Sei più di un punto dati. L'Opt Out è qui per aiutarti a riprenderti la tua privacy.
LE TUE PASSWORDsono probabilmente terribili e devi renderli più forti. Sì, sappiamo che ci sono poche cose più fastidiose del brainstorming di nuove credenziali ogni volta che devi svolgere il compito più piccolo, ma sono uno dei modi più pratici per tenere gli hacker e altri soggetti malintenzionati fuori dalla tua attività.
Aziende tecnologiche, giornalisti e organizzazioni interessate alla consapevolezza della sicurezza informatica hanno passato anni a sottolineare l’importanza di password sicure. Purtroppo, sembra che i guadagni siano stati scarsi. Un rapporto del 2022 del gestore delle credenziali NordPass è davvero imbarazzante, elencando “password”, “123456” e “123456789” come le tre password più comuni. Non c’è niente di meglio neanche se si scende più in basso: “Password1” si colloca al numero 192.
Vale la pena notare che l’industria tecnologica ha impiegato decenni a immaginareun mondo senza passworde alcune aziende stanno già offrendo opzioni per aggirare o eliminare del tutto questo tipo di autenticazione. Ma finché le password rimarranno il modo principale per accedere ai nostri dati, dovremo migliorare il nostro gioco per proteggere adeguatamente le nostre informazioni e il nostro denaro.
Che cos'è una password complessa e perché è così difficile crearne una?
Nei loro tentativi di accedere ai tuoi account, terze parti malintenzionate potrebbero tentare di utilizzare metodi comeattacchi indovinati. Esistono diverse varianti a questo approccio, ma funzionano tutte in modo simile: prendere una chiave (una password comune conosciuta o una credenziale personale trapelata online) e vedere quante porte aprirà.
[Correlato: Perché le agenzie governative continuano a essere hackerate]
Naturalmente, gli aggressori mirano all’efficienza, quindi non digitano manualmente su un laptop da qualche parte. Utilizzano software per provare automaticamente ogni voce in un dizionario di password comune, ad esempio, o utilizzano informazioni provenienti da violazioni di dati note per provare password trapelate e/o le loro potenziali iterazioni. Questo perché le persone non aggiornano le proprie password con la regolarità che dovrebbero (lo fannouna o due volte l'annoinvece delconsigliato ogni tre mesi), e quando lo fanno, tendono a farloapportare solo piccole modifichea quelli che già hanno.
Questo è il motivo per cui le password complesse sono uniche, lunghe e costellate di caratteri speciali come segni di punteggiatura, numeri e lettere maiuscole. Quando diciamo unico, intendiamo parole che non puoi trovare nel dizionario. Vengono eliminati anche i nomi comuni o famosi: più originale è la password, meglio è. La lunghezza di una password e l'uso di caratteri speciali aumentano le probabilità che sia davvero unica. È solo matematica: maggiore è il numero e la varietà di caratteri che usi nelle tue credenziali, più combinazioni possibili ci sono e più difficile sarà indovinarle.
Molte persone inventano il proprio codice segreto per sviluppare password utilizzando frasi facili da ricordare tratte da canzoni, poesie e film. Un approccio classico consiste nel sostituire le lettere con numeri (come 4 per la A e 0 per la O) e alternare lettere maiuscole e minuscole. Se questo è ciò che fai, sei sulla strada giusta, ma in realtà devi rendere la tua crittografia personale ancora più complicata per aggiungere veramente sicurezza alle tue password. Non ti diremo come crittografiamo le nostre credenziali, ma puoi creare la tua lingua scritta o il tuo alfabeto sostituendo le lettere con altri caratteri. Tienilo a menteKlingon è stato costruito in modo assolutamente incomprensibile, quindi il cielo è il limite.
Naturalmente, il costo della difficoltà aggiuntiva è acarico cognitivo più elevato. Ciò significa che più una password è lontana da una parola o frase che usi comunemente, più difficile sarà per te ricordarla. È complicato così com'è, ma se consideri che iluna persona media ha circa 100 account online, la possibilità di ricordare tutte quelle password uniche codificate va violentemente fuori dalla finestra.
