Quante password avete? 5? 10? Forse anche di più.
Se state pensando “ah uso sempre la stessa“, è il momento di migliorare la vostra sicurezza online.
“La mia password”
L’avrò sentito dire mille volte: “la mia password è…“. L’incipit di solito è seguito dal nome del primo figlio, dal numero di telefono, dall’indirizzo di casa, dalla data del matrimonio (e qui qualcuno sta ridendo perché ne ho indovinate un paio).
Questo tipo di password sono troppo facili e i rischi sono altissimi. Di seguito inserisco alcune delle peggiori password possibili.
12345
“È la più stupida combinazione che abbia mai sentito in vita mia! È la combinazione che un idiota userebbe per la sua valigia!” – Lord Casco, Balle spaziali
Il problema c’è sempre anche se arrivate a 15, eppure questo tipo di password resta solidamente nella top ten delle password più usate nel mondo e probabilmente la più facilmente hackerabile.
Password
Anche in questo caso siamo nella top ten delle più usate: “chi vuoi che se lo immagini che ho scelto proprio password come password!”.
filippo
È sicuramente il nome del primogenito (alla nascita del secondo tanti si chiedono se sia il caso di aggiungere anche il suo nome, ma poi la pigrizia vince alla grande). In questo caso il rischio è alto perché non serve un pirata professionista, chiunque ci conosca potrebbe indovinarla.
Perché?
I motivi per cui diamo così poca importanza alle nostre password sono vari: “Agli hacker non interessano mica i miei dati”, oppure “Con tutti gli utenti che ci sono non capiterà mica a me“. Probabilmente è vero che non nascondiamo segreti industriali o informazioni sulla sicurezza nazionale, ma gli attacchi informatici non guardano in faccia nessuno, vanno decisamente più per quantità che per qualità.
Facciamo un esempio (semplificando molto): un sito di ecommerce subisce un attacco informatico e tutti gli account vengono rubati, i pirati ottengono così un elenco di email e password.
Tra tutte queste credenziali qualcuno avrà sicuramente usato la stessa password per il proprio account email: il gioco è fatto.
Una volta ottenuto l’accesso alla casella di posta un malintenzionato può facilmente trovare informazioni sulla vittima: vita privata, conto in banca, altri account che utilizza.
Nella migliore delle ipotesi si impossesserà del suo indirizzo email definitivamente, se va un po’ peggio si impossesserà anche dei suoi risparmi.
E dire che sarebbe stato così semplice: bastava usare una password diversa.
Ci sono alcune regole e suggerimenti da seguire per stare tranquilli:
- Sfruttare la doppia autenticazione se disponibile: è quel meccanismo per cui oltre alla password viene richiesto anche di inserire un codice generato di solito attraverso un’app, in questo modo posso accedere al mio account solo se ho il dispositivo con me
- Usare password lunghe, almeno 12 caratteri, magari più parole consecutive, in modo che un software che procede per tentativi non riesca a trovare la password corretta in tempi brevi.
- Usare un mix di maiuscole, minuscole, numeri e caratteri speciali (lo spazio è un’ottima scelta e il fatto che tu stia pensando “non ci avevo mai pensato” è il motivo!)
- Non utilizzare dati reali: se la mia squadra del cuore è il Barcellona un’ottima scelta potrebbe essere il Manchester United, l’importante è ricordarlo.
- Non riutilizzare mai la stessa password 2 volte: per questo è necessario sfruttare un software che ci aiuti anche a ricordarle e magari anche a generarle automaticamente. (ne ho 145 salvate nel mio)
Phishing
Diverso è invece il problema del furto diretto: la password può essere sicurissima, ma se la passo io al truffatore di turno non ci si può fare nulla.
La ricezione di email che tentano di carpire le nostre credenziali del conto on-line è quotidiana:“Il suo account compromesso. Prego verificare le Sue credenziali prima che può”
Spesso è banalmente l’italiano incerto che ci aiuta a capire che siamo di fronte una truffa, ma a volte i messaggi sono così ben fatti che si fa fatica a distinguerli da comunicazioni originali.
Il furto avviene creando una pagina uguale a quella di accesso della nostra banca, noi inseriamo le credenziali e il gioco è fatto. Non ho mai provato, ma credo che non ringrazino neanche.
In realtà difendersi è facile. Basta ricordarsi che:
- La nostra banca non ci chiederà mai di andare a inserire le nostre credenziali per verificarle.
- Se dobbiamo entrare nel sito della banca non seguiamo i link in un messaggio email, apriamo il browser e digitiamo direttamente l’indirizzo.
- Nel dubbio chiamiamo la banca e chiediamo: una doppia verifica non fa mai male
Virus
Anche un banale virus per computer non deve essere sottovalutato: una volta in esecuzione può tranquillamente carpire le sequenze di tasti premuti sulla tastiera e combinarli con i siti che stiamo visitando. In questo modo non solo potranno ottenere username e password ma anche (e soprattutto) i dati della carta di credito, quindi dotiamoci di un buon antivirus, ne esistono di ottimi gratuiti, quindi niente scuse!
L’argomento è molto ampio, ci tornerò presto, nella prossima puntata vedremo meglio cosa succede durante un attacco informatico, per adesso correte a cambiare le vostre password deboli!