TECH & INNOVATION

Change Your Password Day 2019: i consigli di Kaspersky Lab per proteggere i propri dati digitali

- # # #

Kaspersky Lab

In occasione del “Change Your Password Day 2019”, gli esperti di sicurezza di Kaspersky Lab danno un consiglio a tutti gli utenti: quando si tratta di proteggere i propri dati digitali, è meglio optare per combinazioni uniche e facili da ricordare piuttosto che procedere con un cambio frequente delle varie password in uso.

 

I ricercatori consigliano agli utenti di adottare alcune procedure per creare la propria serie di password uniche. Raccomandano, inoltre, di usare un tool di gestione delle combinazioni, in grado di “ricordare” le password al posto dell’utente.

 

L’uso delle password è il metodo più consolidato per l’autenticazione di un account online, ma creare combinazioni sicure e semplici da ricordare non è facile; creare nuove chiavi di accesso è sempre più difficile, anche perché le persone, oggi, hanno sempre più account da gestire. Se si creano password semplici e facili da ricordare, il rischio che un utente malintenzionato riesca a craccarle è maggiore. Se si opta per una sequenza di caratteri più complessa, invece, è probabile che l’utente stesso fatichi a ricordarla, quindi è molto probabile che ci si limiti a una o due combinazioni e che si scelga poi di utilizzarle per più siti web.

 

Secondo i ricercatori di Kaspersky Lab, il pericolo più grande quando si tratta di password è legato al loro riutilizzo. Come ha mostrato il recente caso di Collection #1, relativo alla messa online di più di 700 milioni di indirizzi email e milioni di password non criptate, i dati provenienti da diverse violazioni di dati possono essere facilmente combinati tra loro e utilizzati poi in attacchi di “Credential Stuffing”: gli attaccanti utilizzano le combinazioni di indirizzi email e password delle vittime per introdursi negli altri account di loro proprietà, protetti dalle stesse password.

 

I rischi non si limitano cambiando le password, ma rendendole più forti. La loro forza dovrebbe essere basata non tanto sulla complessità della sequenza di caratteri, quanto sulla loro unicità.

 

David Jacoby, Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky Lab ha commentato: “C’è molta confusione riguardo a cosa si debba intendere quando si parla di password “forte”. Molti siti web richiedono ora l’inserimento di sequenze complesse, composte da almeno otto o più lettere minuscole o maiuscole, numeri e anche caratteri speciali. Gli utenti sono arrivati a considerare questo tipo di combinazione come ‘password forte’, e questo è piuttosto scoraggiante. La buona notizia è che “forte” non deve essere sinonimo di “spaventoso”. Quando si esamina il problema dal punto di vista della sicurezza, si può vedere che le password generalmente “forti” sono quelle uniche, per un utente e per un account. Ci sono vari modi per rendere le password uniche, ma anche facili da ricordare, in modo che non possano essere utilizzate per accedere ad altri account, anche in caso di condivisione tramite una violazione di dati. A disposizione degli utenti ci sono anche dei tool per la gestione sicura delle password che rendono facile creare e utilizzare in sicurezza decine di password davvero uniche”.

 

Creare password uniche e facili da ricordare

 

Per il “Change Your Password Day”, Kaspersky Lab ha scelto di aiutare tutti gli utenti nella creazione di password uniche e facili da ricordare. Basta seguire alcuni semplici step:

 

Step 1: Creare una “static string” (quella parte di password che resta sempre uguale)

1. Pensare a una frase, al testo di una canzone, alle citazioni di un film, a una filastrocca o a qualcosa di simile, che sia facile da ricordare;

2. Prendere la prima lettera delle prime tre o prime cinque parole;

3. Aggiungere, tra una lettera e l’altra, un carattere speciale (ad esempio: #, @, / e simili).

Da questo momento in poi, è possibile basare tutte le proprie password uniche su questa singola stringa di caratteri.

 

Step 2: Sfruttare la potenza dell’associazione di idee

1. In caso di necessità di una password per uno degli account online in uso (ad esempio per Facebook, Twitter, eBay, per i siti di dating, per l’online banking, per lo shopping online o i siti di videogiochi…), si deve prendere nota della prima parola che si associa a un determinato sito o a una certa piattaforma.

