Come gestire l’Autenticazione al meglio
La maggior parte delle violazioni di dati segnalate è causata dall’utilizzo di password deboli, predefinite o rubate. Il furto di dati e password anche conosciuto come Data Breach è molto più frequente di quanto si possa immaginare.
Abbiamo raccolto alcuni consigli e suggerimenti semplici ma precisi ed estremamente utili, per gestire al meglio i propri accunt e gli accessi ad essi. Molto spesso diamo per scontate alcune pratiche che invece necessitano di attenzione.
Tabella riassuntiva :
| Sicurezza | Dettagli e suggerimenti |
|---|---|
| Utilizza una password complessa | Se la tua password è troppo corta o contiene parole del dizionario, luoghi o nomi, date di nascita.., può essere facilmente decifrata con attacchi di Brute Force o indovinata perchè associata a qualche caratteristica o dato personale. Il modo più semplice per creare una password sicura è renderla lunga (almeno 12 caratteri), che contenga simboli e numeri ed un mix di lettere maiuscole e minuscole. Anche l’uso di una PassKey riduce enormemente la possibilità di essere svelata. Per facilitare il compito esistono molti generatori di Password sicure ed uniche come il Generatore di password di TivuStream. Se non sai come valutare la sicurezza di una o più password che usi esiste un sito molto utile: ” Quanto è sicura la mia password?” di Security.org dove puoi verificare il livello si sicurezza e ricevere indicazioni su quanto velocemente le password comuni possano essere decifrate. |
| Non riutilizzare le password | Riutilizzare la stessa password per più account su siti diversi è davvero una pessima idea, se uno dei siti su cui hai un account subisse una violazione, un malintenzionato può facilmente ottenere l’accesso agli altri account. Questo avviene solitamente tramite richieste di accesso automatizzate su larga scala, una pratica nota come “Credential Stuffing”. Il suggerimento di sicurezza è semplice: usa password diverse per ogni singolo account. |
| Utilizza un gestore di password sicuro | Ricordare centinaia di password complesse e univoche è impossibile. Un gestore di password è un’applicazione che genera, memorizza e compila automaticamente le credenziali di accesso. Per approfondire cosa è e come usare un gestore di password (password manager): Come scegliere un Password Manager e perchè usarlo. La maggior parte dei gestori di password offre estensioni per browser e app per dispositivi mobili, quindi, indipendentemente dal dispositivo utilizzato, le password possono essere compilate automaticamente e autonomamente. |
| Evita di condividere le password | Sebbene in alcuni casi possa essere necessario condividere l’accesso a un account con un’altra persona, in genere è meglio evitarlo perché aumenta il rischio che l’account venga compromesso “durante il viaggio”. Se proprio non si può fare a meno di condividere una password, è consigliabile utilizzare le funzionalità integrate in un gestore di password, oppure criptare la password utilizzando un buon strumento di codifica così da poter condividere con serenità e sicurezza. |
| Abilita l’autenticazione a due fattori | L’autenticazione a due fattori (2FA) è una pratica che blinda il tuo accesso e lo rende estremamente sicuro. Aggiunge un ‘ulteriore passaggio di verifica dopo aver inserito la password. Questo significa che se qualcuno viene in possesso della tua password (ad esempio, tramite phishing, malware o una violazione dei dati), non potrà accedere al tuo account in quanto manca il secondo passaggio di autenticazione . Per approfondire: 2FA Autenticazione a Due Fattori: Cosa è e perchè usarla |
