Le chiavi per il regno: Sicurezza dei dispositivi e degli account
Parliamo di come proteggere al meglio i tuoi dispositivi e gli account online.
Che cos'è l'autenticazione e perché dovrebbe interessarti?
Spesso, quando devi accedere a un elemento, ad esempio un dispositivo, un account o anche un luogo, devi avere un modo per dimostrare di essere quello che dici di essere o almeno di essere autorizzato ad accedere a quella cosa. Questo è un processo che chiamiamo "autenticazione".
Un esempio di base è la tua casa. Quando vuoi entrare nella tua casa probabilmente devi usare un qualche tipo di chiave per sbloccare la porta. Questa chiave fisica ti consente di accedere. Si tratta di un metodo di autenticazione molto semplice, che presenta un grosso problema: se qualcuno trova o ruba la chiave, può entrare in casa tua.
Un altro esempio comune di autenticazione è il cash machine della banca. Questo è un esempio leggermente più avanzato perché, invece di avere solo una chiave fisica (in genere una scheda di plastica nel portafoglio) è necessario ricordare anche un fatto, il PIN, che è in genere un numero di 4-8 cifre.
Questo è un sistema più sicuro perché anche se qualcuno ha la tua chiave fisica, la carta, non può prelevare i tuoi soldi dal cash machine perché ha ancora bisogno di conoscere il TUO PIN. Se tutto ciò che hanno è il tuo PIN, non possono comunque ottenere il tuo denaro dal computer perché hanno anche bisogno della carta. Devono avere entrambe le cose.
In un computer il tipo di autenticazione con cui tutti noi conosciamo è l'accesso con un nome utente e una password. In questi giorni i nostri dispositivi contengono così tanti dati importanti che è fondamentale che la nostra autenticazione sia eseguita correttamente. Se i truffatori possono accedere ai tuoi dispositivi o servizi come te, possono fare un sacco di cose cattive.
Vediamo quindi come puoi proteggerli facilmente.
Primo passaggio: attivare l'autenticazione nei dispositivi mobili.
La maggior parte degli smartphone moderni può sbloccarsi rapidamente con un'impronta digitale o il riconoscimento facciale, ma anche quelli che non supportano questi metodi possono essere impostati in modo da richiedere un PIN per essere sbloccati. Attiva questa attivata.
Sì, è necessario un passaggio aggiuntivo per sbloccare il telefono quando vuoi usarlo, ma l'aggiunta di questo piccolo passaggio rende il dispositivo molto più sicuro. Se il telefono viene smarrito o rubato da chiunque abbia il telefono, è molto meno probabile che possa accedere ai dati sensibili. Ciò è particolarmente importante se usi il dispositivo per lavoro o servizi bancari.
Autenticazione a più fattori (ovvero "verifica in due passaggi")
Quando ti presenti a casa tua e inserisci la chiave per sbloccare la porta, quella chiave è ciò che chiamiamo un "fattore". Quella porta a chiave di base è l'autenticazione a fattore singolo. Tutto ciò che serve è quella chiave fisica.
Esistono tre tipi di fattori di base usati nell'autenticazione:
- Qualcosa che conosci, ad esempio una password o un PIN memorizzato.
- Qualcosa che hai, ad esempio uno smartphone o una chiave fisica di qualche tipo.
- Qualcosa che sei, come l'impronta digitale o il volto, che il dispositivo può eseguire la scansione per riconoscerti.
L'autenticazione a più fattori significa che è necessario più di un tipo di fattore per accedere. Il cash machine di cui abbiamo parlato è l'autenticazione a due fattori: la tua scheda atm di plastica è uno dei fattori e che ricorda il PIN è il secondo fattore.
Quasi tutti i Servizi online ora consentono di usare anche l'autenticazione a più fattori per l'accesso. Il primo fattore è in genere il nome utente e la password. Il secondo fattore è in genere uno speciale codice monotemporeale inviato al tuo smartphone tramite SMS. Chiunque tenti di accedere al tuo account avrà bisogno del tuo nome utente e della tua password, ma dovrà anche ricevere quell'SMS speciale. Questo rende molto più difficile per i truffatori entrare.
Un'altra opzione per quel secondo fattore può essere un'app di autenticazione sullo smartphone, ad esempio Microsoft Authenticator gratuito. L'app di autenticazione ha diversi modi per funzionare, ma la più comune è simile al metodo del messaggio di testo. L'autenticatore genera il codice monotempo speciale nel telefono per l'immissione. Questo è più veloce e sicuro di un SMS perché un utente malintenzionato determinato potrebbe essere in grado di intercettare gli SMS; ma non possono intercettare un codice generato localmente.
