Quando i malintenzionati utilizzano le password rubate per accedere all’account di un individuo, riescono spesso a rubare un tesoro di dati personali, come i dettagli bancari o altre informazioni personali critiche. Con questi dati, un criminale informatico può effettuare diverse attività dannose, come rubare l’identità della persona, accedere ai suoi account e ai suoi social media e spendere denaro con le sue carte di credito. Di conseguenza, è fondamentale creare password più sicure e robuste e cambiarle frequentemente per impedire ai malintenzionati di agire.
Come fanno gli hacker a ottenere le password?
Sono diverse le tattiche con cui i criminali informatici rubano le password. Un esempio diffuso è il social engineering (o phishing) in cui i criminali informatici inducono gli utenti a fornire credenziali tramite e-mail o messaggi di testo, a cliccare su link o a visitare siti web malevoli. Un’altra è il traffic interception, in cui i malintenzionati utilizzano software come i packet sniffer per monitorare il traffico di rete contenente informazioni sulle password e acquisire le credenziali.
Inoltre, la fuga di notizie sul ransomware Conti ha rivelato come il gruppo ransomware di maggior successo del 2021 abbia utilizzato tecniche di furto di informazioni e di credential stuffing, in cui il malintenzionato acquista le credenziali trapelate da database su vari mercati del darknet. Questo avviene perché molti utenti utilizzano la stessa combinazione di password ed e-mail per più siti web. Se solo una di queste informazioni finisce in un database sarà facile per i criminali informatici riutilizzare questi dati sensibili.
Best practice per creare password più sicure
Cos’è una password robusta? Di seguito sono riportati quattro semplici consigli di Fortinet per creare password più sicure e proteggersi da un attacco informatico.
- Creare password facili da ricordare ma impossibili per gli altri da indovinare. Sebbene possa sembrare un’ottima idea aggiungere i numeri o i caratteri speciali a parole o frasi per rafforzare la password, i malintenzionati utilizzano diverse tecniche per aggirare questo metodo. Per esempio, in un dictionary attack i criminali informatici utilizzano un elenco di parole comuni per ottenere l’accesso a siti web o applicazioni, sperando che le vittime utilizzino quelle parole. Inoltre, aggiungono numeri prima e dopo queste parole per tenere conto di chi pensa che la semplice aggiunta di numeri prima o dopo renda la password più difficile da individuare. Per semplificare la creazione di password robuste è necessario utilizzare un dispositivo mnemonico, come la seconda lettera di ogni parola di una frase che conoscete o del testo di una canzone poco famosa, e mescolate maiuscole e caratteri speciali.
- Evitare di utilizzare numeri, nomi o frasi particolari all’interno delle vostre password. Per creare password più sicure è necessario tenere fuori da esse i propri dati sensibili, come la meta della vacanza più bella, l’università o la squadra del cuore. È necessario evitare i seguenti elementi in qualsiasi password:
– Compleanni;
– Numeri di telefono;
– Informazioni sulla propria azienda;
– Nomi, compresi titoli di film o sqadre sportive;
– Un semplice mascheramento di una parola comune (“P@$$w0rd”).
Utilizzate invece una combinazione di lettere maiuscole e minuscole, numeri e simboli e create una password di almeno 10 caratteri. - Utilizzare password differenti per ogni singolo account. Se utilizzate la stessa password per più account, aumentate la quantità di informazioni a cui un malintenzionato può accedere se riesce a rubare le vostre credenziali. Supponiamo che uno dei vostri account venga compromesso e che il vostro nome utente e la vostra password vengano pubblicati sul dark web. In questo caso, i criminali informatici che sanno quanto spesso le password vengono riutilizzate inizieranno a inserire le informazioni in altri account fino a sbloccare quelli che utilizzano le stesse credenziali.
- Utilizzare un password manager per generare password uniche, lunghe, complesse e facilmente modificabili per tutti gli account online. Sebbene seguire le linee guida per la creazione delle password di cui sopra sia un buon inizio per migliorare le difese contro gli attacchi informatici, non cercate di tenere traccia di tutte le password utilizzando un documento o un foglio sul vostro dispositivo (o una nota adesiva sotto la tastiera). Considerate invece l’utilizzo di un password manager come opzione più sicura. Un password manager è infatti in grado di generare password uniche per ogni account online (o di utilizzare le proprie), di crittografarle e di memorizzarle in un archivio locale o su cloud. I password manager facilitano l’utilizzo delle password più sicure possibili, in quanto è sufficiente memorizzare un’unica password per accedere all’archivio.
Molto di più di una semplice password robusta
Per quanto le persone possano seguire le best practice per creare password più sicure, i team IT e di sicurezza dovrebbero adottare ulteriori misure per salvaguardare l’organizzazione e i propri dipendenti da password che potrebbero essere compromesse. Le password robuste sono importantissime, ma se siete dei professionisti della sicurezza, prendete in considerazione l’implementazione di:
- Autenticazione a più fattori (MFA): l’MFA conferma l’identità degli utenti aggiungendo un passaggio al processo di autenticazione, attraverso token fisici o mobili. L’aggiunta di un secondo passaggio per verificare l’identità di un utente garantisce che un criminale informatico non riesca ad accedere all’account che vuole violare anche se la password è stata compromessa.
- Single-sign on (SSO): l’SSO consente agli utenti di utilizzare un unico nome utente e una sola password per diversi account all’interno dell’organizzazione. L’utilizzo di un solo set di credenziali migliora la sicurezza, poiché i malintenzionati hanno meno opportunità di compromettere l’account di un individuo.
- Training e formazione sulla sicurezza informatica: poiché le minacce si evolvono continuamente e i malintenzionati introducono nuove tecniche per rubare i dati, ogni dipendente deve conoscere le minacce informatiche e quale sia il modo migliore per proteggersi. I corsi di formazione gratuiti, aiutano a migliorare le competenze dei singoli utenti su come mantenersi al sicuro.
- Servizi di protezione dal rischio digitale (DRP): i servizi DRP che includono la gestione della superficie di attacco esterna (EASM), la protezione del brand e la adversary-centric intelligence (ACI) sono essenziali per bloccare i malintenzionati nella prima fase della loro campagna.
Avere consapevolezza della sicurezza informatica e delle tecniche di attacco è più importante che mai sia sul posto di lavoro che a casa. L’utilizzo di password robuste e la loro modifica frequente è una parte fondamentale della protezione delle informazioni personali e degli asset digitali.
di Jonas Walker, FortiGuard Labs