violazione degli account online, cloud computing e ingegneria sociale, che ora esamineremo più da vicino.
Protezione password consigli Panda Security. Violazione degli account
La prima parte di questa equazione è rappresentata dai data breach. I cracker procedono acquistando grandi elenchi di credenziali di accesso rubate a siti web di grandi dimensioni, come un social media. Tuttavia, le password degli utenti non vengono salvate come testo semplice, ma criptate tramite un algoritmo di hash. Per questo motivo, il cracker può acquistare illegalmente un enorme elenco di password sottoposte a hashing. Da un hash è impossibile risalire alla password ma è possibile confrontarlo con il database di credenziali fino a trovare corrispondenze (anche parziali) e da lì ricostruire la password originale.
Cloud computing
Per aumentare la potenza di calcolo, gli hacker se non possono utilizzare una rete di supercomputer, possono noleggiare i sistemi di Amazon AWS, IBM, Microsoft Azure o altre reti di cloud computing. In questo modo hanno accesso a strumenti informatici potentissimi, cha cambiano completamente le regole del gioco. Alcuni di questi servizi enterprise sono pensati per lavorare con grandi volumi di dati.
Nonostante tutto, anche disponendo di una grande potenza di calcolo, questa metodologia di attacco non è abbastanza efficiente da sola. Bisogna ridurre il limite di possibilità, o meglio concentrarsi sugli account più facili da violare, ed è qui che sfortunatamente entra in gioco il fattore umano.
Protezione password – Social engineering e password deboli
Eccoci arrivati all’ultimo elemento della nostra equazione: ridurre le possibilità concentrandosi sugli account meno protetti. Nel mondo ci sono ancora tantissime persone che utilizzano credenziali facili da indovinare.
Questo non riguarda solo profili di social network di utenti inesperti, ma anche gli account dei dipendenti delle aziende più grandi del mondo. A questo dato possiamo poi aggiungere un’altra debolezza umana: riutilizzare la stessa password per molti account. Nella migliore delle ipotesi, diverse varianti della stessa password principale.
Per aiutarvi nella scelta di credenziali complesse è sempre consigliato l’utilizzo di un password generator. Se l’account da estrapolare, invece di appartenere ad uno sconosciuto utente appartenesse ad una determinata persona, sarebbe possibile utilizzare tecniche di spear phishing e ingegneria sociale. Questo permette di risalire ad informazioni personali, su cui normalmente si basa la maggior parte delle password. Con questi dati è possibile costruire una sorta di dizionario che guiderà il processo di password cracking, limitando le opzioni da scandagliare.
Soluzione: accesso sicuro e password manager
Protezione password – Considerata la quantità e la qualità degli strumenti informatici a disposizione degli hacker e la semplicità delle credenziali utilizzate da moltissime persone per i propri account online, è necessario prendere sul serio questo argomento e iniziare subito a usare tutti gli strumenti disponibili:
1 Utilizzare, quando è possibile, l’autenticazione a due fattori e strumenti di autenticazione più sicuri rispetto alle password, ad esempio l’accesso tramite impronta digitale o scanner facciale.
2 Per quanto riguarda le password, utilizzare un password manager sicuro, ovvero un programma che salva tutte le nostre credenziali. In questo modo non dovremo ricordare tutte le password e potremo utilizzare combinazioni alfanumeriche e di caratteri molto complicate.
3 Infine, per gli account più sensibili, controllare i nostri indirizzi email sul sito Have I been pwned, per sapere se e quando le nostre credenziali hanno fatto parte di un data breach. In caso positivo e recente, e solo in questa circostanza, aggiorneremo la password corrispondente per evitare problemi in futuro con l’account compromesso.