In entrambi i casi il codice speciale cambia ogni volta e scade dopo un periodo di tempo molto breve. Anche se un utente malintenzionato ha scoperto con quale codice hai eseguito l'accesso ieri, oggi non potrà usarlo.
Non è una seccatura?
Un errore comune sull'autenticazione a più fattori, o verifica in due passaggi, è che l'accesso richiede più lavoro. Nella maggior parte dei casi, tuttavia, il secondo fattore è necessario solo la prima volta che accedi a una nuova app o dispositivo o dopo aver cambiato la password. Dopo di che il servizio riconosce che stai effettuando l'accesso con il tuo fattore principale (nome utente e password) su un'app e un dispositivo che hai usato in precedenza e ti consente di accedere senza richiedere il fattore aggiuntivo.
Se tuttavia un utente malintenzionato tenta di accedere al tuo account, probabilmente non usa l'app o il dispositivo. È più probabile che stia tentando di accedere dal proprio dispositivo, in un luogo lontano, e quindi il servizio richiederà il secondo fattore di autenticazione, che quasi certamente non hanno!
Passaggio successivo: Attivare l'autenticazione a più fattori ovunque sia possibile.
Abilita l'autenticazione a più fattori presso la tua banca, i tuoi account di social media, gli acquisti online e qualsiasi altro servizio che lo supporta. Alcuni servizi potrebbero chiamarla "verifica in due passaggi" o "accesso in due passaggi", ma è fondamentalmente la stessa cosa.
In genere è disponibile nelle impostazioni di sicurezza dell'account.
Gli attacchi di compromissione delle password sono responsabili degli attacchi agli account di maggior successo che notiamo e l'autenticazione a più fattori può sconfiggerli quasi tutti.
Per altre informazioni, vedere Che cos'è: autenticazione a più fattori.
Introduzione a Windows Hello
Windows Hello è un modo più sicuro per accedere ai dispositivi Windows 10 o Windows 11. Ti aiuta a allontanarti dal vecchio metodo di password usando il riconoscimento facciale, un'impronta digitale o un PIN memorizzato.
Nota
Per usare Hello Face, il dispositivo deve avere una fotocamera compatibile con Hello e per usare Hello Fingerprint il dispositivo deve disporre di un lettore di impronta digitale compatibile con Hello. Se non disponi di nessuno di questi elementi, puoi acquistare fotocamere e lettori di impronta digitale compatibili oppure puoi semplicemente usare il PIN di Hello.
Hello Face o Hello Fingerprint sono altrettanto veloci e semplici del riconoscimento facciale o del lettore di impronta digitale che potresti usare sul tuo smartphone. Quando viene visualizzata la richiesta di accesso a Windows invece di essere richiesto di immettere la password, devi semplicemente guardare la fotocamera o posizionare il dito sul lettore di impronta digitale. Non appena ti riconosce, sei dentro. Di solito, è quasi immediato.
Il PIN di Hello funziona allo stesso modo della maggior parte dei sistemi di immissione del PIN. Quando accedi a Windows, ti verrà richiesto il PIN e ti eseguirà l'accesso. Ciò che rende speciale Hello PIN è che quando lo configuri associa il PIN al dispositivo con cui esegui l'accesso. Ciò significa che, proprio come altre forme di autenticazione a più fattori, se un utente malintenzionato ha ottenuto il PIN, funzionerebbe solo sul tuo dispositivo. Non possono usarlo per accedere ai tuoi account da qualsiasi altro dispositivo.
Passaggio successivo: Attivare Windows Hello
Nel Windows 10 o nei dispositivi Windows 11 passare a Impostazioni> Opzionidi accessoaccount>. Qui puoi vedere quali tipi di Windows Hello il tuo dispositivo può supportare e configurarlo facilmente.
Scelta di password migliori
Le uniche persone a cui piacciono le password sono gli aggressori. I buoni possono essere difficili da ricordare e le persone tendono a riutilizzare le stesse password più e più volte. Inoltre, alcune password sono piuttosto comuni in un grande gruppo di persone: "123456" non è solo una password errata, ma è anche una delle più usate. E non stai ingannare nessuno se "iloveyou" è la tua password, che era l'ottava password più comune nel 2019.