| Conserva i codici di backup in un luogo sicuro | Quando si abilita l’autenticazione a più fattori, vengono forniti dei codici da utilizzare nel caso in cui il metodo di autenticazione a due fattori non funzioni correttamente o non sia disponibile. Conserva questi codici in un luogo sicuro per evitare di perderli. È consigliabile memorizzarli su carta o in un luogo sicuro sul disco (ad esempio, in un archivio offline o in un file/unità crittografato). Non memorizzarli nel gestore di password, il concetto più sicuro è che siano gestiti separatamente dalla password. |
| Iscriviti per ricevere avvisi sulle violazioni dei dati. | Dopo una grave violazione dei dati di un sito web, le informazioni trapelate spesso finiscono su internet, ma quello nascosto o comunemente conosciuto come Dark Web. Diversi siti web, in aiuto, raccolgono questi dati e permettono di verificare se il proprio indirizzo email è presente in uno più Data Breach. Firefox Monitor , Have I Been Pwned e DeHashed offrono la possibilità di registrarsi (con le precauzioni elencate in questo articolo 😁) al servizio di monitoraggio, che avvisa l’utente qualora il suo indirizzo email compaia in eventuali altri e nuovi database. È utile essere informati tempestivamente di questi eventi per poter modificare le password degli account interessati. Have I Been Pwned offre anche un servizio di notifica a livello di dominio, che permette di ricevere avvisi se un indirizzo email del proprio dominio viene violato. |
| Aggiorna periodicamente le password critiche | Aggiornare periodicamente le password degli account critici contribuisce ad “abbreviare” il tempo di esposizione online. Spiegato meglio significa che ridurre il tempo di utilizzo di una password per un account, riduce anche il rischio che possa essere coinvoilta in un furto di dati, o nell’ipotesi in cui venga scoperta interrompe l’accesso perchè è cambiata. Non è necessario doverla cambiare troppo spesso (a maggior ragione se rispetta i parametri di sicurezza suggeriti), generalmente un cambio ogni 3/6 mesi è la condizione ottimale. |
| Non salvare la password nei browser. | La maggior parte dei browser moderni offre la possibilità di salvare le credenziali di accesso. Un Browser per quanto sicuro non ha lo stesso livello di crittografia e la struttura adeguata di un Password Manager e di conseguenza è meno sicuro. |
| Evita di accedere utilizzando il dispositivo di qualcun altro. | Evita di accedere ai tuoi account dal PC di altri, non puoi essere certo che quel sistema sia pulito. Se non fosse possibile altrimenti, se utilizzi il computer di qualcun altro, assicurati di usare il Browser con una scheda in incognito. In questo modo, il Browser non salverà le tue credenziali, i cookie (fondamentali) e la cronologia di navigazione. |
| Evita suggerimenti sulla password | Alcuni siti consentono di impostare suggerimenti per la password. Spesso è molto facile indovinare le risposte. Nei casi in cui i suggerimenti per la password siano obbligatori, usa risposte casuali e salvale nelle note sicure del Password Manager o in un luogo sicuro. |
| Non rispondere mai in modo veritiero alle domande di sicurezza online | Se un sito web richiede risposte a domande di sicurezza (come luogo di nascita, cognome da nubile della madre, prima auto, ecc.), non fornite risposte reali. Per gli hacker è facilissimo reperire queste informazioni online o tramite tecniche di ingegneria sociale. Dai invece una risposta fittizia e salvala come sopra. |
| Non utilizzare un PIN di 4 cifre | Non utilizzare un PIN breve per accedere al tuo smartphone o computer. Utilizza invece una password testuale o un PIN molto più lungo. Le password numeriche sono facili da decifrare (un PIN di 4 cifre ha 10.000 combinazioni, rispetto ai 7,4 milioni di un codice alfanumerico di 4 caratteri). |
| Evita di utilizzare il Password Manager per generare OTP | Molti gestori di password sono anche in grado di generare codici di autenticazione a due fattori (2FA). È consigliabile non utilizzare il gestore di password principale anche come metodo di autenticazione a due fattori, poiché in caso di compromissione diventerebbe un singolo punto di vulnerabilità. È preferibile utilizzare un’app di autenticazione dedicata sul proprio telefono come indicato nell’articolo linkato sopra (2FA Autenticazione a Due Fattori: Cosa è e perchè usarla) |
