Guida alla gestione delle password

Non sentirti sopraffatto dalle password, o semplicemente usa lo stesso su ogni sito solo per ricordartene: progetta la tua strategia di gestione delle password.

Non sentirti sopraffatto dalle password, o semplicemente usa lo stesso su ogni sito solo per ricordartene: progetta la tua strategia di gestione delle password.
Annuncio pubblicitario

Non sentirti sopraffatto dalle password, o semplicemente usa lo stesso su ogni sito solo per ricordartene: progetta la tua strategia di gestione delle password. La guida alla gestione delle password di MakeUseOf, dell'autore Mohammed Al-Marhoon, delinea suggerimenti e trucchi che è necessario conoscere per rimanere al sicuro e sani di mente.

Questa guida è disponibile per il download come PDF gratuito. Scarica la guida per la gestione delle password adesso . Sentiti libero di copiare e condividere questo con i tuoi amici e familiari.

Sommario

§1. Introduzione

§2-Minacce contro le tue password

§3 - Errori comuni

§4-Consigli utili

§5: Come creare una password sicura

§6-Haystacking tua password

§7-Math dietro lunghezza e complessità della password

§8-Test della forza della tua password

§ 9 - Tecniche di gestione delle password

§10-Autenticazione a due fattori

§11-HTTPS: sicurezza aggiunta

§12-Esempi di gestione delle password

§13-Come proteggere le tue password?

§14-Notizie sulla sicurezza

§15-Punti da ricordare (raccomandazioni)

§16-Collegamenti MakeUseOf

1. Introduzione

Siamo tutti travolti dalle password. Tutti hanno un account per Google, Facebook, Twitter, LinkedIn, Outlook / Hotmail, Dropbox ... la lista continua. Sfortunatamente, molti di noi usano una sola password o un gruppo di password per tutti i nostri account principali.

È pericoloso

Non importa se la singola password è unica o se è una lunga combinazione di numeri e lettere; se usi solo una password non importa. Quando un account viene compromesso, probabilmente seguiranno tutti i tuoi account.
gestione delle password
Il motivo principale per cui le persone riutilizzano le password è che tenere traccia di molti accessi diversi (nome utente e password poiché entrambi sono chiamati login) è difficile, in effetti è potenzialmente impossibile. È qui che le applicazioni di gestione delle password diventano cruciali, soprattutto in un ambiente aziendale.

Non vuoi utilizzare la stessa password con tutti i tuoi account online, ma è anche impossibile per te ricordare centinaia di password. Quindi cosa dovresti fare?

In questo manuale, elencherò tutti i passaggi che possono aiutare a migliorare la sicurezza generale dei tuoi account. Sarai esposto a una serie di regole su come creare una password sicura [1.1] per evitare compromissioni di sicurezza e leggerai un sacco di suggerimenti e risorse progettati per rafforzare la sicurezza delle tue informazioni.

DO NOT PANIC : questo manuale non è destinato esclusivamente agli utenti esperti di tecnologia. Chiunque sia preoccupato della propria sicurezza informatica dovrebbe essere in grado di seguirlo facilmente. Allora, cosa stai aspettando? Leggi questa guida e inizia a migliorare la sicurezza della password.

1.1 Che cos'è la gestione delle password?

Sai cos'è una password: è un set o una stringa di caratteri che ti dà accesso a un computer o a un account online. E la gestione è semplicemente il processo di gestione o controllo delle cose. Di conseguenza, la gestione delle password è semplice da comprendere: è un insieme di principi e best practice che aiutano l'utente a creare, modificare, organizzare e controllare le password in modo da essere il più sicuro possibile.

1.1.1 Moduli password:

Potresti sentire termini diversi come passphrase, PIN e password. Molte persone li usano in modo intercambiabile, ma differiscono l'uno dall'altro. Per chiarezza, passphrase e PIN sono due diverse forme di password. Una passphrase è una forma specializzata di password che è relativamente lunga e consiste in una sequenza di parole, ad esempio una frase o una frase completa. "ILuv2readMUO" è un esempio di passphrase. PIN sta per Personal Identification Number. A differenza della passphrase, è relativamente breve (solitamente da 4 a 6 caratteri) e consiste di sole cifre. Un esempio di PIN è "1234".
gestione delle password
In passato, era comune che una password fosse solo una parola, di solito lunga almeno 8 caratteri. Le persone usavano il loro secondo nome, il nome del loro animale domestico, il nome del loro film preferito o quasi qualsiasi altra cosa come password. Questo concetto è stato completamente cambiato. Quando diciamo la password, spesso intendiamo sia password normali che passphrase.

Nel resto di questa guida, i PIN saranno fuori dal campo di applicazione e parlerò principalmente della password, che è la stringa di caratteri che usiamo maggiormente ovunque.

1.2 Il tuo scenario

Quante password hai?

Supponiamo che tu abbia creato la tua prima password quando hai aperto un conto bancario: un codice PIN di 4 cifre. Subito dopo hai creato un'altra password per la tua email (la maggior parte dei client di posta online non ti permette di creare una password con 4 caratteri, quindi non puoi riutilizzare il tuo PIN). Hai trovato qualcosa come "12345678", una passphrase come "John1234" o una breve frase della tua canzone preferita. Successivamente, ti è stato richiesto di avere una password per carte di credito, SIM card, siti di social network, forum ... di nuovo, l'elenco potrebbe continuare e ogni nuovo servizio potrebbe richiedere una password.

Allora, cosa hai intenzione di fare? Per la maggior parte delle persone la soluzione utilizza la stessa password più volte e utilizza qualcosa di facile da ricordare come "12345678". Questi sono entrambi errori (comuni). Quindi qual è la soluzione?

1.3 Perché?

Le password sono le chiavi per accedere al tuo computer, al tuo conto bancario e quasi a tutto ciò che fai online [1.3]. In altre parole, le password sono il mezzo principale per autenticare un utente (l'autenticazione è il processo per verificare chi è qualcuno). Forniscono la prima linea di difesa contro l'accesso non autorizzato ai dati sensibili. La memoria umana funge da database più sicuro - o gestore di password - per memorizzare tutte le tue password.
gestione delle password
Potresti avere una buona memoria. Tuttavia, con decine di siti Web diversi che richiedono la propria password per la sicurezza, la memoria è all'altezza del compito? Per la maggior parte delle persone la memoria non è una soluzione scalabile, quindi se si vuole essere sicuri si dovrà implementare un sistema per memorizzare le password in modo sicuro. Questo manuale mira a fornirti diverse tecniche per creare password forti e facili da ricordare per ciascuno dei tuoi account.

1.4 Storie di violazione / violazione della password

Una violazione della password è un incidente quando qualcuno non autorizzato a farlo interrompe una password o esegue un hacking in un database in cui sono archiviate le password, e sono più comuni di quanto si possa pensare. Twitter ha annunciato nel febbraio 2013 che era stata violata e che i dati relativi a 250.000 utenti di Twitter erano vulnerabili. Un numero di violazioni di alto profilo si è verificato nel 2012; ecco alcuni esempi:

Zappos.com, il noto negozio online di calzature e abbigliamento, ha annunciato nel gennaio 2012 che il suo database di informazioni sui clienti è stato violato e milioni di credenziali di accesso degli utenti sono state compromesse.

Yahoo ha annunciato che oltre 450.000 indirizzi e-mail e password degli utenti di Yahoo Voices sono stati rubati e rivelati (o pubblicati online) dagli hacker.

LinkedIn ha confermato che milioni di password di LinkedIn sono state compromesse. Ed ecco un link assolutamente da vedere che mostra un'infografica autoesplicativa che evidenzia le 30 password più popolari rubate da LinkedIn.

EHarmony, il famoso servizio di incontri online, ha annunciato che alcune delle password dei suoi membri sono state interessate.