Si spera di aver attivato l'autenticazione a più fattori e Windows Hello, quindi non si è così dipendenti dalle password ora. Ma per i servizi in cui è ancora necessaria una password, scegliamone una valida.
Cosa rende una buona password?
Per scegliere una password valida, è utile conoscere un paio di modi in cui gli utenti malintenzionati provano più comunemente a indovinare le password:
- Attacchi al dizionario – Molte persone usano parole comuni come "drago" o "principessa" come password, quindi gli aggressori proveranno a tutte le parole in un dizionario. Una variante consiste nel provare tutte le password comuni come "123456", "qwerty" e "123qwe".
- Forza bruta - Gli aggressori possono solo provare ogni possibile combinazione di caratteri fino a trovare quello che funziona. Naturalmente ogni carattere aggiunto aggiunge esponenzialmente più tempo, quindi con la tecnologia attuale non è pratico per la maggior parte degli aggressori di provare password più lunghe di 10 o 11 caratteri. I nostri dati mostrano che pochissimi aggressori cercano anche di forzare bruta password più di 11 caratteri.
In entrambi i casi l'aggressore non sta digitando questi a mano, hanno il loro sistema prova automaticamente migliaia di combinazioni al secondo.
Dato questi tipi di attacchi sappiamo che la lunghezza è più importante della complessità e che la nostra password non dovrebbe essere una parola inglese. Nemmeno "affettuosamente", che è lungo 14 caratteri. Idealmente, la password dovrebbe contenere almeno 12-14 caratteri, con lettere maiuscole e minuscole e almeno un numero o un simbolo.
Passaggio successivo: Creare una password valida
Ecco un suggerimento per creare una password con lunghezza, complessità e non troppo difficile da ricordare. Scegli una citazione del film, una riga da un libro o una canzone lirica e prendi la prima lettera di ogni parola. Sostituire numeri e simboli se necessario per soddisfare i requisiti della password.
Forse sei un fan del baseball. Le prime due righe della classica canzone di baseball "Take me out to the ballgame" sono:
Take me out to the ballgame,
Take me out with the crowd
Prendi la prima lettera di ogni parola, con una sostituzione ovvia:
Tmo2tb,Tmowtc
È di 13 caratteri, combinazione di maiuscole e minuscole, con numeri e simboli. Sembra piuttosto casuale e sarebbe difficile da indovinare. Puoi fare la stessa cosa con qualsiasi citazione, testo o riga se è abbastanza a lungo. Devi solo ricordare la citazione o il testo che hai usato per quell'account e dirlo a te stesso in testa mentre digiti.
Suggerimento
- Se il sistema a cui accedi supporta gli spazi nelle password, devi usarli.
- È consigliabile usare un'applicazione di gestione password. Un buon gestore di password può generare password lunghe e casuali per te e ricordarle. Quindi ti serve solo una password valida, o meglio ancora un'impronta digitale o il riconoscimento facciale, per accedere al tuo gestore di password e il gestore di password può fare il resto. Microsoft Edge può creare e ricordare password complesse e univoche per te.
Ora che hai una buona password
Ci sono un paio di altri tipi di attacchi di password da prestare attenzione:
Credenziali riutilizzate : se usi lo stesso nome utente e la stessa password in banca e a TailwindToys.com e Tailwind viene compromesso, questi utenti malintenzionati acquisiranno tutte le combinazioni di nome utente e password che hanno ottenuto da Tailwind e li provano in tutti i siti di carte di credito e bancari.
Suggerimento
Unisciti a Cameron mentre apprende i pericoli del riutilizzo delle password in questa breve storia - Cameron impara a riutilizzare le password
Phishing : gli utenti malintenzionati possono tentare di chiamarti o inviarti un messaggio, fingendo di essere del sito o del servizio, e di indurti a "confermare la password".
Non riutilizzare le password in più siti e fai molta attenzione a chiunque ti contatti (anche se sembra essere una persona o un'organizzazione attendibile) e desideri fornire informazioni personali o sull'account, fare clic su un collegamento o aprire un allegato non previsto.
|
È brutto annotare le password? Non necessariamente, purché la carta sia conservata in un luogo sicuro. Potrebbe essere preferibile scrivere un promemoria per la password anziché la password stessa, nel caso in cui il documento cada nelle mani sbagliate. Ad esempio, se stavi usando l'esempio "Portami al gioco della palla" che abbiamo dato sopra, puoi annotare il nome della tua squadra di baseball preferita come promemoria di ciò che hai usato per la password. |
|---|