Password: come eseguirle correttamente: 10 passaggi

2024 Autore: John Day | [email protected]. Ultima modifica: 2024-01-30 10:04

All'inizio di quest'anno, mia moglie ha perso l'accesso ad alcuni dei suoi account. La sua password è stata presa da un sito violato, quindi è stata utilizzata per accedere ad altri account. Solo quando i siti hanno iniziato a informarla dei tentativi di accesso falliti si è resa conto che stava succedendo qualcosa.

Ho anche parlato con un certo numero di persone che affermano di utilizzare la stessa password per ogni sito. Queste due cose sono state sufficienti per spronarmi a scrivere questo Instructable.

La sicurezza delle password è una parte molto piccola della sicurezza online nel suo insieme. Quasi ogni account richiede una sorta di accesso per consentire l'accesso a tutto ciò che sta proteggendo. Quella singola stringa è spesso tutto ciò che si frappone tra un utente malintenzionato e le tue informazioni personali, denaro, foto personali o quei punti di viaggio che hai raccolto per anni.

Questo tutorial mira a coprire alcune best practice per la creazione di password. Se sei una persona che ha la stessa password per ogni sito Web, le password sono uno schema sulla tastiera o hai la parola "password" nella tua password, questa istruzione è per te.

Disclaimer

Non sono un esperto di sicurezza. Queste informazioni sono state apprese e ricercate nel tempo e sono solo una raccomandazione e un riassunto di un argomento molto complesso. Questo tutorial è stato scritto all'inizio del 2018 e potrebbe essere obsoleto quando lo leggerai.

TL;DR

Se non ti interessano tutti i miei ragionamenti e spiegazioni dietro le password e desideri solo un modo semplice per creare password sicure, vai all'ultimo passaggio.

Passaggio 1: allungalo

La lunghezza è un componente molto importante per la sicurezza delle password. Con la velocità dei computer che cresce sempre più velocemente, le password possono essere provate a velocità incredibili. Questo è chiamato cracking delle password "a forza bruta". È legare ogni possibile combinazione di caratteri fino a trovare quella che corrisponde.

In teoria, questo rende qualsiasi password decifrabile, dato abbastanza tempo. Fortunatamente, più lunga è la password, più tempo impiegherebbe questo tipo di attacco. Ogni personaggio che aggiungi alla lunghezza rende la difficoltà molto più difficile. Se è abbastanza lungo, potrebbero volerci decenni per trovarlo in questo modo, il che non ne vale la pena per un aggressore.

Esempio

Supponiamo che tu abbia una password che è solo lettere maiuscole. Questa non è una buona idea, ma è solo a scopo illustrativo. Ogni volta che aggiungi un altro carattere alla password, il numero di password possibili viene moltiplicato per 26. Se avessi una password di 1 carattere, avrebbe 26 possibili password, 2 caratteri avrebbero 676 password possibili, ecc. Questo inizia rapidamente a valanga.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Come puoi vedere, ogni lettera che aggiungi rende questo attacco molto più difficile e praticamente impossibile con abbastanza caratteri. Ricorda, questo è solo con le lettere maiuscole. Una volta che diventano più complessi, questo effetto viene amplificato.

Passaggio 2: rendilo complesso

La complessità è un altro fattore importante nella sicurezza delle password. Se un sito Web viene violato, è probabile che i nomi utente e le password vengano rimossi. Come livello di sicurezza di base, si spera che il sito Web abbia le password con hash (simile alla crittografia) prima di memorizzarle. Ciò significa che sono confusi prima di entrare nel database e non c'è modo di invertire questo disturbo.

Tutto questo suona bene. Non importa quale sia la tua password perché è confusa, giusto? Questo non è il caso se la tua password non è complessa. Esistono algoritmi di hashing standard utilizzati (SHA1, MD5, SHA512, ecc.) E eseguiranno sempre l'hashing della stessa cosa allo stesso modo. Ad esempio, se stai utilizzando SHA1 e la tua password era "password", verrebbe archiviata nel database come "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", sempre.

