Come creare password complesse e configurare una autenticazione sicura

Creazione di password complesse con i dadi

Sincronizzare le tue password su più dispositivi

Autenticazione a più fattori e password monouso

Creazione di password complesse

Riusare le password è una pratica di sicurezza eccezionalmente negativa. Se un cattivo attore riceve solo una password che hai riutilizzato su più servizi, può accedere a molti di essi. Questo è il motivo per cui avere password multiple, forti e uniche è così importante.

Fortunatamente, un gestore di password può aiutare

gestori di password

Un gestore di password è uno strumento che crea e memorizza le password per te, in modo da poter utilizzare molte password diverse su diversi siti e servizi senza doverli memorizzare. I gestori di password hanno le seguenti caratteristiche:

generare password sicure che sarebbe improbabile che un essere umano la possa indovinare;
memorizzare diverse password (e le risposte alle domande di sicurezza) in modo sicuro;
proteggere tutte le password con una sola password principale (o passphrase).

KeePassXC è un esempio di gestore di password che è open-source e gratuito. È possibile mantenere questo strumento sul desktop o integrarlo nel browser web. KeePassXC non salva automaticamente le modifiche che apporti quando lo usi, quindi se si blocca dopo aver aggiunto alcune password, puoi perderle per sempre. Puoi cambiare questa modalità di funzionamento nelle sue impostazioni.

Ti chiedi se un gestore di password è lo strumento giusto per te? Se un avversario potente come un governo ti sta prendendo di mira, potrebbe non esserlo.

Ricorda:

l'utilizzo di un gestore di password crea un singolo punto di errore;
i gestori di password sono un obiettivo ovvio per gli avversari;
la ricerca suggerisce che molti gestori di password hanno delle vulnerabilità.

Se sei preoccupato per i costosi attacchi digitali, considera qualcosa di più a bassa tecnologia. Puoi creare password forti manualmente (vedi qui sotto la sezione "Creare password complesse usando i dadi"), scriverle e tenerle in un posto sicuro sulla tua persona. Un'altra possibilità è quella di utilizzare un generatore casuale di password complesse.

Aspetta, non dovremmo tenere le password nelle nostre teste e non scriverle mai? In realtà, potrebbe essere utile scriverle e tenerle da qualche parte come ad esempio il tuo portafoglio, così almeno saprai se scompaiono o vengono rubate. Comunque in generale questo dipende dal tuo modello di minaccia

Creazione di password complesse con i dadi

Ci sono alcune password che dovresti memorizzare e che devono essere particolarmente forti. Queste includono:

password per il tuo dispositivo mobile;
password per la crittografia (come la crittografia del disco intero del tuo laptop);
la password principale o "passphrase", per il tuo gestore di password;
la tua password e-mail.

Una delle molte difficoltà in cui le persone scelgono la password è che le persone non sono molto brave a fare scelte casuali e imprevedibili. Un modo efficace per creare una password forte e memorabile è usare dadi e un elenco di parole per sceglierle a caso. Insieme, queste parole formano la tua "passphrase". Una "passphrase" è un tipo di password che è più lungo per una maggiore sicurezza, viene anche chiamata password principale. Per la crittografia del disco e il tuo gestore di password, ti consigliamo di selezionare un minimo di sei parole.

Perché usare un minimo di sei parole? Perché usare i dadi per scegliere a caso le parole in una frase? Più lunga e casuale è la password, più difficile è indovinare sia per i computer che per gli umani. Per scoprire perché hai bisogno di una password così lunga e difficile da indovinare, ecco un video esplicativo .

Prova a fare una password principale (passphrase) utilizzando uno degli elenchi di parole di Cyber Welfare

Se il tuo computer o dispositivo viene compromesso e viene installato del software malevolo, questo spyware può guardarti digitare la tua password principale e rubare il contenuto del gestione di password. Quindi è ancora molto importante mantenere il computer e gli altri dispositivi puliti dal malware quando si utilizza un gestore di password.

Due parole sulle "Domande di sicurezza"

Fai attenzione alle "domande di sicurezza" che i siti Web utilizzano per confermare la tua identità. Le risposte oneste a queste domande sono spesso fatti pubblicamente rilevabili che un determinato avversario può facilmente trovare e utilizzare per aggirare la tua password interamente. Invece, è più opportuno dare delle risposte finte che nessuno conosce a parte te. Ad esempio, se la domanda di sicurezza chiede:

"Qual era il nome del tuo primo animale domestico?"

La tua risposta potrebbe essere una password casuale generata dal tuo gestore di password. Puoi memorizzare queste risposte fittizie nel tuo gestore di password.

