Crea e mantieni password complesse

Le password sono strumenti importanti per proteggere i tuoi dati e la tua identità.

Scopri se le tue password sono state compromesse

Esistono molti trucchi che possono portare a scoprire le tue password. Alcuni strumenti però possono aiutarti per difendere la tua integrità: password lunghe, random e uniche. Puoi utilizzare un gestore di password sicuro ed impostare l’autenticazione a più fattori quando possibile.

Ma per riuscire a scoprire se per caso le tue password sono state compromesse, puoi:

• cerca “sono stato Pwned” su internet, indicando i tuoi account puoi vedere se sono sempre integri. In caso contrario:
• modifica immediatamente qualsiasi password dell’account segnalato, utilizzando le istruzioni per configurare un gestore di password;
• anche se nessuno dei tuoi account viene visualizzato, dovresti comunque seguire le istruzioni che troverai qui di seguito, poiché può capire che alcune violazioni non siano segnalate.

Evita le comuni strategie di creare password deboli

Ecco i modi più comuni in cui gli aggressori “arrivano” alle tue password:

1. possono indovinare la tua password:
2. utilizzando le tue informazioni personali, come date importanti, nomi, citazioni famose, canzoni o autori che ti piacciono;
3. usando un dizionario;
4. modificando leggermente le password che hai usato in precedenza;
5. utilizzando il software per provare tutte le possibili combinazioni per sbloccare le password.
6. possono cercare:
7. dove sono scritte le tue password  (come note sulla tua scrivania);
8. cosa stai digitando quando inserisci la password;
9. password che sono già state violate e sono disponibili online.

• possono trarti in inganno:
• attraverso l’installazione di un’App malware per registrare la tua password;
• facendoti digitare la tua password in una pagina di accesso falsa, tramite pishing;
• facendoti fornire le tue password o altre informazioni, fingendo di essere una persona di supporto o qualcuno che conosci (noto anche come ingegneria sociale).
• sfruttando le vulnerabilità:
• hackerando il sito web che ha la tua password;
• rubando la tua password se è memorizzata nel browser;
• rubando la tua password dalle App che usi sul telefono.

Segui queste linee guida per proteggerti:

• Usa sempre un dispositivo pulito, aggiornato, protetto di cui ti fidi, per accedere ai tuoi account e aprire le tue informazioni sensibili;
• tieni presente che i seguenti step da soli, NON rendono sicure le tue password:
• Usare parole o numeri relativi a te o alle persone e alle organizzazioni intorno a te, come:
• come di persone, animali domestici o organizzazioni
• date di nascita, ricorrenze o festività importanti
• numeri di telefono o indirizzi
• qualsiasi altro dato che una persona qualsiasi potrebbe imparare cercando te e le persone intorno a te.
• Utilizzare frasi comuni, come citazioni famose, testi di canzoni e poesie;
• Sostituzione di caratteri con un simbolo simile (es. sostituzione di “a” con @)
• Mettere punti esclamativi, numeri o altri segni di punteggiatura alla fine;
• Iniziare ogni parola con lettere maiuscole;
• Usare singole parole in qualsiasi dizionario;
• cambiare frequentemente le password.
• Usa un gestore di password:
• utilizza i seguenti programmi: KeePassXC (per Linus, Mac o Windows), KeePassDX (per Android) o StrongBox )per iOS);
• NON riutilizzare vecchie password;
• Lascia che il gestore delle password generi e salvi una password lunga, causale e univoca per ciascuno dei tuoi accessi;
• Quando possibile, è più sicuro impostare accessi separati per account diversi, piuttosto che avere un solo account e dover condividere la sua password.
• Effettua il backup del database del tuo gestore di password:

come con una qualsiasi password individuale, perdere molte delle tue password contemporaneamente potrebbe causare qualsiasi tipo di danno, dalla perdita dei tuoi contatti per finire con perdite di origine finanziario. Ecco perché è importante eseguire regolarmente il backup.