L'elenco degli hack è in costante crescita e dovrebbe suggerirti di porre domande. Ad esempio: se utilizzo la stessa password per tutti i siti (e uno di questi è trapelato) gli hacker potranno semplicemente riutilizzare la mia password per tutti i servizi? (Sì.)

Ci sono imminenti hack? (Sì). Se sì, quali servizi verranno violati? (Impossibile dire). Quando? (Ancora, impossibile da dire). La mia password sarà coinvolta nella prossima violazione? (Può essere). Le mie password sono abbastanza forti? (Probabilmente no). Dovrei cambiarli? (Sì. Spesso.)

Questi recenti hack servono da avvertimento e invito all'azione. È ora di rivedere e valutare tutte le tue password e di modificare quelle che sembrano deboli o che hai utilizzato per più di un sito. Le seguenti parti di questo manuale risponderanno e discuteranno la maggior parte delle vostre preoccupazioni. Passa attraverso di loro e condividi il tuo feedback dopo aver letto.

2. Minacce contro le tue password

Simile a ciò che è spiegato in The Simplest Security: una guida alle procedure per una migliore password, il cracking delle password è il processo di violazione delle password per ottenere l'accesso non autorizzato a un sistema o account. E la violazione della password, come definita in precedenza, è generalmente il risultato del cracking della password. Le password possono essere individuate, spezzate, determinate o acquisite attraverso tecniche diverse come tecniche di indovinare e tecniche di social engineering.

Indovinare: un metodo per ottenere l'accesso non autorizzato a un sistema o account tentando ripetutamente di autenticarsi - utilizzando computer, dizionari o elenchi di parole di grandi dimensioni. Una Forza Bruta è una delle forme più comuni di questo attacco. È un metodo per indovinare una password provando letteralmente ogni possibile combinazione di password. Un attacco di dizionario è una tecnica simile, ma uno basato sull'inserimento di ogni parola nel dizionario di parole comuni per identificare la password dell'utente. Entrambi sono molto simili, ma la seguente tabella chiarisce le principali differenze tra loro:

Forza brutaDizionario Attack
utilizzare tutte le combinazioni possibili di password dei caratteri per recuperare la passwordusa ogni parola in un dizionario di parole comuni per identificare la password
numero elevato di combinazioni di passwordcerto numero di chiavi comuni
il tempo di cracking dipende dalla forza della password (lunghezza e complessità)il tempo di cracking dipende dal numero di password comuni, quindi è un po 'più veloce di un attacco di forza bruta.

software di gestione password
Ingegneria sociale: l'arte di ottenere informazioni sensibili o l'accesso non autorizzato a un sistema o account sfruttando la psicologia umana (utente). È anche conosciuto come l'arte dell'inganno. In realtà, le aziende sono obiettivi tipici dell'ingegneria sociale ed è più difficile da gestire da parte delle organizzazioni IT. Perché? Perché si basa sul fatto che gli utenti sono:

naturalmente utile, specialmente a qualcuno che è bello o che già lo sa

non consapevole del valore delle informazioni che possiedono

incurante di proteggere le loro informazioni

Ad esempio: un dipendente di un'azienda può essere indotto a rivelare il suo nome utente e password a qualcuno che finge di essere un agente di help desk IT. Potete immaginare perché l'ingegneria sociale è un modo molto efficace per un criminale di entrare in un'organizzazione: spesso è più facile ingannare qualcuno che non ottenere l'accesso non autorizzato tramite l'hacking tecnico.

I tentativi di phishing sono un esempio comune di attacchi di social engineering. Ad esempio: un'e-mail o un messaggio di testo che sembra provenire da un'organizzazione nota o legittima, come una banca, per informarti che sei un vincitore e hanno bisogno di alcuni dettagli personali (come il numero di telefono e l'indirizzo) possono inviarti il ​​premio. L'ingegneria sociale si basa sulle debolezze umane. Quindi ricorda: NON condividere password, dati sensibili e dati bancari riservati sui siti ai quali si accede tramite link nelle e-mail.

Per informazioni più approfondite sulle minacce contro le password, leggi le seguenti risorse:

• Guida alla gestione delle password aziendali (Bozza)

• IL RISCHIO DI INGEGNERIA SOCIALE SULLA SICUREZZA DELLE INFORMAZIONI: UN RILIEVO DEI PROFESSIONISTI IT

• Cos'è l'ingegneria sociale? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] Cos'è l'ingegneria sociale? [MakeUseOf Explains] È possibile installare il firewall più potente e costoso del settore. Puoi educare i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure. È anche possibile bloccare la stanza del server, ma come ... Per saperne di più

• Come proteggersi dagli attacchi di ingegneria sociale Come proteggersi dagli attacchi di ingegneria sociale Come proteggersi dagli attacchi di ingegneria sociale La scorsa settimana abbiamo dato un'occhiata ad alcune delle principali minacce di ingegneria sociale che voi, la vostra azienda o i vostri dipendenti dovreste cercare fuori per. In poche parole, l'ingegneria sociale è simile a un ... Per saperne di più

3. Errori comuni

Il capitolo precedente ha evidenziato i modi in cui le nostre informazioni sono vulnerabili. Quali errori peggiorano questa vulnerabilità? La seguente tabella mostra gli errori più comuni che potresti fare:

Sbaglio Esempio Valutazione del rischio
Utilizzando una password comune.123456
12345
123456789
parola d'ordine
ti amo
le sei lettere su qualsiasi riga di una tastiera. Ad esempio, le prime sei lettere sulla riga superiore della tastiera "qwerty.
Troppo rischioso. Queste sono le prime ipotesi del criminale, quindi non usarle.
Utilizzo di una password basata su dati personali (spesso chiamata password facile da indovinare). Basando una password sul numero di previdenza sociale, i soprannomi, i nomi dei familiari, i nomi dei tuoi libri o film preferiti o la squadra di calcio sono tutte cattive idee. Non farlo.Gladiatore
“Bobby”
“Jenny”
“Scruffy”
Real Madraid o RealMadraid
Troppo rischioso: chiunque lo conosca può facilmente intuire questa informazione.
Utilizzo di una password breveJohn12
Jim2345
Più una password è corta, maggiori sono le possibilità di osservare, indovinare e scomporre.
Usando la stessa password ovunque.Utilizzando una password su ogni sito o servizio online.Troppo rischioso: è un singolo punto di errore. Se questa password viene compromessa o qualcuno la trova, il resto dei tuoi account, incluse le tue informazioni sensibili, sono a rischio.
Scrivi la tua password (s) verso il basso.Scrivi la tua password su una nota postit attaccata al tuo monitor, tastiera o ovunque.Rischio molto elevato, specialmente negli ambienti aziendali. Chiunque trovi fisicamente il pezzo di carta o una nota adesiva contenente la tua password può accedere al tuo account.

Google "Errori comuni delle password" e troverai centinaia di risultati e risorse che descrivono diversi tipi di errori, quasi tutti ricadono negli errori menzionati nella tabella sopra.

Bene, cosa dovremmo fare ora per evitare le minacce contro le password? E ci sono istruzioni o procedure di sicurezza da seguire per creare una password sicura senza fare uno di questi errori comuni?

4. Consigli utili

Prima di discutere le metodologie su come creare una password forte e facile da ricordare, diamo un'occhiata a suggerimenti utili generali che sono i capisaldi di qualsiasi metodologia per creare una password sicura. Ci sono molti riferimenti - su MakeUseOf e sul Web più ampio - che trattano questo argomento. Qui sto cercando di andare oltre i suggerimenti più comuni.

IMPORTANTE: la tua password deve contenere almeno 8 caratteri e si consiglia vivamente di contenere 12 caratteri o più.

Seleziona una password che contenga lettere (sia maiuscole che minuscole), numeri e simboli.

