->Pillole di sicurezza informatica

Pillole di sicurezza informatica

Pubblicato il: 30 Aprile 2024

Pillole di sicurezza informatica

Password le usiamo correttamente?

(non c’è una domanda di riserva…)

Nella pillola precedente, avevamo visto come costruire una password forte e quali erano gli errori da evitare assolutamente.

In questa puntata parliamo di altre soluzioni per rendere sempre più sicuro l’accesso a siti, servizi web o applicazioni.

In particolare, analizzeremo alcune soluzioni tecniche quali:

Autenticazione a due fattori
Verifica in due passaggi
PassPhrase
Passkey
Password manager

Autenticazione a due fattori

In cosa differisce dall’uso della sola password?

L’autenticazione a due fattori è un metodo che combina l’utilizzo di due fattori di categorie diverse. Ad esempio, un processo di autenticazione a due fattori è lo sblocco del telefono subito dopo l’accensione, in cui l’utente:

Inserisce il PIN (qualcosa che conosce solo lui)
Fa una scansione della propria impronta digitale o del volto (qualcosa che ha/che può fare solo lui)

In questo modo, il sistema è protetto da due livelli di sicurezza invece di uno e si riduce il rischio di accessi non autorizzati.

Verifica in due passaggi

Oggi sempre maggiormente proposta dai fornitori di servizi web.

Simile all’autenticazione a due fattori ma che richiede una verifica in due passaggi:

inserimento di una password
inserimento di un codice di sicurezza che cambia ogni volta

Questo può essere inviato via sms/WhatsApp oppure generato da un app es. Google Authenticator, Microsoft Authenticator o ArubaOTP.

Un esempio di verifica in due passaggi è l’accesso all’internet banking dal browser: dopo aver inserito il codice cliente e la password o il pin, richiede l’inserimento di un codice generato dall’app installata sullo smartphone.

PassPhrase

Probabilmente avrai già sentito parlare delle passphrase: si tratta essenzialmente di un insieme di parole scelte in modo semicasuale che sono più facili da ricordare. Ad esempio, "il sole giallo porta brutto tempo” o "il gatto salta sopra il tavolo solo di notte quando ha sete" o un'altra combinazione. Nel primo esempio hai una bella password lunga 34 caratteri, e nel secondo esempio hai una password altrettanto buona di 60 caratteri.

Utilizzare le passphrase è nel complesso più facile e rende la vita meno difficile. Naturalmente, la domanda ora diventa: "Quanto deve essere lunga la mia passphrase?" almeno quattro parole. Se utilizzare più parole, tanto meglio, e in generale cerca di scegliere qualcosa che sia facile da ricordare per te.

Detto questo, c'è un problema con le passphrase: la maggior parte dei siti non consente password di quella lunghezza. Per fortuna, alcuni siti stanno iniziando a essere più indulgenti e, si spera, entro i prossimi anni o giù di lì vedremo le password più lunghe diventare più comuni.

Passkey

Le passkey sono un'alternativa semplice e sicura alle password. Con una passkey puoi accedere a siti e account internet (Google, Microsoft, Apple, ecc.) usando la tua impronta digitale, la scansione del volto o il blocco schermo del dispositivo o un PIN.

Le passkey offrono la protezione più efficace contro minacce come il phishing. Dopo aver creato una passkey, è possibile utilizzarla per accedere facilmente a siti ed account internet e ad alcune app o servizi di terze parti, nonché per verificare la tua identità quando apporti modifiche sensibili.

Ma che cosa è una passkey? Si tratta di una credenziale digitale che consiste di due chiavi: una pubblica e una privata. Quella pubblica è la chiave contenuta all'interno del sito Web al quale dobbiamo effettuare l'accesso, mentre quella privata è presente solamente all'interno del dispositivo dal quale stiamo facendo l'accesso. Per poter accedere all'account, quindi, serviranno entrambe le chiavi.

Cosa succede se smarrisco il dispositivo? C’è sempre la possibilità di eliminare la chiave associata accedendo semplicemente alle impostazioni dell'account associato alla passkey.

Ed infine i password manager

Sono dei software (alcuni anche gratuiti) che permettono di gestire una infinità di password sia di siti che di applicazioni, oltre a poter salvare appunti sicuri.

Permettono inoltre di generare password dinamiche casuali (random) da utilizzare quando ci si registra ad un sito/servizio.

Sono disponibili come software a sé stanti, estensioni per i browser e app autonome per Android, iOS e Windows. Sono disponibili anche in alcuni prodotti antivirus.

Per usarli è sufficiente ricordare una sola password (possibilmente complessa!!! Da non dimenticare mai!).

Integrano un sistema intelligente di riempimento automatico nei moduli web.

I fornitori non sanno nulla dei dati che inserite.

Infine, esistono anche i password manager integrati nei browser, ma sono probabilmente meno sicuri.

Un bell’articolo per approfondire il tema è il seguente

https://www.cybersecurity360.it/cultura-cyber/password-manager-cosa-sono-quali-sono-i-migliori-come-usarli-e-perche/

In conclusione

Dopo questa lettura, non lamentatevi o strappatevi i capelli se violano i vostri account: la colpa sarà solo vostra!