• Usa il metodo diceware (metodo basato sul lancio manuale di dadi il cui scopo è quello di creare password e altre variabili crittografiche) per generare password per il tuo password manager e altre password che devi ricordare (es. la password per sbloccare il tuo password manager!);
• tira il dado 5 volte per ottenere un numero di cinque cifre (es. 6,2,5,1,1);
• usa la parola nell’elenco con il numero corrispondente;
• Ripetere questa operazione 5 volte, usando queste 5 parole come “passphrase” per un accesso, non utilizzandola altrove;
• Crea quindi un immagine mentale usando le parole, in ordine, che ti aiuteranno a ricordare la frase.
• Esercitati ad inserire queste password regolarmente, prima ogni giorno e poi almeno una volta alla settimana, la ripetizione ti aiuterà a “salvare” in memoria queste password.
• Se devi annotare le password su carta, conservale in un luogo sicuro e chiuso a chiave come una cassaforte o un cassetto della scrivania:
• è importante che le tue password non siano visibili a chi passa, o facili da trovare e copiare;
• non tenerle nel portafoglio;
• distruggi completamente le copie cartacee della password o dei codici di backup non appena non ne hai più bisogno;
• in alternativa, mantieni quelle password su altro dispositivo, puoi nasconderli tra le note senza spiegazioni o descrizioni.

Se decidi di utilizzare un gestore di password online:

• Evita di archiviare informazioni sull’account altamente sensibili (come account finanziari o accessi all’account di ripristino) nel data base online;
• Proteggi l’accesso al tuo database online con l’autenticazione a 2 fattori;

Se hai bisogno di condividere le password:

• Evita la condivisione quando possibile:
• se devi farlo con un amico, un famigliare o un collega, cambiala in qualcosa di temporaneo e condividi quella password, quando hai finito la condivisone ricambiala con qualcosa di sicuro;
• prendi in considerazione la creazione di account separati per ogni individuo che necessita di accesso; molti servizi lo rendono possibile. Puoi limitare le azioni che questi account possono eseguire e ciò che possono vedere. Consulta le guide di sicurezza di base per Android, iOS, Mac e Windows per istruzioni su come eseguire questa operazione;
• configura il tuo gestore di password in modo da poterlo utilizzare in modo collaborativo, KeePassXC lo rende possibile.

Non fornire la tua password quando qualcuno ti invia un’e-mail, una chiamata o un messaggio:

• Vai all’App o al sito del servizio che presumibilmente ti ha inviato un messaggio per verificare la richiesta;
• Se sembra essere una persona o un ufficio che conosci ad inviare il messaggio, contattalo tramite altro canale per verificare se ha effettuato la richiesta. Non fare mai click sui collegamenti o inviare una risposta;
• Sii consapevole quando un messaggio sta cercando di spaventarti, di incuriosirti, di farti sentire che perderai un’occasione o comunque di farti agire rapidamente e senza pensare. Fermati, mantieni la calma e trova altri modi per verificare messaggi come questi.

Quando cambiare la password

Cambia subito la tua password quando:

• Sembra che tuo account, i tuoi dispositivi o i tuoi colleghi o le persone che stanno intorno a te, siano state vittime di una violazione;
• Ricevi un avviso credibile dai servizi che utilizzi, che ti informa di un tentativo di accesso da un dispositivo o una posizione non autorizzati:
• cerca notizie sulle violazioni;
• se ricevi un’e-mail o un avviso, controlla sul sito web del fornitore di servizi, che ti ha inviato l’avviso.
• Hai inserito la password su di un dispositivo mobile non attendibile, condiviso o pubblico (potrebbe essere installato un codice dannoso);
• Sei preoccupato che qualcuno ti abbia visto digitale la tua password.
• Riduci al minimo i danni avvisando i tuoi contatti che potrebbero essere stati colpiti.

Pensa dove sei e chi può vedere:

• Se ti trovi uno spazio pubblico e digiti la tua password, fai attenzione se puoi essere visto o registrato;
• Controlla se qualcuno sta guardando la tua tastiera o il tuo telefono mentre digiti le password;
• Usa uno schermo di protezione della privacy per rendere più difficile vedere ciò che stai digitando.