CategoriaEsempio
Lettere maiuscoleA, B, C, D
Lettere minuscolea, b, c, d
Numeri0, 1, 2, 3, 4, 5, 6, 7, 8, 9
simboli

@ # $ & *:; . ? /

Non usare nomi o parole trovate nel dizionario.
gestore di password
Per gli account aziendali, utilizzare una password univoca separata per ciascun servizio principale e assicurarsi che nessuna di queste password sia uguale a quelle associate agli account personali. Ad esempio: la password per accedere alla tua stazione di lavoro dovrebbe essere diversa dalla password per il tuo account Google personale.

Abilita sempre le impostazioni "HTTPS" (anche chiamate HTTP sicure) in tutti i servizi online che la supportano, inclusi Twitter, Google, Facebook e altro.

Non utilizzare semplici domande di sicurezza con password. In effetti, le domande di sicurezza rappresentano uno dei principali punti deboli nella sicurezza della posta elettronica. Chiunque vicino a te, chiunque ti conosca, può facilmente rispondere alle seguenti domande di sicurezza comuni:

Qual è il nome da nubile di tua madre?

Qual è il nome del tuo gatto?

Qual è la tua città natale?

Questi suggerimenti aiutano tutti, ma potresti trovare una password che soddisfi alcuni dei punti precedenti ed è ancora debole. Ad esempio, come Microsoft ha citato sul suo sito web, Welcome2U !, Hello2U !, e Hi2U? sono tutti abbastanza deboli, nonostante includano lettere maiuscole, lettere minuscole, numeri e simboli. Ognuno di loro contiene una parola completa. D'altra parte, W3l4come! 2? U è un'alternativa più forte perché sostituisce alcune delle lettere nella parola completa con i numeri e include anche caratteri speciali. Questo non è infallibile, ma è meglio di prima.

5. Come creare una password sicura

"Tratta la tua password come lo spazzolino da denti. Non permettere a nessun altro di usarlo e ottenerne uno nuovo ogni sei mesi. " ~ Clifford Stoll

Prima di andare oltre, tieni presente quanto segue: Più forte è la tua password, più protetto il tuo account o il tuo computer da compromissioni o hackerati. Assicurati di avere una password unica e sicura per ciascuno dei tuoi account.

Infatti, ci sono molti articoli e suggerimenti su come scegliere password forti e facili da ricordare per i vari account online. La maggior parte di questi suggerimenti o metodi, se non tutti, concordano sulla regola di creare password basate su un mnemonico, come ad esempio una frase facilmente memorizzabile. Tuttavia, hanno alcune piccole differenze nel modo in cui combinano i suggerimenti utili di cui sopra aggiungendo alcuni livelli di sicurezza per rendere più sicura la password. Riassumiamo questi metodi, per un facile riferimento.

5.1 Metodologia di Mozilla

Mozilla ha pubblicato un articolo molto utile, tra cui un video animato, intitolato "Crea password sicure per mantenere la tua identità al sicuro" .. Le idee, in breve, sono:

Prendi una frase o frase familiare, ad esempio "Possa la forza essere con te" e poi abbreviare prendendo la prima lettera di ogni parola, quindi diventa "mtfbwy"

Aggiungi alcuni caratteri speciali su entrambi i lati della parola per renderla più forte (come #mtfbwy!)

E quindi associarlo al sito aggiungendo alcuni caratteri dal nome del sito web nella password originale come suffisso o prefisso. Quindi la nuova password per Amazon potrebbe diventare #mtfbwy! AmZ, #mtfbwy! FbK per Facebook e così via.

5.2 Consigli di Microsoft

Microsoft offre molte informazioni sulla sicurezza, il che ti costringe a pensare seriamente alla forza delle tue password. I suggerimenti di Microsoft per la creazione di password complesse sono molto simili ai suggerimenti di Mozilla, ma evidenziano anche quattro aree da prendere in considerazione; Lunghezza, complessità, variazione e varietà.
gestore di password
Abbiamo già esplorato i primi due. Per motivi di variazione, Microsoft ha sottolineato l'importanza di cambiare regolarmente la password (circa ogni tre mesi). La varietà consiste principalmente nell'evitare il riutilizzo della password, che rende vulnerabili tutti gli account se ne viene compromesso uno. Uno studio condotto dai ricercatori del Security Group presso il laboratorio informatico dell'Università di Cambridge mostra che il tasso di comparazione delle credenziali di accesso rubate (password hash) per due siti diversi era pari al 50%. Quindi, mai e poi mai usare la stessa password due volte - prova ad avere sempre password diverse per account diversi per siti Web o computer.

5.3 Metodologia password sicura di Google

Una parte della recente campagna pubblicitaria di Google per la sicurezza online, "Buono a sapersi", è la procedura per scegliere una password sicura per ciascuno dei tuoi account. L'idea, in breve, come Sara Adams menzionata in questo breve video, è di scegliere una frase o una linea (che puoi facilmente ricordare) dalla tua canzone preferita, film, ecc. Quindi prendi la prima lettera di ogni parola e poi prova a mescolarla con numeri e caratteri speciali (simboli) e lettere miste per costituire la tua password forte ma facile da ricordare. Più è insolita la frase che scegli e meglio è. "Buono a sapersi" è una ricca campagna educativa e una risorsa che mira principalmente a diffondere la consapevolezza della sicurezza e della privacy online. Mantenere i tuoi account online al sicuro è un altro fantastico video che ti mostra come aumentare la tua sicurezza.

5.4 Mettere tutto insieme

Durante la generazione di una password è necessario seguire due regole; Lunghezza e complessità. Iniziamo usando la seguente frase: "Mi piace leggere il blog MakeUseOf ogni giorno" . Trasformiamo questa frase in una password.

Prendi la prima lettera di ogni parola: IltrMUObe . Prenderò la lettera "d" considerando ogni giorno come due parole e per allungare la password. Quindi diventerà come IltrMUObed .

Ora aumenta la sua forza aggiungendo simboli e numeri:

20I! Ltr.MUO_bed? 13

OH MIO DIO! Qual è questa password difficile? !! È impossibile da ricordare e chi aggiungerà numeri e simboli come questo? Aspetta un attimo ... Non ho aggiunto nessun numero e non ho inserito i simboli a caso. Cerchiamo di analizzare questa password in modo più completo:

20 I! Ltr.MUO_bed? 13

In primo luogo, il 20 e il 13 si riferiscono all'anno 2013. In secondo luogo, ho inserito un simbolo dopo ogni tre posizioni o caratteri. Cosa hai notato? Sì, è un modello. Progetta il tuo modello speciale. Potresti voler usare il mio modello esatto come password di base per la maggior parte dei tuoi account online - no. Pensa al tuo. Ma se si desidera utilizzare questa opzione come password di base, fare un favore ruotando porzioni delle password, modificando l'ordine o, come minimo, utilizzando il nome del proprio account online nella password.

20I! Ltr.MUO_bed? 13 Gmail

fb 20I! ltr.MUO_bed? 13 (per Facebook)

20I! Ltr.MUO_bed? 13 Tw (per Twitter)

2013I! Ltr.MUO_bed? Li (per LinkedIn)

Questa è una strategia di sviluppo della password. Continuiamo ad aggiungere complessità, cercando anche di mantenere le cose possibili da memorizzare.

6. Haystacking la tua password

Questa tecnica è stata sviluppata dal guru della sicurezza Steve Gibson, presidente della Gibson Research Corporation (GRC). Password Haystack è una metodologia per rendere la tua password estremamente difficile alla forza bruta inserendo la password con un pattern come (//////) prima o / e dopo la tua password. Inoltre, Gibson ha progettato un'intelligente calcolatrice interattiva, Brute Force Search Space Calculator, che puoi utilizzare per testare il potenziale della tua password. Mostrerà quanto tempo occorrerebbe per le diverse entità per violare la tua password, mentre ti mostrerà perché la tua password è debole o forte sulla base di alcuni calcoli matematici. Quindi, come usare questa tecnica?

