Jonas Walker, ricercatore FortiGuard Labs di Fortinet, illustra le tattiche dei cybercriminali per rubare le credenziali e consiglia come generare password sicure.
I malintenzionati cercano sempre vulnerabilità facili da sfruttare, e le password deboli sono in cima alla loro lista. Secondo Verizon 2022 Data Breach Investigation Report, le credenziali rubate lo scorso anno hanno causato quasi il 50% degli attacchi informatici. Quando i malintenzionati utilizzano le password rubate per accedere all’account di un individuo, riescono spesso a rubare un tesoro di dati personali. Ad esempio i dettagli bancari o altre informazioni personali critiche.
Password sicure
Con questi dati, un criminale informatico può effettuare diverse attività dannose: rubare l’identità della persona, accedere ai suoi account e social media. Oppure utilizzare le sue carte di credito. Quindi è fondamentale utilizzare password robuste e cambiarle frequentemente per impedire ai malintenzionati di agire.
Come gli hacker a ottengono le password
Sono diverse le tattiche con cui i criminali informatici rubano le password. Un esempio diffuso è il social engineering (o phishing): i criminali IT inducono gli utenti a fornire credenziali tramite e-mail o messaggi di testo, a cliccare su link o a visitare siti web malevoli. Un’altra è il traffic interception, in cui i malintenzionati utilizzano software come i packet sniffer per monitorare il traffico di rete contenente informazioni sulle password e acquisire le credenziali.
Il ransomware Conti
Inoltre, la fuga di notizie sul ransomware Conti ha rivelato come il gruppo ransomware abbia utilizzato tecniche di furto di informazioni e di credential stuffin. Una tecnica in cui il malintenzionato acquista le credenziali trapelate da database su vari mercati del darknet. Questo avviene perché molti utenti utilizzano la stessa combinazione di password ed e-mail per più siti web. Se solo una di queste informazioni finisce in un database sarà facile per i criminali informatici riutilizzare questi dati sensibili.
Best practice per password migliori e più sicure
Cos’è una password robusta? Di seguito sono riportati quattro semplici consigli di Fortinet di per creare password più sicure e proteggersi da un attacco informatico.
- Creare password facili da ricordare ma impossibili da indovinare. Sebbene possa sembrare un’ottima idea aggiungere numeri o caratteri speciali a parole o frasi per rafforzare la password, i malintenzionati utilizzano diverse tecniche per aggirare questo metodo. Per esempio, in un dictionary attack i criminali informatici utilizzano un elenco di parole comuni per ottenere l’accesso a siti web o applicazioni, sperando che le vittime utilizzino quelle parole. Inoltre, aggiungono numeri prima e dopo queste parole per tenere conto di chi pensa che la semplice aggiunta di numeri prima o dopo renda la password più difficile da individuare. Per semplificare la creazione di password robuste è necessario utilizzare un dispositivo mnemonico. Ad esempio la seconda lettera di ogni parola di una frase che conoscete o del testo di una canzone poco famosa, e mescolate maiuscole e caratteri speciali.
Password sicure
- Evitare di utilizzare numeri, nomi o frasi particolari all’interno delle vostre password. È necessario tenere fuori dalle password i dati sensibili: la meta della vacanza più bella, l’università, la squadra del cuore. È necessario evitare i seguenti elementi in qualsiasi password. Come compleanni; numeri di telefono; informazioni sulla propria azienda; nomi, compresi titoli di film o squadre sportive; un semplice mascheramento di una parola comune (“P@$$w0rd”). Meglio usare una combinazione di lettere maiuscole e minuscole, numeri e simboli e create una password di almeno 10 caratteri.
- Utilizzare password differenti per ogni singolo account. Se utilizzate la stessa password per più account, aumentate la quantità di informazioni a cui un malintenzionato può accedere se riesce a rubare le vostre credenziali. Supponiamo che uno dei vostri account venga compromesso e che il vostro nome utente e la vostra password vengano pubblicati sul dark web. In questo caso, i criminali informatici che sanno quanto spesso le password vengono riutilizzate inizieranno a inserire le informazioni in altri account fino a sbloccare quelli che utilizzano le stesse credenziali.
L’opzione del password manager
Utilizzare un password manager per generare password uniche, lunghe, complesse e facilmente modificabili per tutti gli account online. Sebbene seguire le linee guida per la creazione delle password di cui sopra sia un buon inizio per migliorare le difese contro gli attacchi informatici, non cercate di tenere traccia di tutte le password in un documento o un foglio sul vostro dispositivo (o una nota adesiva sotto la tastiera).
Considerate invece l’utilizzo di un password manager come opzione più sicura. Un password manager è in grado di generare password uniche per ogni account online (o di utilizzare le proprie), di crittografarle e di memorizzarle in un archivio locale o su cloud. I password manager facilitano l’utilizzo delle password più sicure possibili, in quanto è sufficiente memorizzare un’unica password per accedere all’archivio.
Molto di più di una semplice password robusta
Per quanto le persone possano seguire le best practice per creare password robuste, i team IT e di sicurezza dovrebbero adottare ulteriori misure. E questo salvaguardare l’organizzazione e i propri dipendenti da password che potrebbero essere compromesse. Le password robuste sono importantissime, ma se siete dei professionisti della sicurezza, prendete in considerazione l’implementazione di:
Autenticazione a più fattori (MFA). Conferma l’identità degli utenti aggiungendo un passaggio al processo di autenticazione, attraverso token fisici o mobili. L’aggiunta di un secondo passaggio per verificare l’identità di un utente garantisce che un criminale non riesca ad accedere all’account che vuole violare anche se la password è stata compromessa.
Password più sicure, quattro consigli di Fortinet
Single-sign on (SSO). Consente agli utenti di utilizzare un unico nome utente e una sola password per diversi account all’interno dell’organizzazione. L’utilizzo di uno solo set di credenziali migliora la sicurezza, poiché i malintenzionati hanno meno opportunità di compormettere l’account di un individuo.
Training e formazione sulla sicurezza informatica. Poiché le minacce si evolvono e i malintenzionati introducono nuove tecniche per rubare i dati, ogni dipendente deve conoscere le minacce e quale sia il modo migliore per proteggersi. I corsi di formazione gratuiti, come quelli della serie Network Security Expert di Fortinet, aiutano a migliorare le competenze dei singoli utenti su come mantenersi al sicuro.
Servizi di protezione dal rischio digitale (DRP). Includono la gestione della superficie di attacco esterna (EASM) e la protezione del brand e la adversary-centric intelligence (ACI). Sono essenziali per bloccare i malintenzionati nella prima fase della loro campagna. Per esempio FortiRecon di Fortinet monitora e segnala continuamente le credenziali dei vostri dipendenti trapelate nel dark web, nei forum clandestini a cui hanno accesso riservato gli hacker, nelle fonti di intelligence open source (OSINT) e molto altro.
L’aiuto di Fortinet Training Institute
Fortinet offre un’ampia gamma di risorse a singoli utenti e organizzazioni per aiutare a risolvere i problemi legati alla sicurezza. Tra questi le password deboli che possono permettere l’accesso ai dati sensibili ai criminali informatici. Tramite il Fortinet Training Institute, vengono offerti corsi di formazione gratuiti per aiutare a creare una comprensione di base delle best practice di igiene e sicurezza informatica. Fortinet Security Awareness and Training è disponibile anche per le organizzazioni che desiderano assicurarsi che tutti i dipendenti siano in grado di identificare i metodi di minaccia e prevenire eventuali vulnerabilità e violazioni.