Quanto tieni al tuo conto in banca?

 

Potrei anche chiederti quanto tieni ai dati dei tuoi clienti o ai tuoi beni patrimoniali. La risposta della maggior parte delle persone è “Tanto”. Ma allora perché le password più comuni sono “123456” e “password”?

Se usi la stessa password su più siti e/o computer oppure una delle tue password preferite si trova nell’elenco che segue, continua a leggere: ti voglio spiegare come mettere al sicuro le cose che contano, senza fatica.

Le 5 password più comuni del 2014

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty

Un bene si può proteggere con qualcosa che si sa (una password, la combinazione di una cassaforte), oppure con qualcosa che si ha (un badge magnetico, una smartcard, la chiave di una serratura) o con qualcosa che si è (un’impronta digitale o della retina) o con una combinazione di queste cose. Più tipi diversi di protezioni si combinano, più la sicurezza aumenta.

Ad esempio: se usi solo una password (qualcosa che sai) per entrare nel conto bancario, mi basterà indovinarla per ripulirti ed arricchirmi. Se oltre alla password devi inserire anche il codice che la banca ti manda con sms al tuo numero di cellulare (qualcosa che hai) o che risulta dallo strumento che la stessa banca ti ha dato (qualcosa che hai) ecco che, anche conoscendo la tua password, mi diventa difficilissimo entrare al tuo posto.

Idem con la carta di credito (qualcosa che hai) che richiede il PIN (qualcosa che sai) per terminare la vendita.

Quindi il primo consiglio che mi sento di darti è: “Chiedi alla tua banca se sono attrezzati per l’autenticazione a 2 fasi (Two factor Authentication) e se ce l’hanno, usala!”.

Sono sempre di più i servizi internet che ti permettono di usare documenti o dati indipendentemente da dove ti trovi. Anche l’accesso a questi servizi è protetto da password, e molti permettono di usare l’autenticazione a 2 fasi. Tra i più noti: Google, Microsoft, Facebook, Twitter, Apple, Dropbox, Evernote.

Prendiamo Google: dal tuo profilo abilita la Verifica in 2 passaggi. Poi scarichi sullo smartphone l’app “Google Authenticator” da Google Play e leggi il QR code che ti sarà apparso a video. Ora quando sarai lontano dal tuo computer, ad esempio in un internet café o da amici, potrai leggere la tua posta su gmail senza pericolo che qualcun altro possa fare lo stesso appena te ne vai, perché oltre alla password sarà necessario inserire il codice di 6 cifre che cambia ogni 30 secondi e che solo tu puoi conoscere. Se hai windowsphone e non trovi Google Authenticator, niente paura, basta scaricare l’app Autenticatore Microsoft dallo Store. Funziona esattamente alla stessa maniera, anche se non è di Google. E con le stesse 2 applicazioni puoi sicuramente proteggere almeno Dropbox, Evernote e Amazon (scrivo per esperienza diretta).

Potrei anche parlarti di autenticazioni biometriche, ma siccome non credo che tu custodisca scorie nucleari, salto questa parte e mi concentro sul decalogo delle password.

10 semplici regole per la protezione dei dati digitali

  1. EVITA come la peste le password contenute nell’articolo http://splashdata.com/press/worst-passwords-of-2014.htm, in particolar modo le prime 7
  2. NON usare la stessa password per diversi siti o computer: se qualcuno è abbastanza abile da indovinarla, tutti i siti o computer diventano vulnerabili
  3. Le password più sicure sono composte da combinazioni di lettere minuscole, lettere maiuscole, numeri e caratteri speciali e sono lunghe più di 8 caratteri
  4. La passphrase è un tipo speciale di password ed è molto più sicura: anziché una parola, usi una frase con relativa punteggiatura, maiuscole e spazi. Praticamente inviolabile. Ad esempio “Sono associato APOI da 2 anni; ne sono molto fiero” (anche comprese le “) è facile da ricordare e ti sfido a indovinarla.
  5. ATTENZIONE: non tutti i siti/computer accettano passphrase lunghe: ad esempio, windowslive accetta solo 16 caratteri
  6. Esistono programmi appositi che usano tecniche statistiche, i tuoi dati reperibili in rete e la forza bruta per indovinare le password in pochissimo tempo. Quindi non credere che la tua data di nascita o di qualche tuo familiare, anche se scritta al contrario, sia una password sicura
  7. Lo scopo delle serrature è “impedire ai gentlemen di diventare dei delinquenti”; significa che l’uomo comune non riuscirà mai ad aprire il portone di casa tua, ma se un ladro è determinato e HA TEMPO a sufficienza, riuscirà ad entrarti in casa. Se la serratura necessita di tanto tempo per essere forzata, le probabilità che qualcuno scopra e faccia scappare il ladro aumentano. La stessa cosa vale per le password: se metti un tetto ai possibili tentativi sbagliati (ad esempio 3) e imposti un congruo periodo di tempo tra i vari tentativi, aumenterai la tua sicurezza
  8. I browser che memorizzano le password dei siti usano diverse tecniche per criptarle: chrome usa la tua password di accesso al computer. Io preferisco Firefox, che permette di inserire una password di tua scelta (sempre per il principio che è meglio non usare la stessa password per diversi siti/computer)
  9. Esistono programmi che memorizzano le password e che possono aiutarti a ricordarli. E’ fondamentale che i dati vengano criptati per renderli illeggibili ai non autorizzati. Personalmente uso Password Safe (http://pwsafe.org/) perché è stato progettato da Bruce Schneier, uno dei massimi esperti di sicurezza delle informazioni e di criptografia.
  10. Se ricevi un messaggio apparentemente proveniente dalla tua banca che ti chiede di “cliccare qui” e poi inserire i tuoi dati, fermati. Digita (fare il pigro potrebbe costarti carissimo) l’indirizzo della banca su un’altra scheda del browser e vai avanti. Eviterai di regalare la tua password ai truffatori del 21° secolo.

Esistono metodi per inventarsi password sempre diverse e ricordarsele senza sforzo. Su uno di questi ho scritto un ebook. Se ti interessa, “chiedi e ti sarà dato

Se seguirai questi 10 consigli, sarai al sicuro? Mentirei se dicessi di sì. Hacker motivati riusciranno sempre a scavalcare le tue protezioni, avendo sufficiente tempo a disposizione. La tua strategia deve quindi essere di impegnarlo il più possibile, sperando che compia qualche errore o qualcuno lo individui prima che riesca nel suo intento.

 

1 Comment

Scrivi il tuo commento

X