Ecco come funziona:

Crea una password, ma cerca di renderla una combinazione di lettere maiuscole e minuscole, numeri e simboli

Crea un pattern / schema che ricordi, come la prima lettera di ogni parola da un estratto della tua canzone preferita o un insieme di simboli come (... ../////)

Usa questo modello e ripeti l'utilizzo più volte (inserendo la tua password)

Facciamo un esempio di questo:

Parola d'ordine:

I.lto! MUO2012

Applicando questo approccio, la password diventa una password Haystacked:

... ..///// I.lto! MUO2012 ... ../////

Quindi per il tuo account Facebook, la password potrebbe essere:

fb ... ..///// I.lto! MUO2012 ... ../////

Ulteriori esempi di questa tecnica:

818818818JaNe !!

JaNe9999999999 //

Hai un'idea.

È molto facile inserire la password in un contenitore (o in un pagliaio). Ora, proviamo la forza della password dell'account Facebook utilizzando il calcolatore dello spazio di ricerca della forza bruta:

software di gestione password

Questa tecnica risolve due problemi summenzionati, che sono:

  • Più complessa è la tua password, più difficile da ricordare per l'utente e più probabile sarà scritta e persa
  • La cosa più frustrante per gli utenti è la modifica periodica richiesta della password per motivi di sicurezza, soprattutto in un'organizzazione

7. Matematica dietro lunghezza e complessità della password

Ci sono molti articoli sul web su se la lunghezza o la complessità è la parte più importante di una password. Ci si potrebbe chiedere: perché è sempre raccomandato (o anche richiesto) che le password abbiano almeno 8 caratteri e che siano una combinazione di lettere, numeri e simboli? E perché altri insistono sul fatto che la lunghezza da sola è importante? La verità è che devi considerare sia la lunghezza che la complessità mentre crei una password. La ragione di ciò è chiarita dalla seguente formula:

X ^ L (X alla potenza di L)

dove X è il numero di possibili caratteri che possono essere nella password e L è la lunghezza della password.

Roger A. Grimes ha scritto un articolo affascinante (le dimensioni della password contano) sull'analisi di questa formula. Cercherò di mantenerlo semplice e di non annoiarvi con i calcoli matematici puri. Ripensa al metodo più diffuso di cracking delle password, forza bruta, in cui tutte le possibili combinazioni di caratteri vengono provate una ad una in una serie infinita di ipotesi fino a quando non viene scoperta la tua password. La seguente analisi mostra come sia la lunghezza che la complessità influenzano la forza della password, illustrando le numerose combinazioni possibili in ciascun numero di lettere.

Concentriamoci sulle password di 2 caratteri. Se la password consiste solo di due lettere, abbiamo la seguente analisi:

Lunghezza della password = 2 caratteri

Primo carattere = lettere minuscole (26 possibilità) + lettere maiuscole (26 possibilità) = 52

Secondo carattere = 52 (come il primo carattere)

Totale = 52 ^ 2 = 52 * 52 = 2704 combinazioni

Ora ripetiamo il processo ma supponiamo di poter aggiungere numeri alla password ma con la stessa lunghezza (solo 2 caratteri):

Lunghezza della password = 2 caratteri

Primo carattere = lettere minuscole (26 possibilità) + lettere maiuscole (26 possibilità) + numeri (10 possibilità) = 62

Secondo carattere = 62 (come il primo carattere)

Totale = 62 ^ 2 = 62 * 62 = 3844 combinazioni

Ora ripetiamo gli ultimi due processi ma con una password aumentata da 2 caratteri a 3 caratteri:

Lunghezza della password = 3 caratteri

Primo carattere = lettere minuscole (26 possibilità) + lettere maiuscole (26 possibilità) = 52

Secondo carattere = 52 (come il primo carattere)

Terzo personaggio = 52 (uguale al primo e al secondo carattere)

Totale = 52 ^ 3 = 52 * 52 * 52 = 140608 combinazioni

Ora ripetiamo la procedura, ma assumiamo che siamo autorizzati ad aggiungere numeri alla password ma con la stessa lunghezza (solo 3 caratteri):

• Lunghezza della password = 3 caratteri

Primo carattere = lettere minuscole (26 possibilità) + lettere maiuscole (26 possibilità) + numeri (10 possibilità) = 62

Secondo carattere = 62 (come il primo carattere)

Secondo carattere = 62 (uguale al primo e al secondo carattere)

• Totale = 62 ^ 3 = 62 * 62 * 62 = 238328 combinazioni

Cosa hai notato? Se osservate il numero di combinazioni possibili in entrambe le parti, otterrete le risposte alle domande che abbiamo sollevato all'inizio. Sia la complessità che la lunghezza possono rendere difficile la decifrazione di una password, ma la strategia definitiva è chiaramente quella di combinarli.

Per riassumere, il tempo necessario per decifrare una password dipende da due fattori, rispettivamente in base alla loro importanza:

Lunghezza (L): qual è la lunghezza della password (Nota: ogni carattere in più richiede un tempo esponenziale alla forza bruta)

Complessità (X): ovvero quanti caratteri sono consentiti in ogni posizione (maiuscole, minuscole, numeri e caratteri speciali)

8. Prova la forza della tua password

Potresti vedere la creazione di una password complessa come un lavoro irritante o difficile per te. E mentre potresti aver trovato una password, non sei sicuro della sua forza. Non preoccuparti! Fortunatamente, ci sono molte utili applicazioni basate sul Web, chiamate verificatori di forza della password (o semplicemente controllori di password), che possono aiutarti a testare la forza della tua password. E fornirti le linee guida per crearne uno più forte.

How Secure Is My Password è un ovvio esempio. Si tratta di un'applicazione semplice, basata su un solo scopo, basata sul Web, con un'interfaccia user-friendly; fondamentalmente, una casella di testo. Digita semplicemente la tua password nella casella di testo e ti farà conoscere la validità della password (mostrandoti l'ora in cui un PC desktop impiegherebbe a decifrarla) mentre digiti la password. Ma come fa? In realtà, tutti questi strumenti calcolano la forza utilizzando un semplice calcolo matematico o i propri algoritmi di ponderazione e forniscono il numero o la misura che corrisponde alla forza potenziale della propria password. Per esempio, proviamo con la nostra password Haystacked: fb ... ..///// I.lto! MUO2012 ... ../////
software di gestione password
È uno strumento molto utile per scoprire la forza della tua password, ma come precauzione probabilmente non dovresti usare questo servizio con la tua password attuale. Usalo invece per imparare cosa funziona e cosa non funziona.

Per ulteriori informazioni su questo strumento e altri strumenti simili, vedere i collegamenti seguenti:

• Metti le tue password attraverso il test del crack con questi cinque strumenti di potenziamento delle password Metti le tue password attraverso il test del crack con questi cinque strumenti di potenziamento delle password Metti le tue password attraverso il test del crack con questi cinque strumenti di potenziamento delle password Tutti noi abbiamo letto una buona parte di come faccio a rompere le domande di una password? È sicuro dire che la maggior parte di loro sono per scopi nefandi piuttosto che curiosi. Violazione delle password ... Leggi di più

• HowSecureIsMyPassword: Checker della password

• Quanto è sicura la tua password?

• Misuratore password: controlla password per forza

• Test di resistenza: prova la forza della tua password

Inoltre, all'interno del servizio di sicurezza menzionato in precedenza da Microsoft, è disponibile uno strumento gratuito chiamato Password Checker di Microsoft per verificare la validità della password. Basta andare lì, digitare la password e ottenere un indice di potenza istantaneo: debole, medio, forte o migliore, che appare nella barra colorata sotto la casella di testo, come mostrato nella seguente istantanea:
Password Guida gestione password 8
Ulteriori informazioni: controlla la forza delle tue password in Microsoft's Password Checker

NOTA: la sicurezza è la tua prima responsabilità. Pertanto, per motivi di sicurezza, consigliamo vivamente di fare attenzione con l'uso di questi strumenti. Pertanto, come best practice, considerare e considerare questo tipo di applicazioni Web (indipendentemente dal fatto che l'applicazione / servizio basata sul Web utilizza uno script sul lato client per verificare la password, senza inviare nulla al server o meno) come esercizio per per sapere come ottenere una password sicura utilizzando caratteri, simboli e numeri diversi. Gioca con esso costruendo password false e testandole.