Pensa ai siti in cui hai utilizzato domande sulla sicurezza e valuta la possibilità di modificare le tue risposte. Non utilizzare le stesse password o risposte alle domande di sicurezza per più account su diversi siti Web o servizi.

Sincronizzare le tue password su più dispositivi

Molti gestori di password consentono di accedere alle password attraverso diversi dispositivi tramite una funzione di sincronizzazione della password. Ciò significa che quando sincronizzi il tuo file di password su un dispositivo, questo lo aggiornerà su tutti gli altri tuoi dispositivi.

I gestori di password possono memorizzare le password nel "cloud", ovvero crittografate su un server remoto. Quando hai bisogno delle tue password, questi gestori recuperano e decriptano automaticamente le password. I gestori di password che utilizzano i propri server per archiviare o aiutare a sincronizzare le password sono più convenienti, ma leggermente più vulnerabili agli attacchi. Se le tue password sono memorizzate sia sul tuo computer che nel cloud, un utente malintenzionato non ha bisogno di prendere il controllo del tuo computer per trovare le tue password ma potrà accedervi intercettando ed infrangendo la passphrase del gestore di password. In questo caso, non sincronizzare le password con il cloud e scegli invece di memorizzarle solo sui dispositivi.

Tieni un backup del tuo database delle password per ogni evenienza. Avere un backup è utile qualora si perdesse il database delle password a causa di un arresto anomalo del programma o se il dispositivo venisse sottratto/rubato. I gestori di password di solito hanno un loro modo per creare un file di backup, oppure si può anche usare il tuo normale programma di backup.

Autenticazione a più fattori e password monouso

Le password solide e uniche rendono molto difficile il lavoro per accedere ai tuoi account per i cattivi attori. Per proteggere ulteriormente i tuoi account, attiva l'autenticazione a due fattori.

Alcuni servizi offrono l'autenticazione a due fattori (chiamata anche 2FA, autenticazione a più fattori o verifica in due passaggi), che richiede agli utenti di possedere due componenti (una password e un secondo fattore) per accedere al proprio account. Il secondo fattore potrebbe essere un codice segreto unico o un numero generato da un programma in esecuzione su un dispositivo mobile.

L'autenticazione a due fattori utilizzando un telefono cellulare può essere eseguita in due modi:

il telefono può eseguire un'applicazione di autenticazione che genera codici di sicurezza (come Google Authenticator o Authy) oppure è possibile utilizzare un dispositivo hardware stand-alone (come un YubiKey); o
il servizio può inviare un messaggio di testo SMS con un ulteriore codice di sicurezza che è necessario digitare ogni volta che si accede.

Se si ha una scelta, selezionare l'applicazione di autenticazione o dispositivo hardware stand-alone invece di ricevere i codici tramite messaggio di testo. È più semplice per un utente malintenzionato reindirizzare questi codici sul proprio telefono piuttosto che ignorare l'autenticatore.

Alcuni servizi, come Google, consentono anche di generare un elenco di password monouso, chiamate anche password monouso (One time Password). Questi sono pensati per essere stampati o scritti su carta e portati con voi. Ognuna di queste password funziona solo una volta, quindi se una di esse viene rubata da spyware quando la inserisci, il ladro non sarà in grado di usarla per qualcosa in futuro.

Se tu o la tua organizzazione gestite la vostra infrastruttura di comunicazione, è disponibile un software gratuito che può essere utilizzato per abilitare l'autenticazione a due fattori per l'accesso ai vostri sistemi. Cerca software che offra implementazioni dello standard aperto "password temporali basate sul tempo" o RFC 6238.

A volte, devi rivelare la tua password

Le leggi sulla rivelazione delle password differiscono da un posto all'altro. In alcune giurisdizioni potresti essere in grado di contestare legalmente una richiesta per la tua password mentre in altri, le leggi locali consentono al governo di chiedere la divulgazione e persino imprigionarti in base al sospetto che potresti conoscere una password o una chiave. Minacce di danno fisico possono essere utilizzate per costringere qualcuno a rinunciare alla propria password. Oppure potresti trovarti in una situazione, ad esempio attraversando un confine, dove le autorità possono ritardare o sequestrare i tuoi dispositivi se rifiuti di rinunciare a una password o di sbloccare il dispositivo.

EFF ha redatto una guida separata per attraversare il confine statunitense che fornisce consigli su come gestire le richieste di accesso ai dispositivi durante il viaggio da o verso gli Stati Uniti. In altre situazioni, dovresti pensare a come qualcuno potrebbe costringere te o altri a rinunciare alle tue password e quali potrebbero essere le conseguenze.

COMUNICARE CON GLI ALTRI

PROTEGGI LA TUA PRIVACY

MANTENERE I TUOI DATI AL SICURO