2. Ad esempio, se si sta creando una password per l’account di Facebook, si potrebbe associare al social media il colore blu, presente nel logo. Basterebbe, quindi, aggiungere la parola “blu”, magari in lettere maiuscole, alla fine della “static string” creata in precedenza.

 

“Per esempio – prosegue Jacoby – se la frase a cui si è pensato è “Twinkle Twinkle Little Star, How I wonder What You Are“, e il carattere speciale scelto per l’inserimento tra le lettere è “#”, la password sicura e unica per Facebook sarà: T#T#L#S#Hblue. Se qualcuno ci consegnasse questa password, o se la guardassimo dal di fuori, non avrebbe alcun significato per noi. Trattandosi però di qualcosa di personale per chi l’ha creata, sarà facile per l’autore riconoscere il sistema usato per la sua creazione, associare la parola al sito e ricordare così facilmente la giusta combinazione”.

 

La soluzione Kaspersky Password Manager

Il modo migliore per fare il back-up delle proprie password, per ricordarle e per gestire il loro inserimento in modo automatico e sicuro è attraverso l’utilizzo di tool di gestione. Kaspersky Password Manager è una soluzione sicura per salvare e proteggere le password; consente di creare combinazioni solide e uniche per tutti gli account online, ricordando solo una password principale per l’accesso. Le soluzioni di gestione delle password più sicure offrono anche funzioni di crittografia affidabili, quindi non c’è alcun pericolo di violazione da terze parti.

articoli correlati

AZIENDE

Suggerimenti di Kaspersky Lab per reagire al più grande leak di password della storia

- # # # # #

kaspersky

In queste ore quotidiani e televisioni  hanno diffuso con grande enfasi la notizia relativa alla comparsa online di un enorme database pieno di indirizzi email e password sottratte soprannominato Collection #1. Su Corriere.it compare infatti “il  più grande furto di dati della storia, un’operazione di hackeraggio che avrebbe raccolto 773 milioni (772.904.991 per la precisione) di indirizzi web e più di 21 milioni (21.222.975) di password uniche. Il nome peraltro lascia supporre che esistano anche altre versione di questo attacco che ha portato alla raccolta di un archivio da 87 gigabyte di dati sensibili”.

 

Sergey Lozhkin, Security Expert del Global Research and Analysis Team (GReAT) di Kaspersky Lab ha rilasciato un commento su quanto accaduto, con una serie di consigli utili per la sicurezza degli utenti: “Questa enorme quantità di informazioni è stata raccolta e messa insieme in un arco di tempo piuttosto lungo, in seguito a diversi casi di violazioni di dati, tanto che alcuni dettagli risulteranno probabilmente obsoleti. In ogni caso, non è un segreto per nessuno il fatto che le persone, nonostante la sempre più grande consapevolezza dei pericoli del mondo digitale, continuino ad usare le stesse password e, addirittura, a riutilizzarle anche per diversi siti web”.

 

La cosa più preoccupante è che tutti questi dati, ottenuti attraverso varie violazioni, possono essere facilmente trasformati in un unico elenco di indirizzi email e password: tutto quello che i cybercriminali avrebbero bisogno di fare, quindi, è creare un software piuttosto semplice e verificare così l’effettivo funzionamento di quelle stesse password.

 

“Le conseguenze di un accesso indesiderato a un account compromesso possono essere di vario tipo”, ha proseguito Lozhkin, “si va dal phishing, conveniente dal punto di vista pratico, visto che i criminali informatici potrebbero inviare automaticamente email malevole a tutto l’elenco dei contatti di una determinata vittima, fino ad attacchi mirati per il furto delle identità digitali, la sottrazione di denaro o la compromissione dei dati sui social network. Per tutti questi motivi e considerato quanto accaduto, consigliamo a tutti coloro che utilizzano normalmente le proprie credenziali di posta elettronica per le attività online di procedere quanto prima con il controllo del proprio account email per verificare se ha effettivamente subito delle violazioni attraverso il sito HaveIbeenpwned.com“.

 

A questo suggerimento si aggiungono quelli più consueti di Kaspersky Lab: la modifica delle password utilizzate per tutti gli account più importanti o sensibili (come quelli per l’Internet Banking, i pagamenti online o l’accesso ai social network), preferibilmente tramite un sistema di gestione delle password, e di provvedere all’implementazione dell’autenticazione a due fattori ovunque sia possibile.

articoli correlati