La creazione di hash richiede tempo e potenza del computer e calcolare tutti gli hash possibili per tutte le possibili password è praticamente impossibile. Ciò che le persone hanno fatto è creare "dizionari" di password comuni. Cose come "password" o "qwerty" saranno ovviamente presenti, oltre a quelle meno comuni. Ci saranno milioni di password in questi dizionari e ci vorranno solo pochi secondi per esaminare ogni voce e confrontare l'hash conosciuto con l'hash della tua password. Questo è chiamato "attacco al dizionario". Se il tuo è uno di quelli che sono già stati calcolati, il garbling non proteggerà la tua password e può essere utilizzato su altri siti.

Inoltre, cambiare le lettere in numeri non aggiunge complessità. Può sembrare più complesso cambiare E in 3 o I in 1, ma è una pratica così comune che non aggiunge più sicurezza. I programmi di cracking hanno un'opzione che proverà automaticamente queste varianti.

Passaggio 3: rendilo unico

Ricordare le password è difficile. Con le nostre vite sempre più online, non è raro che ogni persona abbia più di 50 account online, ognuno con il proprio login. Questo può essere molto difficile da tenere sotto controllo.

Il modo più comune in cui le persone gestiscono questo è scegliendo una "buona" password e utilizzandola su un gruppo di siti Web diversi. Questa è un'idea terribile. Tutto ciò che serve è una violazione della sicurezza o un sito Web di phishing per ottenere il nome utente e la password per iniziare a girare la palla. Gli aggressori potrebbero provare quel nome utente e password su centinaia di siti Web in pochi secondi. Ciò li inserirebbe automaticamente in ogni sito Web con lo stesso nome utente di quello compromesso.

So che avere una password diversa per ogni sito sembra un compito arduo, ma vedremo come gestirlo in seguito.

Passaggio 4: niente di personale

Le tue informazioni non sono private come pensi. Una rapida ricerca online potrebbe facilmente trovare la tua data di nascita o il tuo indirizzo. Se un altro account è stato violato, è possibile ottenere facilmente ulteriori informazioni. Se c'è un utente malintenzionato che sta cercando di entrare nei tuoi account, queste sarebbero password ovvie da tentare. Lascia anche l'ingresso aperto a familiari, amici o anche conoscenti.

Passaggio 5: tratta tutte le password con la stessa cura

Quando si tratta di siti Web, è necessario trattare la sicurezza di tutti con lo stesso livello di attenzione. Ad esempio, se hai un accesso al sito web del tuo gatto preferito, dovresti prendere le stesse precauzioni del tuo accesso alla banca. Potrebbe non sembrare molto perdere l'accesso a tutti quegli adorabili baffi, ma potrebbe essere solo un trampolino di lancio per un attaccante. Violare quel sito Web "poco importante" potrebbe fornire a un utente malintenzionato ulteriori informazioni su di te, come un nome utente diverso che hai utilizzato, un'e-mail diversa che hai utilizzato per accedere o informazioni reali che potrebbero essere utilizzate per sbloccare altri siti Web.

Inoltre, se si tratta di un sito Web poco importante, c'è una migliore possibilità che non seguano le corrette pratiche di sicurezza, il che significa che se la tua password è lunga e complessa, ma non unica, e le password non vengono crittografate correttamente quando vengono archiviate, quella password può essere facilmente utilizzata su altri siti web. Ancora una volta, solo perché il sito è "non importante", non significa che lo sia la tua sicurezza.

Passaggio 6: tienilo nascosto

Buono - Archiviazione offline

L'archiviazione offline può essere una buona opzione se sei una persona smemorata. Avere una chiavetta USB che tieni sotto chiave con le tue password protegge dalla maggior parte degli attacchi, ad eccezione di familiari e amici. Nel caso in cui dovessi perdere questa chiavetta in qualche modo, assicurati che il file della password o l'intera unità sia crittografata e che il backup della chiavetta sia stato eseguito in un luogo molto sicuro.

Questo metodo ha molta sicurezza, ma a scapito della comodità.

Il motivo per cui dovrebbe essere offline è spiegato più dettagliatamente di seguito. Tieni presente che ora viene eseguito automaticamente il backup di molti dispositivi nel cloud, anche se non volevi. Inoltre, se mai colleghi questa chiavetta a un dispositivo che ha un virus o è compromesso, i dati potrebbero essere facilmente copiati.