Usa l’autenticazione a due fattori (2FA o MFA)

Verifica quali servizi offrono 2FA:

• E’ fondamentale impostare 2FA per:
• i tuoi conti bancari o App di denaro;
• account come il tuo indirizzo e-mail, social media o altri, di cui avresti bisogno per recuperare altri account,
• Le tue opzioni 2FA possono includere:
• utilizzando un’App o un programma di autenticazione come Google Authenticator, Okta o Duo. Consigliamo l’APP Aegis su Android o l’App Raivo OTP su iOS/iPhone. (Quando si utilizza questa opzione è importante proteggere il telefono cellulare dai malware);
• utilizzando un dispositivo hardware, spesso chiamato token di sicurezza, dongle o “chiave” USB, che puoi collegare al tuo dispositivo o configurare per utilizzare NFC (comunicazione nearfield).  Alcuni esempi sono Yubikey, Nitrokey, Google Titan Key e Thetis Key. I dispositivi hardware potrebbero non essere utilizzabili su dispositivi mobili.
• Puoi utilizzare un’App di autenticazione o un dispositivo hardware per più servizi oppure impostare servizi diversi con diverse forme di 2FA per una protezione aggiuntiva;
• Dopo aver configurato il dispositivo 2FA, le due opzioni precedenti non richiedono una connessione internet per generare codici. L’utilizzo dell’e-mail per 2FA richiede invece una connessione.
• Classificando le opzioni 2FA in ordine di sicurezza, un’App di autenticazione o un dispositivo hardware è più sicuro, quindi e-mail, quindi SMS. Inoltre, gli SMS potrebbero non raggiungerti se ti trovi in un altro paese o senza copertura.
• i messaggi di testo SMS non sono crittografati e gli aggressori hanno intercettato con successo questi codici una tantum diretti al telefono di un possibile “bersaglio”.
• Una volta che hai impostato 2FA, quando inserisci il tuo nome utente e password utilizzerai anche questo modo aggiuntivo per dimostrare di essere chi dici di essere, inserendo la tua chiave, inserendo un codice dal tuo autenticatore o inserendo il codice che ti viene inviato;
• Non disabilitare l’autenticazione a due fattori dopo averla configurata. Alcuni servizi potrebbero offrirti la possibilità di disattivarlo per un po’ per comodità, ma considera l’impatto che ciò potrebbe avere sulla tua sicurezza.

Mantieni i codici di backup 2FA al sicuro e separati:

• Se ti vengono forniti codici di backup quando configuri 2FA, archivia questi codici in un gestore di password;
• Idealmente per mantenere questi codici separati da altre informazioni che potrebbero essere utilizzate per accedere ai tuoi account, crea un database KeePassXC separato e salvalo su un altro dispositivo.

Evita l’impronta digitale o lo sblocco on il volto (biometria):

• Se il dispositivo è impostato per lo sblocco tramite viso o impronta digitale, modifica le impostazioni per utilizzare invece lo sblocco con password;
• Consulta le guide di sicurezza di base per Android, iOS, Mac e Windows per istruzioni su come eseguire questa operazione.

Imposta domande di recupero più sicure

Molti servizi web richiedono “domande di sicurezza” o “domande di ripristino” quando crei un account. Per renderle meno accessibili:

• fornisci risposte false e non correlate con le domande;
• puoi utilizzare un altro codice univoco causale generato dal tuo gestore di password;
• salva le tue risposte e altre informazioni false nel tuo gestore di password, in modo da non rimanere bloccato.

Le domande di ripristino sono importanti per aiutare i servizi a verificare la tua identità, in caso di sospetto che qualcun altro stia tentando di accedere al tuo account. Le risposte a domande come “in quale città sei nato” oppure “come si chiama il tuo animale domestico”, possono essere di facile risposta, nel caso in cui riescano ad arrivare ai tuoi dati. Se tu dai risposte false, puoi rendere più difficile per un malintenzionato dirottare il tuo account.