DEVI essere l'unica persona che conosce la tua password effettiva.

9. Tecniche di gestione delle password

Potresti pensare che la creazione di password forti, sicure e uniche per ciascuno dei tuoi account online sia impossibile perché sarà difficile ricordarle tutte. Fortunatamente, esistono diversi tipi di tecniche, inclusi strumenti e servizi, disponibili per rendere le tue password sicure e accessibili da più computer e dispositivi.

9.1 Algoritmi

9.1.1 Sistema di password a livelli

In inglese semplice, i sistemi di password a più livelli hanno diversi livelli di password per diversi tipi di siti Web, in cui la complessità della password dipende da quali sarebbero le conseguenze se tale password venisse compromessa / ottenuta. Potresti avere due o tre livelli di sito Web o sicurezza o password. Un ovvio esempio comune del sistema di password su più livelli è il sistema o approccio con password a tre livelli, che classifica principalmente i tipi di sito Web o sicurezza in tre livelli:

Bassa sicurezza: per iscriversi a un forum, newsletter o scaricare una versione di prova per un determinato programma.

Sicurezza media: per i siti di social networking, webmail e servizi di messaggistica istantanea.

Alta sicurezza: per tutto ciò che riguarda la tua finanza personale come conti bancari e carte di credito. Se questi sono compromessi potrebbe influenzare drasticamente e negativamente la tua vita.

Tieni presente che questa categorizzazione deve essere basata sulla criticità di ciascun tipo di sito Web per te. Ciò che accade in quale categoria varierà da persona a persona.

Il punto è che non devi memorizzare centinaia di password per garantire che i tuoi account non vengano compromessi. Usa password davvero forti solo per i tuoi account di sicurezza alti e medi.

9.1.2 Albero delle password

Questo è un modo manuale di creare un albero su un pezzo di carta per classificare i siti web menzionando al contempo le password sottostanti. Amit Agarwal, l'autore di The Most Useful Websites, offre un buon esempio dettagliato nel suo blog.

9.2 Cos'è Password Manager?

La maggior parte delle persone concorda sul fatto che il numero di password necessarie sul Web è in crescita. Quindi avere una password sicura e sicura per ogni account è più importante che mai. Questo porta a un problema: la difficoltà di tenere traccia di tutte le tue password diverse.

Un gestore di password è un software che consente di archiviare in modo sicuro tutte le password e di tenerle al sicuro, in genere utilizzando una password principale. Questo tipo di software salva un database di password crittografato, che memorizza in modo sicuro le tue password sul tuo computer o sul Web.
software di gestione password

9.3 Tipi di gestori di password

Ci sono molti servizi gratuiti e a pagamento, quindi fai la tua ricerca attentamente prima di decidere quale vuoi utilizzare.

9.3.1 Standalone:

Memorizzano le tue password localmente sul tuo computer e ci sono tre diversi tipi:

Desktop-Based

Si tratta di un tipo di gestore password che memorizza le informazioni personali (nomi utente e password) su un file locale (o database) crittografato su un disco rigido del computer.

Portatile

Le password verranno memorizzate su dispositivi mobili / portatili come smartphone o come applicazione portatile su una memory stick USB o disco rigido esterno.

Browser-Based

Simile ai gestori di password portatili e basati su desktop, ma integrati in un browser Web. Gli esempi includono gli strumenti di gestione delle password offerti da Firefox e Chrome.

9.3.2 Basato sul web

Una soluzione di gestione delle password basata sul Web consente di accedere alle password da qualsiasi luogo tramite un browser, poiché memorizzano le password nel cloud.

9.3.3 Basato su token

Richiedono un ulteriore livello di autenticazione (spesso chiamato autenticazione a più fattori oa due fattori), come richiedere all'utente di sbloccare le proprie password inserendo un dispositivo fisico portatile fornito (come una smart card) per ottenere l'accesso alle proprie password.

In breve, la seguente tabella mostra le principali caratteristiche e punti deboli tra questi tipi:

Indipendente, autonomo basata sul Web Basata su token
DesktopPortatileBrowser
vantaggi
(Caratteristiche)
Database crittografato centralmente locale
NOTA: alcuni gestori di password di questo tipo non forniscono alcuna protezione per le password memorizzate. Evitalo.
Portabilità (come una copia del database centrale crittografato sarà nella tua memoria flash USB)
Più accessibile rispetto alle altre app autonome, dato che il flash USB sarà portato con il proprietario
Facilità d'uso, dato che fa parte del browser portabilità
accessibilità
Molto più sicuro
Elimina il singolo punto di potenziale fallimento
svantaggi Mancanza di accessibilità lontano dal tuo computer Dimentica o perdi l'unità flash e hai perso le tue password. Mancanza di accessibilità (a meno che non si utilizzi uno strumento di sincronizzazione)
Non sicuro, anche con una password principale
Non hai il controllo su dove sono archiviati i dati.
Impatto della sicurezza del server o del sistema in cui risiedono o della sicurezza dell'azienda stessa.
Più costoso
Meno portatile
Come Mike Weber ha scritto nel suo articolo "Gestione delle password: quanti ne hai bisogno di ricordare?", I gestori di password standalone e basati sul web sono soluzioni basate su software che sono influenzate dalla sicurezza del sistema su cui risiedono.

Come puoi vedere, la tabella sopra mostra molte cose che devi prendere in considerazione:

Esiste una relazione inversa tra usabilità e sicurezza (usabilità vs. sicurezza)

• Non dovresti affidarti completamente a nessun tipo di gestore di password

• La tua singola password principale deve essere unica e complessa

• Prestare attenzione quando si utilizza la funzione di generatore di password inclusa in alcuni gestori di password. Se il gestore password utilizza un generatore di numeri casuali deboli, le password potrebbero essere facilmente ipotizzabili.

Quindi qual è il migliore? O cosa dovremmo fare? Resta con noi e continua a leggere per scoprirlo, ma per il momento prendi in considerazione che devi utilizzare diverse misure di sicurezza e dovresti alternare i tuoi modi di gestire le password.

Gli strumenti di gestione delle password sono soluzioni davvero valide per ridurre la probabilità che le password vengano compromesse, ma non fare affidamento su un'unica fonte. Perché? Perché qualsiasi computer o sistema è vulnerabile agli attacchi. Affidarsi a uno strumento di gestione delle password crea un singolo punto di potenziale errore.

9.4 Esempi di gestori di password

9.4.1 KeePass

KeePass è un popolare gestore di password open source, multipiattaforma e basato su desktop. È disponibile per Windows, Linux e Mac OS X oltre che per sistemi operativi mobili come iOS e Android. Memorizza tutte le password in un singolo database (o un singolo file) protetto e bloccato con una chiave master. Il database di KeePass è principalmente un singolo file che può essere facilmente trasferito (o archiviato) su qualsiasi computer. Vai alla pagina di download per ottenere la tua copia.

