I malintenzionati cercano sempre vulnerabilità facili da sfruttare, e le password deboli sono in cima alla loro lista. Secondo il Verizon 2022 Data Breach Investigation Report, le credenziali rubate lo scorso anno hanno causato quasi il 50% degli attacchi informatici.
Quando i malintenzionati utilizzano le password rubate per accedere all’account di un individuo, riescono spesso a rubare un tesoro di dati personali, come i dettagli bancari o altre informazioni personali critiche. Con questi dati, un criminale informatico può effettuare diverse attività dannose, come rubare l’identità della persona, accedere ai suoi account e ai suoi social media e spendere denaro con le sue carte di credito. Di conseguenza, è fondamentale utilizzare password robuste e cambiarle frequentemente per impedire ai malintenzionati di agire.
Come fanno gli hacker a ottenere le password?
Sono diverse le tattiche con cui i criminali informatici rubano le password. Un esempio diffuso è il social engineering (o phishing) in cui i criminali informatici inducono gli utenti a fornire credenziali tramite e-mail o messaggi di testo, a cliccare su link o a visitare siti web malevoli. Un’altra è il traffic interception, in cui i malintenzionati utilizzano software come i packet sniffer per monitorare il traffico di rete contenente informazioni sulle password e acquisire le credenziali.
Inoltre, la fuga di notizie sul ransomware Conti ha rivelato come il gruppo ransomware di maggior successo del 2021 abbia utilizzato tecniche di furto di informazioni e di credential stuffing, in cui il malintenzionato acquista le credenziali trapelate da database su vari mercati del darknet. Questo avviene perché molti utenti utilizzano la stessa combinazione di password ed e-mail per più siti web. Se solo una di queste informazioni finisce in un database sarà facile per i criminali informatici riutilizzare questi dati sensibili.
Best practice per creare password migliori
Cos’è una password robusta? Di seguito sono riportati quattro semplici consigli di Fortinet per creare password più sicure e proteggersi da un attacco informatico.
Creare password facili da ricordare ma impossibili per gli altri da indovinare. Sebbene possa sembrare un’ottima idea aggiungere i numeri o i caratteri speciali a parole o frasi per rafforzare la password, i malintenzionati utilizzano diverse tecniche per aggirare questo metodo. Per esempio, in un dictionary attack i criminali informatici utilizzano un elenco di parole comuni per ottenere l’accesso a siti web o applicazioni, sperando che le vittime utilizzino quelle parole. Inoltre, aggiungono numeri prima e dopo queste parole per tenere conto di chi pensa che la semplice aggiunta di numeri prima o dopo renda la password più difficile da individuare. Per semplificare la creazione di password robuste è necessario utilizzare un dispositivo mnemonico, come la seconda lettera di ogni parola di una frase che conoscete o del testo di una canzone poco famosa, e mescolate maiuscole e caratteri speciali.
Evitare di utilizzare numeri, nomi o frasi particolari all’interno delle vostre password. È necessario tenere fuori dalle password i propri dati sensibili, come la meta della vacanza più bella, l’università o la squadra del cuore.
È necessario evitare i seguenti elementi in qualsiasi password:
- Compleanni.
- Numeri di telefono.
- Informazioni sulla propria azienda.
- Nomi, compresi titoli di film o sqadre sportive.
- Un semplice mascheramento di una parola comune (“P@$$w0rd”).
Utilizzate invece una combinazione di lettere maiuscole e minuscole, numeri e simboli e create una password di almeno 10 caratteri.
Utilizzare password differenti per ogni singolo account. Se utilizzate la stessa password per più account, aumentate la quantità di informazioni a cui un malintenzionato può accedere se riesce a rubare le vostre credenziali. Supponiamo che uno dei vostri account venga compromesso e che il vostro nome utente e la vostra password vengano pubblicati sul dark web. In questo caso, i criminali informatici che sanno quanto spesso le password vengono riutilizzate inizieranno a inserire le informazioni in altri account fino a sbloccare quelli che utilizzano le stesse credenziali.