Meglio - Ricorda tutto

Ricorda tutte le tue password. Se sei incredibilmente dotato, questa potrebbe essere un'opzione. Non c'è modo per qualcuno di trovarli e li hai sempre con te. Alcuni aspetti negativi sono che la maggior parte di noi non è eccezionale nel ricordare cose complesse e tende a parlare un po' troppo dopo un drink o due. Soprattutto con dozzine di password da ricordare, questa probabilmente non è nemmeno un'opzione per i non addetti ai lavori.

Migliore - Nessuno spazio di archiviazione

Lo scenario migliore è che tu non li conservi affatto. O ricorda in qualche modo tutte le tue password uniche, lunghe e complesse o trova un modo per ricrearle al volo. Se conosci gli ingredienti necessari per ricrearli, non c'è modo in cui un aggressore possa "trovarli" perché non esistono finché non sono necessari. Può sembrare complicato, ma in realtà non lo è. Più su questo più tardi.

L'importanza dell'offline

I siti web sono gestiti da persone. Per la maggior parte dei siti Web, è probabilmente lecito ritenere che queste persone abbiano generalmente buone intenzioni, ma anche le persone migliori possono commettere errori. Solo l'anno scorso, ci sono state una serie di enormi violazioni della sicurezza dei siti Web di aziende grandi e generalmente sicure come Linked-In, Yahoo, Equifax, Apple e Uber, solo per citarne alcune. Queste sono grandi aziende con dipartimenti di sicurezza e sono state violate.

L'archiviazione cloud sembra fantasiosa e offre praticità, ma ciò che un "cloud" è in realtà è il computer di qualcun altro che stai utilizzando per archiviare i tuoi file. Come ho detto sopra, le persone possono commettere errori. Se ciò accade, le tue password potrebbero essere disponibili al mondo. I siti cloud sono un enorme bersaglio per gli aggressori a causa della quantità di dati in loro possesso. Rompi il sito cloud, accedi a tutte le informazioni che potenzialmente milioni di persone hanno archiviato.

Sono sicuro che parte di tutto questo sia paranoia, ma con un'enorme fetta della tua vita nascosta dietro queste password, proteggile come tali.

Passaggio 7: la mia raccomandazione

Questo è stato un preambolo molto lungo per spiegare i principali pilastri della sicurezza delle password. Se segui queste 6 linee guida, dovresti avere problemi di sicurezza minimi online e, se succede qualcosa, dovrebbe fermarsi alla fonte, non diffondersi al resto della tua vita online.

Ci sono molti modi diversi per risolvere queste sfide. Alcuni sono migliori di altri e offrono vantaggi diversi. La mia soluzione preferita è SuperGenPass (SGP). Non sono affiliato in alcun modo, sono solo un fan.

Semplice da usare

SGP ha un'app per il tuo telefono e un pulsante che puoi aggiungere al tuo browser. Quando vai su un sito web e ti chiede il login, fai clic sul pulsante. Apparirà una piccola finestra. Inserisci la tua password principale. SGP genererà una password per questo sito e la inserirà nella casella della password per te!

Lungo

Puoi scegliere la lunghezza della password che viene creata. Questo genererà password fino a 24 caratteri, il che è abbastanza sicuro, ma puoi scegliere più breve se alcuni siti Web limitano la lunghezza della tua password.

Complesso

Vengono utilizzate lettere maiuscole, minuscole e numeri, il che è abbastanza sicuro. Non seguono alcun modello riconoscibile senza parole o frasi. In questa stringa non c'è nulla del tuo URL o della tua password principale.

Unico

Ogni sito web avrà una password completamente unica. Le password per esempio1.com ed esempio2.com sono completamente diverse, anche se c'è solo un carattere diverso negli "ingredienti" iniziali. Come puoi vedere nell'esempio qui sotto, non c'è connessione tra gli "ingredienti" e la password risultante e sono MOLTO diversi l'uno dall'altro.

masterpassword:esempio1.com -> zVNqyKdf7Fmasterpassword:esempio2.com -> eYPtU3mfVw

Magazzinaggio

Non memorizza e non trasmette dati. Può essere eseguito completamente offline se sei preoccupato e non c'è modo per qualcuno di trovarli o rubarli.

