"12345" è davvero pessimo: la tua guida definitiva alla sicurezza delle password

Vi abbiamo consigliato più e più volte che l'unico modo sicuro per archiviare e utilizzare le password è affidarsi a un gestore di password, ma alcuni di voi non stanno ascoltando. In un sondaggio PCMag sulle password, solo il 24% di voi ha segnalato di utilizzare un gestore di password. Cosa state facendo il resto di voi? Usare password semplici come password o 12345678? Memorizzare una password complessa e usarla ovunque? Ascolta, prendersi cura della sicurezza delle password non è cosa da poco, ma data l'enorme portata del rischio, come illustrato nella recente violazione della Raccolta n. 1, che ha esposto 773 milioni di indirizzi e-mail violati, devi fare tutto il possibile per mantenere le tue password sicuro.

Anche se stai utilizzando il miglior gestore di password, non garantisce la sicurezza dei tuoi account, non se usi il gestore di password per ricordare quelle stesse vecchie password stanche. Devi scendere in trincea e sostituire le password errate con quelle nuove e più forti.

Quel sondaggio sopra menzionato ha rivelato che il 35% dei lettori di PCMag non cambia mai le proprie password, a meno che non sia costretto a farlo da una violazione. In generale, non è una cosa così negativa. Il National Institute of Standards and Technology non consiglia più di cambiare le password ogni 90 giorni. Il NIST ora consiglia di utilizzare passphrase lunghe come "Correct-Horse-Battery-Staple" e di cambiarle solo quando necessario. Ma se stai usando password terribili, "quando necessario" significa in questo momento .

Cosa rende una password errata? Esamineremo alcuni degli attributi di password terribili, quindi ti forniremo alcuni suggerimenti su come eseguire le password nel modo giusto.

Resta fuori dal dizionario

Ogni pochi mesi una testata giornalistica o un altro pubblica un elenco delle password peggiori. Vediamo molte opzioni facili da digitare, come 123456 e 12345678 e qwerty. Facile per te? Sicuro. Ma anche facile da decifrare per gli hacker. Altre password comuni (e scadenti) sono costituite da semplici parole del dizionario. Abbiamo visto baseball, scimmie e guerre stellari nell'elenco delle peggiori password. Anche questi sono facili da decifrare.

Alcuni siti Web sicuri si bloccano dopo un determinato numero di tentativi di password errati, ma molti no. Per coloro che non hanno un blocco per ipotesi sbagliate, gli hacker possono incrociare un elenco di indirizzi e-mail con un elenco di password popolari e impostare un processo automatizzato per continuare a provare le combinazioni fino a quando non entrano.

Un sito web adeguatamente protetto non memorizza la tua password da nessuna parte. Invece, esegue la password attraverso un algoritmo di hashing, una sorta di crittografia unidirezionale. Lo stesso input produce sempre lo stesso output, ma non c'è modo di tornare alla password originale dall'hash risultante. Se la password digitata ha lo stesso valore memorizzato, ottieni l'accesso. Anche se gli hacker acquisiscono i dati degli utenti del sito, non ottengono password, ma solo hash.

Ma gli hacker intelligenti possono decifrare password deboli anche quando sono sottoposte a hash, se sanno quale funzione di hashing utilizza il sito. Iniziano eseguendo un enorme dizionario di password comuni attraverso la funzione di hashing. Quindi cercano gli hash risultanti nei dati acquisiti. Ogni corrispondenza è una password craccata. I siti con la massima sicurezza migliorano la funzione hash con una tecnica chiamata salting, che rende impossibile questo tipo di cracking da tavolo, ma perché correre il rischio? Stai fuori dal dizionario.

Pensa diversamente

Un'amica una volta mi ha detto la sua password perfetta: 1qaz2wsx3edc4rfv. Poteva "digitarlo" semplicemente facendo scorrere un dito lungo le quattro colonne oblique della tastiera. Era così perfetto, lo usava ovunque. E questo è stato un grosso errore.

Difficilmente passa settimana senza notizie di una violazione in qualche azienda o sito Web, che espone migliaia o milioni di nomi utente e password. Le vittime intelligenti cambiano immediatamente le loro password. Coloro che ignorano il problema potrebbero ritrovarsi bloccati fuori dai propri account dopo che gli hacker hanno reimpostato la password.