Utilizzare un password manager per generare password uniche, lunghe, complesse e facilmente modificabili per tutti gli account online. Sebbene seguire le linee guida per la creazione delle password di cui sopra sia un buon inizio per migliorare le difese contro gli attacchi informatici, non cercate di tenere traccia di tutte le password utilizzando un documento o un foglio sul vostro dispositivo (o una nota adesiva sotto la tastiera). Considerate invece l’utilizzo di un password manager come opzione più sicura. Un password manager è infatti in grado di generare password uniche per ogni account online (o di utilizzare le proprie), di crittografarle e di memorizzarle in un archivio locale o su cloud. I password manager facilitano l’utilizzo delle password più sicure possibili, in quanto è sufficiente memorizzare un’unica password per accedere all’archivio.
Molto di più di una semplice password robusta
Per quanto le persone possano seguire le best practice per creare password robuste, i team IT e di sicurezza dovrebbero adottare ulteriori misure per salvaguardare l’organizzazione e i propri dipendenti da password che potrebbero essere compromesse. Le password robuste sono importantissime, ma se siete dei professionisti della sicurezza, prendete in considerazione l’implementazione di:
· Autenticazione a più fattori (MFA): l’MFA conferma l’identità degli utenti aggiungendo un passaggio al processo di autenticazione, attraverso token fisici o mobili. L’aggiunta di un secondo passaggio per verificare l’identità di un utente garantisce che un criminale informatico non riesca ad accedere all’account che vuole violare anche se la password è stata compromessa.
· Single-sign on (SSO): l’SSO consente agli utenti di utilizzare un unico nome utente e una sola password per diversi account all’interno dell’organizzazione. L’utilizzo di uno solo set di credeziali migliora la sicurezza, poiché i malintenzionati hanno meno opportunità di compormettere l’account di un individuo.
· Training e formazione sulla sicurezza informatica: poiché le minacce si evolvono continuamente e i malintenzionati introducono nuove tecniche per rubare i dati, ogni dipendente deve conoscere le minacce informatiche e quale sia il modo migliore per proteggersi. I corsi di formazione gratuiti, come quelli della serie Network Security Expert di Fortinet, aiutano a migliorare le competenze dei singoli utenti su come mantenersi al sicuro.
· Servizi di protezione dal rischio digitale (DRP): i servizi DRP che includono la gestione della superficie di attacco esterna (EASM), la protezione del brand e la adversary-centric intelligence (ACI) sono essenziali per bloccare i malintenzionati nella prima fase della loro campagna. Per esempio FortiRecon di Fortinet monitora e segnala continuamente le credenziali dei vostri dipendenti trapelate nel dark web, nei forum clandestini a cui hanno accesso riservato gli hacker, nelle fonti di intelligence open source (OSINT) e molto altro.
Avere consapevolezza della sicurezza informatica e delle tecniche di attacco è più importante che mai sia sul posto di lavoro che a casa. L’utilizzo di password robuste e la loro modifica frequente è una parte fondamentale della protezione delle informazioni personali e degli asset digitali.
I corsi e i servizi del Fortinet Training Institute possono aiutare
Fortinet offre un’ampia gamma di risorse a singoli utenti e organizzazioni per aiutare a risolvere ulteriormente i problemi legati alla sicurezza, come le password deboli che possono permettere l’accesso ai dati sensibili ai criminali informatici. Tramite il Fortinet Training Institute, Fortinet offre corsi di formazione gratuiti per aiutare a creare una comprensione di base delle best practice di igiene e sicurezza informatica. Il servizio Fortinet Security Awareness and Training è disponibile anche per le organizzazioni che desiderano assicurarsi che tutti i dipendenti, a prescindere dal proprio ruolo, siano in grado di identificare i metodi di minaccia e prevenire eventuali vulnerabilità e violazioni.
Articolo a cura di Jonas Walker, FortiGuard Labs