| Evitare lo sblocco tramite riconoscimento facciale | La maggior parte dei telefoni e dei computer portatili offre una funzione di autenticazione tramite riconoscimento facciale, che utilizza la fotocamera per confrontare un’istantanea del tuo viso con un hash memorizzato. Può essere molto comodo, ma esistono numerosi modi per aggirarlo e ottenere l’accesso al dispositivo tramite foto digitali e ricostruzioni da filmati. Con l’avvento della AI queste pratiche sono diventate frequenti e semplici da ottenere |
| Prendi in considerazione un token hardware | Una chiave di sicurezza U2F/FIDO2 è un dispositivo USB (o NFC) che si inserisce durante l’accesso a un servizio online per verificare la propria identità anziché inserire un OTP dal proprio autenticatore. SoloKey e NitroKey sono esempi di tali chiavi. Offrono diversi vantaggi in termini di sicurezza. Poiché il browser comunica direttamente con il dispositivo, non può essere ingannato su quale host sta effettuando la richiesta. |
| Utilizzare le PassKey quando disponibili | Molti servizi ora supportano le Passkey, tra cui Google, Apple, Microsoft e GitHub. Valuta la possibilità di abilitare le Passkey per gli account che le offrono come alternativa alle password o come ulteriore metodo di autenticazione a due fattori (2FA). |
| Valuta l’utilizzo di un gestore di password offline. | Per una maggiore sicurezza, un gestore di password offline crittografato ti darà il pieno controllo sui tuoi dati. Tra i client più diffusi troviamo: KeePassXC (desktop), KeePassDX (Android) e StrongBox (iOS). un’altro Password Manager di recente sviluppo è OneCritto semplice gratuito ed Open Source. Lo svantaggio (se così si può chiamare) è che per natura questi Gestori di Password essendo Offline e locali non prevedono la sincronizzazione automatica con altri dispositivi. Questo potrebbe risultare meno pratico per alcuni, e spetterà a te eseguire il backup e archiviare o inviare i dati al secondo dispositivo in modo sicuro. |
| Valuta l’utilizzo di nomi utente univoci. | Avere password diverse per ogni account è un buon primo passo, ma se si utilizza anche un nome utente e un indirizzo email univoci per accedere, si completano i passaggi suggeriti per aumentare notevolmente il livello di sicurezza. Il metodo più semplice per gestire più indirizzi email è utilizzare alias generati automaticamente per l’inoltro anonimo della posta. In questo modo, è possibile creare un indirizzo email diverso per ogni account. Puoi anche generare nomi utenti (Username) diversi con strumenti gratuiti online come AI Username Generator o Generate Random. |
In Definitiva
Proteggere la propria Privacy e soprattutto i propri dati, non è solo un diritto ma è il modo migliore per evitare danni anche di portata enorme, finanziari, legali, professionali, o di reputazione. I suggerimenti elencati, per qualcuno, potrebbero sembrare paranoici ma quando si parla di sicurezza e protezione un pò di “sana” paranoia può fare la differenza. La propria sicurezza necessita di attenzione e di un poco di lavoro, anche quando per pigrizia posticipiamo gli interventi.
Modificare le password, cambiare le mail, impostare ed attivare verifiche a due fattori o creare PassKey necessita di tempo e concentrazione..che spesso non abbiamo, ma le eventuali conseguenze di un furto di dati devono diventare la motivazione ad assumere un comportamento responsabile ed attento.
Views: 1
Ultimi Articoli
Recent Post
Disney + 2,74€/mese
Netflix 3,67€/mese
Prime 3 mesi a 4,92€
YouTube Premium 3,92€/mese
Spotify 4,50€/mese
Gemini 3,50€/mese
ChatGPT 5,77€/mese
Perplexity 4,09€/mese
Grok 6,17/mese
Claude 5,49€/mese
Canva 4,99€/mese
Adobe 16,53€/mese
..e molto altro
I prezzi possono subire lievi variazioni