Quegli hacker sanno che troppe persone riciclano le loro password. Una volta trovata una coppia di nome utente e password funzionante, provano le stesse credenziali su altri siti. Potresti non essere così preoccupato di perdere l'accesso al tuo account Club Penguin, ma se hai utilizzato lo stesso login sul sito web della tua banca, hai grossi problemi.

Peggiora. Se qualcun altro ottiene il controllo del tuo account e-mail, può prima bloccarti modificando la password. Quindi possono entrare negli altri tuoi account inviando un link per la reimpostazione della password a quell'account. Preoccupato ancora?

Non diventare personale

Usare le informazioni personali come base per le tue password è terribilmente allettante, ma è una cattiva idea. È probabile che il nome del tuo cane appaia nei dizionari usati dagli hacker per gli attacchi di forza bruta. Altre possibilità come le iniziali e la data di nascita di un membro della famiglia probabilmente non cadranno in un attacco di forza bruta, ma se qualcuno vuole hackerare il tuo account in modo specifico, quei dati personali possono alimentare un attacco per tentativi ed errori.

Non pensare per un minuto che i tuoi dati personali siano privati. Esistono dozzine di siti che le persone possono utilizzare per trovare dettagli su chiunque: indirizzo, data di nascita, stato civile e altro. I tuoi post sui social media possono essere un'altra fonte di informazioni personali, soprattutto se non hai protetto adeguatamente i tuoi account. Un hacker determinato (o un vicino ficcanaso) può probabilmente indovinare qualsiasi password che crei in base ai tuoi dati.

Chiudi la porta sul retro

Se non stai utilizzando un gestore di password, hai sicuramente sperimentato la dimenticanza della password per un sito. È fin troppo comune, motivo per cui praticamente ogni pagina di accesso include un "Password dimenticata?" collegamento. Alcuni siti inviano un link di reimpostazione al tuo indirizzo e-mail, mentre altri ti consentono di reimpostare la password dopo aver risposto alle tue domande di sicurezza. E questo apre una porta sul retro a chiunque voglia hackerare il tuo account.

La maggior parte dei siti offre opzioni abissali per le domande di sicurezza. Qual è il nome da nubile di tua madre? Dove sei andato a scuola? Qual'è stato il tuo primo lavoro? Come notato, la tua vita personale è un libro aperto a chiunque abbia capacità di ricerca su Internet. Quando possibile, ignora le domande preimpostate. Crea la tua domanda, con una risposta unica che ricorderai sempre ma che nessun altro potrebbe indovinare.

È più difficile quando il sito non ti consente di definire le tue domande. In tal caso, la soluzione migliore è usare una risposta memorabile che sia una totale bugia. Il nome da nubile di mia madre è Obama. Sono andato a scuola al liceo dei martiri comunisti. Per il mio primo lavoro, ero un domatore di leoni. C'è un elemento di rischio, poiché potresti dimenticare quale bugia hai scelto. Suggerirei di archiviare queste strane risposte come note sicure nel tuo gestore di password... ma se stavi usando un gestore di password, avrebbe ricordato la password per te.

Cosa fare ora che ti interessa

Spero di averti convinto che l'uso di password comuni è una pessima idea, come creare password da informazioni personali. E anche la migliore password forte e casuale diventa un ostacolo se la usi ovunque. Se sei pronto ad agire, ecco alcuni punti di partenza:

• Usa un gestore di password.
• Passa a un gestore di password migliore.
• Ricorda una password principale follemente sicura per il tuo gestore di password.
• Approfitta di un generatore di password casuali per aggiornare le tue vecchie password errate.
• Potresti persino creare il tuo generatore di password casuali in Excel.
• Abilita l'autenticazione a due fattori ove disponibile.

Se un sito sicuro non si occupa della sicurezza, potresti comunque perdere le credenziali di quel sito a causa di una violazione dei dati, ma rendendo tutte le tue password lunghe, forti e uniche, hai fatto tutto il possibile per proteggere i tuoi account online.

Ed ehi! Ora che sei in movimento, dal punto di vista della sicurezza, considera l'aggiunta di una rete privata virtuale o VPN. L'uso di password complesse per siti sicuri significa che gli altri non possono entrare nei tuoi account; l'aggiunta di una VPN significa che non c'è alcuna possibilità che qualcuno possa intercettare la tua connessione a quei siti sicuri.