Ecco come configurarlo in Windows:

Dopo aver aperto KeePass, crea un database facendo clic sul pulsante "Nuovo database"
Password di gestione password password 9
Apparirà una nuova finestra che ti chiederà di inserire una password principale e / o un disco di file chiave, come mostrato. [9.4.3]
software di gestione password
Inserisci la password nella casella della password principale e fai clic su "OK"

Mentre digiti la tua password, ti dirà quanti bit di crittografia fornirà, e c'è anche una barra di sicurezza della password sotto la voce della password per dirti quanto è sicura la tua password. Promemoria rapido: utilizza un'unica, unica e potente password principale per bloccare e sbloccare il tuo database di password. Quindi, è necessario salvare il database delle password.
Password di gestione password password 9
Password di gestione password password 9
Quindi, immetterlo nuovamente nella finestra Ripeti password principale e fare clic su "OK".
Password di gestione password password 9
Dopo aver creato il database delle password, è necessario configurare il database e salvarlo. Quindi fai clic sul pulsante "File", quindi vai su "Salva con nome".
Password di gestione password password 9
Digitare un nome per il nuovo file del database delle password nella finestra "Salva con nome" e fare clic su "OK".
Password di gestione password password 9
È giunto il momento di aggiungere una voce al database delle password. Per farlo, fai clic sul pulsante "Aggiungi voce" (l'icona a forma di chiave).
Password di gestione password password 9
La finestra 'Aggiungi voce' verrà aperta. La finestra ha una serie di campi e strumenti come:
Password di gestione password password 9
Gruppo: cartelle predefinite in cui è possibile organizzare e ordinare le password. Ad esempio, il gruppo Internet sarebbe un buon posto per memorizzare la password per il tuo account Facebook o altri account del sito web.

Titolo: un nome che è possibile utilizzare per descrivere la particolare voce della password, ad esempio la password di Facebook e così via.

Nome utente: il nome associato alla voce della password, ad esempio makeuseof @ makeuseof. com

Password: questa è una delle grandi funzionalità di KeePass; generazione di una password crittografata sicura. Questa funzione genera automaticamente una password crittografata sicura quando viene aperta / attivata la finestra "Aggiungi voce" .

Per vedere la tua password, fai clic sul pulsante mostra password (il pulsante con tre punti) sul lato destro della password.

Per generare una password crittografata sicura casuale per un nuovo account o per modificare una password esistente, fare clic sul pulsante a destra della voce di ripetizione e direttamente sotto il pulsante Mostra password.

Ripeti: digitare la password una seconda volta per confermarla.

Qualità: mostra la sicurezza della tua password, con un misuratore di qualità (o password) di tipo as-you.

URL: il collegamento (o indirizzo Web) al sito Web associato alla voce della password come mail.yahoo.com.

Nota: informazioni generali sull'account o sul sito Web che potrebbero essere utili in situazioni in cui si sta cercando una determinata voce o in cui si dispone di impostazioni specifiche per il proprio account.

Scadenza: è la data di scadenza che è possibile utilizzare quando si desidera immettere una password per un periodo di tempo limitato. È anche possibile aggiungere un promemoria per modificare la password all'ora specificata. E vedrai un simbolo di croce rossa accanto al nome della password quando è scaduto.

Allegato: si tratta di un file allegato alla voce della password. Un'altra grande caratteristica di KeePass è avere un visualizzatore interno per file di testo, immagini e documenti. Quindi non è necessario esportare il file allegato per vederlo.

Fai clic su "OK" dopo aver inserito le informazioni per salvare le modifiche. La schermata "Aggiungi voce" verrà chiusa e verrà visualizzata la finestra principale in cui verrà visualizzata la password sotto "Gruppo email".
Password di gestione password password 9
Quindi, se desideri utilizzare una delle tue voci, fai clic con il pulsante destro del mouse su di essa e seleziona "Copia nome utente" o "Copia password" e incollalo nel sito web.

Svantaggio: se si dimentica la password principale, tutte le altre password nel database vengono perse per sempre e non è possibile recuperarle. Non dimenticare quella password!

KeePass è un programma locale, ma puoi crearlo in base al cloud sincronizzando il file del database utilizzando Dropbox o un altro servizio simile. Scopri l'articolo di Justin Pot, Ottieni la sincronizzazione di password multipiattaforma crittografata con KeePass e Dropbox Ottieni la sincronizzazione di password multipiattaforma crittografata con KeePass e Dropbox Ottieni la sincronizzazione di password cross-platform crittografata con KeePass e Dropbox Ulteriori informazioni.

Link più utili su questo strumento:

• KeePassX - Gestione sicura delle password per Linux e OS X KeePassX - Gestione sicura delle password per Linux e OS X KeePassX - Gestione sicura delle password per Linux e OS X Ulteriori informazioni

• Utilizzo di Keepass per proteggere gli account online Utilizzo di Keepass per proteggere gli account online Utilizzo di Keepass per proteggere i tuoi account online Ulteriori informazioni

9.4.2 Password Manager di Mozilla Firefox

Password Manager di Mozilla Firefox è un gestore di password integrato nel browser. Questo può salvare le informazioni di accesso (nomi utente e password) che usi mentre navighi sul Web in modo da non doverle inserire di nuovo alla visita successiva a un sito Web o servizio. Potresti notare quando inserisci le tue informazioni di accesso per la prima volta su Facebook o su altri siti; una finestra appare nella parte superiore della pagina web.
Password di gestione password password 9
Questa finestra include una domanda e un menu a discesa. La domanda dice "Vuoi che Firefox ricordi questa password?" E il menu a discesa ha tre opzioni;
Password di gestione password password 9
"Ricorda Password": se lo selezioni, Firefox salverà le informazioni di accesso e le inserirà automaticamente per te la prossima volta che visiti il ​​sito.

"Mai per questo sito": Firefox non salverà le informazioni di accesso e non ti chiederà mai più se non cancelli le eccezioni in Gestione password.

"Not Now": il browser salterà questa volta salvando il nome utente e la password, ma la richiederò la prossima volta.

Si noti che quando si fa clic al di fuori della richiesta Memorizza password, scompare. Quindi, per riportarlo indietro, basta fare clic sull'icona della chiave sul lato sinistro della barra dell'indirizzo (o posizione).

La password principale è una delle favolose funzionalità del browser sicuro Firefox. È una funzionalità per proteggere le password salvate e altri dati privati. Si consiglia vivamente di utilizzare la funzione di password principale se il PC viene utilizzato da altri per impedire che visualizzino l'elenco delle password salvate. L'opzione della password principale non è selezionata per impostazione predefinita. Tuttavia, puoi impostarlo facilmente effettuando le seguenti operazioni:

Fai clic sul pulsante "Firefox" nell'angolo in alto a sinistra.
Password di gestione password password 9
Vai al menu "Opzioni" e seleziona "Opzioni".

Lì troverai 8 diversi pannelli delle impostazioni: Generale, Schede, Contenuto, Applicazioni, Privacy, Sicurezza, Sincronizzazione e Avanzate.
Password di gestione password password 9
Password di gestione password password 9
Seleziona la scheda "Sicurezza".
Password di gestione password password 9
Seleziona la casella accanto a "Usa una password principale".

Apparirà una nuova finestra che ti chiederà una password principale come mostrato.
Password di gestione password password 9
Inserisci la tua password nella casella "Inserisci nuova password".
Password di gestione password password 9
Quindi, inseriscilo nuovamente nella casella "Re-enter password" e fai clic su "OK"
Password di gestione password password 9
Password di gestione password password 9
Un'altra cosa da sapere - come evidenziato sul sito Web ufficiale di Mozilla - per ogni sessione di Firefox è necessario inserire questa password principale solo la prima volta che chiedi a Firefox di ricordare una nuova password o rimuovere le password, e poi ogni volta che vuoi vedere l'elenco delle password salvate.

10. Autenticazione a due fattori

A volte una password non è sufficiente. L'autenticazione a due fattori va oltre, richiedendo sia qualcosa che conosci (la tua password) che qualcosa che hai (il tuo telefono) per accedere.
Password Gestione Guida password 10
In parole semplici: è un metodo di autenticazione che si basa su due informazioni indipendenti per verificare chi è qualcuno. Perché usare questo? Perché le password non bastano più per proteggere gli accessi importanti. L'autenticazione a due fattori è più forte perché riduce le probabilità che il tuo account venga rubato o compromesso da qualcun altro. L'utilità di Google "Google Authenticator" è un ottimo esempio di applicazione di questo approccio di autenticazione.