Aiutaci ad aiutarti
Gestori di password. Ecco, pensi, questa è la soluzione. Teoricamente lo è. Queste app autonome, estensioni scaricabili e utilità del browser integrate hanno tre capacità principali: suggerire password complesse, archiviarle in modo sicuro e ricordarle ogni volta che visiti un sito Web in cui disponi di un account.
Fondamentalmente, questi strumenti ci consentono di esternalizzare l’intero problema delle credenziali dalle nostre vite, a condizione di ricordare una buona password principale o di possedere un altro tipo di chiave di autenticazione, come un’impronta digitale. E funziona. A seconda del gestore di password che ottieni, troverai funzionalità come un buon design, la sincronizzazione tra dispositivi e la possibilità di scegliere quando compilare automaticamente i campi.
Ma i gestori di password non sono perfetti e ciò che li rende convenienti li rende anche obiettivi incredibilmente attraenti per gli hacker. Dopotutto, il proverbiale paniere che contiene tutte le tue uova di sicurezza informatica è un ottimo affare: i Creep possono crackare un account e prendere tutte le tue credenziali gratuitamente. Aziende come NordPass, KeyPass, 1Password e altre hanno adottato ulteriori precauzioni per proteggere le proprie app, incorporando funzionalità come logout costanti e codici univoci monouso nel caso in cui perdi l'accesso al tuo account.
Lettura consigliata:Recupera nomi utente e password Internet dimenticati in Windows 10
[Correlato: Come iniziare a utilizzare un gestore di password]
Tuttavia, a volte queste misure non sono sufficienti. Nel dicembre 2022, LastPass, un altro popolare gestore di password, ha segnalato aviolazione della sicurezzache includevano nomi degli utenti, numeri di telefono, e-mail e informazioni di fatturazione. Come se questo non fosse abbastanza preoccupante, ilall’epoca la gestione della crisi da parte dell’azienda era carentee ha divulgato solo i dettagli sulla violazione e quali passaggi dovrebbero seguire i clienti in apost sul blog pubblicato più di due mesi dopo.
Al di là delle violazioni, alcune funzionalità dei gestori di password sono generalmente poco sicure. In una revisione del 2020, i ricercatori dello User Lab dell'Università del Tennessee, Knoxville,menzionato il riempimento automatico come uno deiTè molto preoccupante. Ciò è particolarmente vero quando i gestori di password inseriscono automaticamente le credenziali senza alcun input da parte dell'utente. Inattacchi cross-site scripting (XSS)., gli hacker inseriscono script dannosi nel codice di un sito Web per rubare una password non appena vengono compilati i campi corretti. "Se un gestore di password compila automaticamente le password senza prima chiedere conferma all'utente, la password dell'utente verrà rubata di nascosto semplicemente visitando il sito Web compromesso", spiegano gli autori dello studio Sean Oesch e Scott Ruoti.
La probabilità che un attacco XSS abbia successo varia a seconda di fattori come il fatto che il sito utilizzi una connessione sicura (HTTPS, ad esempio). Ma è sempre meglio optare per un gestore di password che richieda l’interazione dell’utente per la compilazione automatica o che consenta di disabilitare manualmente la funzionalità. La maggior parte dei gestori di password basati su browser non richiedono l'interazione dell'utente prima di inserire le credenziali, ma esistono alcune eccezioni. Mozilla Firefox popola automaticamente i campi per impostazione predefinita, ma puoi disattivare questa funzionalità facendo clic sumenù principale(tre righe), andando aImpostazioni,Privacy e sicurezzae scorrendo verso il basso fino aLogin e password. Una volta che sei lì, deseleziona la casella accanto aCompila automaticamente login e password.Una soluzione ancora più semplice è utilizzare Safari di Apple, che richiede sempre l'input dell'utente per il riempimento automatico. Se utilizzi un PC o non desideri cambiare browser, lo studio ha rilevato l'estensione del browser più popolare1App per la passwordrichiederà anche un clic prima che riveli le tue informazioni.