Passaggio 8: SGP: configurazione

Configurare SGP è semplicissimo. Innanzitutto, probabilmente vorrai aggiungerlo alla barra dei preferiti. Per farlo, vai su:

chriszarate.github.io/supergenpass/

Ci saranno 2 pulsanti tra cui scegliere. Per configurare un computer che usi di solito, trascina il pulsante sinistro nella barra dei preferiti. Questo ti darà un nuovo pulsante da usare.

Se in futuro utilizzerai il computer di qualcun altro, puoi selezionare il pulsante a destra. Ciò ti consentirà di utilizzare SGP senza modificare nulla nel browser. È anche un'opzione per un browser mobile.

Una volta aggiunto alla barra dei preferiti, fai clic sul pulsante. Si aprirà una piccola finestra nell'angolo della tua pagina web. Facendo clic sul piccolo ingranaggio si apriranno le impostazioni.

Lunghezza

Il numero a sinistra è la lunghezza della password che genererà. Ti consiglio di cercare tra i siti che usi di più e di impostarlo sul numero più alto consentito da questi siti. Si consiglia di superare i 12 anni, ma più a lungo è meglio è, soprattutto perché non è necessario ricordarlo.

Tipo di hash

Ci sono due opzioni per il tipo di hash utilizzato, MD5 e SHA. Entrambi genereranno password con lettere maiuscole, minuscole e numeri. Cambiare questo è un modo semplice per cambiare tutte le tue password mantenendo la stessa password principale.

Password segreta

La sezione della password segreta è un ulteriore modo per assicurarsi che tutto sia al sicuro. Quando l'applet si avvia, se hai una password segreta, mostrerà una piccola immagine nella casella della password. Questa password deve essere SEMPRE la stessa all'avvio. Se si avvia e questa immagine non è quella di solito, c'è la possibilità che qualcuno stia cercando di ottenere la tua password principale.

Password principale

Questo non è necessario durante l'installazione, ma è molto importante. Assicurati di scegliere una password sicura. Questa è una singola password che inserisci sempre su ogni sito. Assicurati che sia qualcosa che puoi ricordare, ma è complesso, lungo e non personale.

Salvataggio

Una volta scelte tutte le impostazioni, fai clic sull'icona di salvataggio e di nuovo sull'icona a forma di ingranaggio per chiudere le impostazioni

Passaggio 9: utilizzare SGP

Per utilizzare SGP, accedere a un sito Web come faresti normalmente. Quando devi inserire la tua password, fai clic sul pulsante SGP che hai aggiunto alla barra dei segnalibri. Se hai utilizzato una password segreta durante la configurazione di SGP, assicurati che l'immagine visualizzata nella casella della password corrisponda a quella che era quando l'hai configurata.

Digita la tua password principale e premi Invio. Questo calcolerà la tua password univoca per questo sito web e la compilerà per te! Mentre digiti la tua password principale, l'icona si aggiornerà. Se l'immagine non corrisponde all'icona che hai di solito, o hai digitato la tua password principale in modo errato o qualcuno sta cercando di ottenere la tua password.

A seconda di come è scritto il sito, SGP potrebbe non essere in grado di inserire la password per te o il sito potrebbe non rendersi conto che è stata inserita. In tal caso, puoi fare clic sull'icona di copia accanto alla casella della password generata e incollarla manualmente.

Una volta inserita la password, fai clic su Accedi e il gioco è fatto!

Passaggio 10: considerazioni finali

SGP potrebbe non funzionare per tutti, e questo va bene. Non è la soluzione perfetta perché non esiste una cosa del genere. Se hai un altro servizio o metodo che ti piace usare per le password, tieni a mente i 6 passaggi per una password sicura. Se il tuo metodo attuale non è all'altezza in un paio di queste aree, potrebbe essere il momento di cercare un'altra soluzione. Sì, potrebbe volerci mezza giornata per modificare tutti i tuoi account, ma probabilmente sarebbe meno un grattacapo che avere i tuoi account violati.

Una nota sull'archiviazione online: se il servizio memorizza le tue password online/nel "cloud", controlla le loro pratiche di sicurezza per assicurarti che siano corrette. Il sito probabilmente ti dirà cosa stanno facendo per proteggere le tue password se lo stanno facendo correttamente. Se non sei sicuro, invia loro un'e-mail e chiedi. Se non possono darti una risposta buona/concisa/accurata, sii cauto quando usi quel servizio.