Se non hai abilitato l'autenticazione a due fattori per Google, ti consiglio vivamente di farlo. Google Authenticator è un servizio che ti fornisce l'autenticazione a due fattori (nota anche come "verifica in due passaggi"). È disponibile come app per iPhone, Android, Windows Phone e telefoni cellulari BlackBerry. Questa semplice app è stata sviluppata appositamente per fornire agli utenti Gmail un ulteriore livello di sicurezza per i loro account fornendo un codice secondario a sei cifre oltre al nome utente e alla password per accedere alle app Google. Ciò significa che oltre a conoscere il nome utente e la password, l'utente dovrebbe avere una password monouso (OTP) inviata a un telefono o generata dall'app per accedere a un account. È possibile ricevere i codici di autenticazione tramite le seguenti tre opzioni:

Smartphone come Android o iPhone dall'applicazione Google Authenticator.

Messaggio di testo SMS.

Elenco stampato; per quando il telefono non funziona.

Chiunque usi Gmail (o Google Apps), Facebook o altri servizi che offrono 2FA Quali servizi offrono l'autenticazione a due fattori? Quali servizi offrono l'autenticazione a due fattori? Non molto tempo fa, Tina ti ha parlato di autenticazione a due fattori, di come funziona e del perché dovresti usarla. In poche parole, l'autenticazione a due fattori (2FA) o la verifica in due passaggi, come talvolta viene chiamata, è un'ulteriore ... Ulteriori informazioni dovrebbero iniziare a utilizzare questa funzione il prima possibile. Ecco un ottimo articolo di Tina Sieber Che cos'è l'autenticazione a due fattori e perché dovresti usarlo Cos'è l'autenticazione a due fattori e perché dovresti usarla Autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi di dimostrando la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più su tutto ciò che riguarda questo metodo di sicurezza.

11. HTTPS: sicurezza aggiunta

Come Matt Smith ha scritto nel suo articolo Come combattere i rischi di sicurezza Wi-Fi quando si collega a una rete pubblica Come combattere i rischi di sicurezza Wi-Fi quando si collega a una rete pubblica Come combattere i rischi di sicurezza Wi-Fi quando si collega a una rete pubblica Come molte persone ora sanno, connettendo a una rete wireless pubblica e non protetta può comportare gravi rischi. È risaputo che fare questo può fornire un'apertura per tutti i tipi di furto di dati, in particolare password e privati ​​... Per saperne di più:

"Come molte persone ora sanno, la connessione a una rete wireless pubblica e non protetta può comportare gravi rischi. È noto che fare questo può fornire un'apertura per tutti i tipi di furto di dati, in particolare password e informazioni private. "

Una rete Wi-Fi pubblica è aperta e le reti wireless funzionano allo stesso modo delle radio. Ciò significa che le informazioni verranno inviate attraverso le onde radio (come le trasmissioni radio) in tutte le direzioni, e chiunque nel raggio d'azione può leggerle tutte facilmente, a meno che non sia crittografato. Questo è il motivo per cui HTTPS è fondamentale se si utilizza una rete non protetta. Quando utilizzi HTTPS, le tue informazioni personali, come nomi utente e password, vengono crittografate sulla rete. Ciò significa che anche se la rete è pubblica o aperta, gli accessi a uno qualsiasi dei tuoi account non sono visibili alle persone che desiderano acquisire i dettagli di accesso utilizzando alcuni strumenti di terze parti (o strumenti di sniffing).

Allora, qual è l'HTTPS? Come spiegato su Wikipedia, HTTPS è l'acronimo di Hypertext Transfer Protocol Secure Turning: puoi dire a un sito che lo sta utilizzando quando vedi "https" nella barra degli indirizzi dove solitamente è "http". Attualmente è un'opzione di accesso predefinita per i servizi Web tra cui Gmail, Facebook e altro.

Se si desidera navigare sul Web in modo sicuro, si consiglia vivamente di utilizzare Mozilla Firefox come browser predefinito e utilizzare HTTPS ogni volta che è disponibile. Inoltre, ti consiglio di utilizzare un'estensione per Firefox chiamata HTTPS Everywhere, che si attiva su HTTPS quando possibile. Per ulteriori informazioni sui motivi per cui dovresti utilizzare Firefox come browser predefinito o come utilizzare la sua estensione HTTPS Ovunque, consulta i seguenti collegamenti:

• Affrontare Firefox: il Manuale non ufficiale

• Criptare la navigazione Web con HTTPS ovunque [Firefox]

12. Esempi di gestione delle password

In breve, NON METTI TUTTE LE TUE UOVA IN UN CESTELLO. Realisticamente, mettere tutte le uova (le tue password) in un paniere (come un database crittografato usando il gestore di password) significa che hai un sacco di problemi una volta che sei compromesso. Invece, prova ad usare tutte le tecniche di gestione delle password citate in questo manuale, se puoi. Ecco un metodo che ho usato in passato.

Password a più livelli: in primo luogo ho classificato le mie password in base alla criticità di un determinato account:

Bassa sicurezza: forum o newsletter - luoghi in cui non utilizzo dati personali sensibili o dati.

Sicurezza media : Facebook, Google+ ed email.

Alta sicurezza: per tutto ciò che riguarda la mia finanza personale, come i conti bancari e delle carte di credito.

Ora, sulla base di questo sistema di password a livelli, ho utilizzato diversi modelli di password, gestori di password che sono riepilogati nella seguente tabella:

Bassomedioalto
Generazione della passwordAll'inizio ho usato la stessa password per la maggior parte di loro, e poi ho usato password casuali.Ho usato una password di base e ho cambiato l'ultima o le prime due lettere con qualcosa che si riferisce al sito web.Utilizzata una password unica complessa complessa diversa per ciascun account.
Si consiglia vivamente di non utilizzare una password di base qui
Gestione manuale delle password (pezzo di carta)NoNo
(Si consiglia vivamente di non utilizzarlo)
Strumento di gestione delle passwordSì.
Gestione password basata su browser (password manager di Firefox)
Sì.
Strumento di gestione password di KeePass.
No. Uso il mio cervello per ricordare che qualsiasi password relativa a un account ha una qualsiasi delle mie informazioni finanziarie personali.
Livello di sicurezza aggiuntivoNo.No. Ho appena iniziato a utilizzare 2FA con il mio Gmail e lo userò con i miei account Facebook e Dropbox.Sì. Ho usato 2FA perché la mia banca richiede a tutti i suoi clienti.
Cambio frequente della passwordNo.No.Sì.
NOTA: è altamente raccomandato valutare la forza delle tue password e modificarle in base a tale revisione.

Nota: è possibile utilizzare questa tabella come modello per avviare il proprio albero o sistema di gestione delle password. Tuttavia, non fare affidamento su di esso troppo. Cerca di trovare il sistema adatto a ciò che è fondamentale per te e in relazione ai più recenti standard di sicurezza.

La chiave da cui partire, ovviamente, è che non si dovrebbe mai riutilizzare una password tra i siti.

13. Come proteggere le tue password?

gestore di password
Chiaramente, le password sono la prima linea difensiva che protegge i tuoi account. Ecco alcuni suggerimenti che dovrebbero aiutarti a proteggere le tue password, che tu sia al lavoro, a casa o in un coffee shop:

Non dovresti mai registrare o scrivere la tua password su una nota post-it.

Non condividere mai la tua password con nessuno, nemmeno con i tuoi colleghi.

Devi stare molto attento quando usi le tue password su PC pubblici come scuole, università e biblioteche ... ecc. Perché? Perché c'è una possibilità che queste macchine siano infettate dai keylogger (o dai metodi di registrazione della sequenza di tasti) o dai trojan che rubano le password.