Bevi acqua, indossa la protezione solare e abilita l'autenticazione a più fattori
Le abitudini sane portano a una vita migliore e, quando si tratta della tua vita online, utilizzare l'autenticazione a più fattori è davvero una questione di cura di sé.
Questa funzionalità ormai praticamente onnipresente è un ulteriore livello di sicurezza che impedisce agli intrusi virtuali di accedere ai tuoi account anche quando hanno le credenziali giuste. Ciò significa che anche se le tue password si diffondono su Internet, le persone non saranno in grado di utilizzarle se non dispongono di una forma aggiuntiva di verifica come un messaggio inviato direttamente al tuo telefono, un codice generato da un'app, un messaggio su un altro dispositivo o un elemento biometrico come l'impronta digitale o il viso.
Quali e quanti di questi utilizzerai dipenderà dal livello di sicurezza che desideri che abbia il tuo account e da cosa è più pratico per te. Tieni presente che più metodi abiliti, più modi ci saranno per accedere al tuo account. Non è eccezionalmente sicuro, ma potrebbe avere senso se, ad esempio, perdi regolarmente il telefono o rimani bloccato fuori dai tuoi account.
[Correlato: come continuare a utilizzare gratuitamente l'autenticazione a due fattori su Twitter]
Sappi solo che, anche se la maggior parte delle piattaforme moderne offre una sorta di autenticazione a più fattori, non ne troverai ogni tipo ogni volta. L'opzione più comune è l'autenticazione tramite un codice inviato tramite SMS, seguita a breve distanza dall'autenticazione tramite app che generano codici. Sono essenzialmente gli stessi, ma quest'ultimo metodo utilizza Internet anziché le reti telefoniche per fornire il codice. Vale la pena notare quel testoi messaggi che viaggiano attraverso lo spettro elettromagnetico possono essere intercettatie secondo Ruoti, i bassi standard utilizzati dalle società di telecomunicazioni statunitensi per l'autenticazione degli utenti consentono di trasferire il numero di telefono di qualcuno su una carta SIM e ricevere i suoi codici di autenticazione sul tuo dispositivo. Se questo ti preoccupa, puoi optare per alternative più sofisticate, come le chiavi di sicurezza. Funzionano esattamente come le chiavi di casa: basta collegarle alla porta USB del tuo gadget quando richiesto e il gioco è fatto. Abbiamo un'intera guida dedicata esclusivamente ad aiutarti a scegliere il metodo di autenticazione a più fattori migliore per te, se desideri approfondire le tue opzioni.
Ma anche se alcuni approcci sono migliori di altri, una cosa sarà sempre vera: qualsiasi autenticazione a più fattori è meglio di nessuna. Quindi, se hai un telefono, è un'ottima idea impostare codici SMS per ogni volta che un nuovo dispositivo tenta di accedere al tuo account. Assicurati solo di disabilitare la possibilità di visualizzare in anteprima il contenuto del messaggio sulla schermata di blocco oqualcuno potrebbe usare i tuoi codici semplicemente rubandoti il telefono. Su Android, puoi farlo andando suImpostazioni,Notifichee spegnersiNotifiche sensibiliSottoPrivacy.Su iOS, apriImpostazioni, vai aNotifiche, rubinettoMostra anteprimee scegliMai. Se desideri visualizzare le anteprime per le notifiche meno sensibili sul tuo iPhone, puoi invece disattivare le anteprime per le singole app. Se ricevi codici tramite l'app Messaggi, ad esempio, apriImpostazioni, vai aNotifiche, rubinettoMessaggi, TrovareMostra anteprimee scegliMai.
Possa questo essere il segnale che stavi aspettando per rimetterti in sesto quando si tratta di sicurezza online. Non aspettare fino alle pulizie di primavera; non aspettare fino al momento di prendere i propositi per il nuovo anno: fallo adesso. Mantieni le tue credenziali fuori dall'elenco delle peggiori password del 2023. Questa è una lista che non vuoi fare.
Ora vai a cambiare quelle password. Siamo contenti di aver avuto questa conversazione.