Non utilizzare funzioni di salvataggio della password come la funzione di riempimento automatico di Google Chrome o la funzione di completamento automatico di Microsoft, in particolare sui PC pubblici.

Non compilare alcun modulo sul Web con le tue informazioni personali a meno che tu non sappia che puoi fidarti di esso. Al giorno d'oggi, Internet è pieno di siti Web fraudolenti, quindi è necessario essere a conoscenza dei tentativi di phishing.

Utilizzare un browser affidabile e sicuro come Mozilla Firefox. Firefox aggiusta centinaia di aggiornamenti di sicurezza e apporta miglioramenti significativi solo per proteggerti da malware, tentativi di phishing, altre minacce alla sicurezza e per proteggerti mentre navighi sul Web.

Tieni d'occhio il database di PwnedList per verificare se il tuo nome utente o indirizzo e-mail è nell'elenco dei dati dell'account trapelato su Internet.

Continua a controllare e a guardare le notizie e le recensioni recenti del software di gestione password e degli strumenti di violazione delle password. Sulla base di questo, sarai in grado di decidere quando devi cambiare la tua password.

14. Notizie sulla sicurezza

Come accennato nell'ultimo suggerimento sopra, dovresti rimanere aggiornato con le ultime notizie sulla sicurezza; le violazioni della sicurezza si verificano sempre. Se fai una rapida ricerca su Google per le ultime notizie sulla sicurezza, rimarrai stupito dal numero di risorse dedicate alla sicurezza. Non parlerò di tutti loro, ma evidenzierò le risorse più importanti rivolte al pubblico generale:

14.1 Sicurezza ora

Il ricercatore di sicurezza Steve Gibson ha un podcast interessante chiamato Security Now. Ho ascoltato questo podcast per alcune settimane e posso dirti che questo stesso podcast non è super tecnico e non è rivolto a guru / programmatori della sicurezza. In ogni episodio Gibson spiega e risponde alle domande degli ascoltatori su tutto, dall'autenticazione online, sicurezza Wi-Fi, crittografia a spyware, malware, virus e tante altre cose. Sorprendentemente, puoi ascoltare questo podcast sul tuo iPhone o iPad.

A proposito, non ti preoccupare di aver perso degli episodi perché ogni podcast è archiviato con audio sia in alta che in bassa larghezza di banda e una trascrizione completa. Basta andare sul sito Web Security Now per iniziare a ricevere ulteriori informazioni sulla sicurezza.

14.2 PwnedList

Questo strumento aiuta gli utenti a capire se le loro credenziali dell'account sono state compromesse. Se si accede al sito Web del servizio, verranno visualizzate statistiche aggiornate sul numero di credenziali trapelate, password e indirizzi e-mail.
gestore di password
PwnedList mantiene il monitoraggio (o la scansione) del Web per trovare i dati rubati inviati dagli hacker sui siti pubblici e quindi indicizza tutte le informazioni di accesso che trova. Inoltre, ha recentemente lanciato un nuovo servizio che ti avvisa quando le tue credenziali sono state pubblicate pubblicamente dagli hacker. Questo strumento di monitoraggio è disponibile come servizio gratuito per l'individuo. quindi cosa stai aspettando? Vai alla pagina di registrazione e inizia a ricevere avvisi e aggiornamenti sulle tue credenziali.

15. Punti da ricordare (raccomandazioni)

Andiamo oltre le idee e i punti principali, solo per rivedere.

Utilizzare SEMPRE un mix di lettere maiuscole e minuscole insieme a numeri e caratteri speciali.

Avere una password complessa diversa per ogni sito, account, computer ecc. E NON avere informazioni personali come il tuo nome o i dettagli di nascita nella tua password.

NON condividere nessuna delle tue password o i tuoi dati sensibili con nessuno, nemmeno i tuoi colleghi o l'agente dell'helpdesk della tua azienda. Inoltre, usa le tue password con attenzione, specialmente nei PC pubblici. Non essere una vittima di spalla surf.

Come accennato nella sezione Tecniche di gestione delle password, è un ottimo passo per utilizzare le applicazioni di gestione password come LastPass e 1Password per aiutarti a generare, archiviare e ricordare password univoche. Tuttavia, per una sicurezza più robusta non devi fare affidamento esclusivamente su di essi. Grant Brunner ha scritto un articolo affascinante su ExtremeTech su Staying safe online: usare un gestore di password non è abbastanza. In esso, ha scritto, "utilizzare un gestore di password per tutti i tuoi account è un'idea sensata, ma non lasciarsi cullare da un falso senso di sicurezza. Non sei immune da cracking o downtime." In generale, i gestori di password come LastPass sono come qualsiasi software: vulnerabili alle violazioni della sicurezza. Ad esempio, LastPass ha subito una violazione della sicurezza nel 2011, ma gli utenti con password master avanzate non sono stati interessati.

E la nostra ultima raccomandazione che ti consigliamo vivamente di iniziare a valutare le tue password, costruire il tuo sistema di password a livelli, alternare i tuoi modi di creare password e archiviarli usando password manager o albero delle password, essere aggiornato con le ultime notizie sulla sicurezza e cambia regolarmente le tue password.

Per ulteriori dettagli:

• La guida per la sicurezza della password (e perché dovresti aver cura di)

• Come padroneggiare l'arte delle password
gestione delle password

16. Collegamenti MakeUseOf

Personalmente raccomando vivamente di leggere i seguenti utili articoli su MakeUseOf per ottenere maggiori informazioni sulla sicurezza e protezione della password.

• Come creare una buona password che non dimenticherai Come creare una password sicura che non dimenticherai Come creare una password sicura che non dimenticherai Sai come creare e ricordare una buona password? Ecco alcuni suggerimenti e trucchi per mantenere password forti e separate per tutti i tuoi account online. Leggi di più

• Come creare password complesse che si possano ricordare facilmente Come creare password complesse che si possano ricordare facilmente Come creare password complesse da ricordare facilmente Leggi di più

Inoltre, abbiamo un repository crescente di utili e utili suggerimenti sulla sicurezza che dovrebbero essere visualizzati per essere aggiornati in questa area assolutamente vitale.

Coloro che sono nuovi nell'area di Information Security e vogliono saperne di più sulla sicurezza dovrebbero probabilmente leggere "HackerProof: Your Guide To PC Security", che ti fornirà una panoramica delle informazioni fondamentali per la sicurezza del tuo PC .

Conclusione

Nell'era dell'informazione di oggi, le password sono un aspetto vitale della sicurezza. Sono la linea di difesa e il metodo di autenticazione più utilizzato che fornisce protezione per gli account utente del computer o degli account online. Tuttavia, a causa delle nuove tecniche utilizzate dai password cracker e dall'hardware più veloce, quella che è stata considerata una password sicura un anno fa può ora essere considerata una finestra aperta sul tuo computer o account online. Questo non significa che dovresti essere spaventato, ma significa che dovresti tenerti aggiornato con le ultime notizie sulla sicurezza ogni volta che è possibile. Non sei immune da cracking o downtime. Per essere veramente sicuro e protetto, è necessario conservare una copia crittografata del database delle password localmente, utilizzare l'autenticazione a più fattori quando possibile, rivedere le ultime notizie sulla sicurezza, valutare le password e modificarle frequentemente.

Questo è tutto! Spero che tu abbia acquisito un buon senso di consapevolezza della sicurezza e imparato nuove tecniche leggendo questo. L'impostazione di un sistema di gestione delle password complessa richiede tempo, pratica e pazienza, ma vale la pena farlo se sei preoccupato per la tua sicurezza. Rende la tua vita più sicura di prima. Godere!

"COME TRATTARE LA TUA PASSWORD

IL TUO SPAZZOLINO

In this article