Sicurezza della propria password

Sicurezza della propria password

Sappiamo tutti che difficilmente ci rendiamo conto della pericolosità della scelta di una password troppo banale.

Quando si parla di sicurezza spesso si pensa a concetti generali: le minacce sembrano lontane e non toccano la nostra sensibilità.

Ma se fossimo in grado di quantificare il rischio inerente alle nostre password?

Vi segnalo allora un semplice strumento gratuito che fa proprio questo: verifica la robustezza delle vostre password.

È disponibile su questo sito web e vi basta inserire la password per scoprire in un attimo quanto impiegherebbe un hacker per scovarla.

Davanti a certi numeri sarà più facile impostare una discussione seria sul tema sicurezza.

Esiste anche un tool in italiano che può aiutarvi a capire quanto sia sicura la vostra password, oltre a permettervi di generare password sicure, lo trovate qui.

Prima di fare le prove vi consiglio una riflessione ovvero non inserire davvero la vostra password, ma una molto simile come struttura.

Infatti usare la vostra vera password comporta due potenziali criticità.

In primo luogo state comunicando la vostra password, cosa che non dovreste mai fare con nessuno, nemmeno in questo test, seppur sicuro.

In secondo luogo una password in chiaro se nelle mani sbagliate può contribuire alla costruzione delle rainbow table (tabelle usate dagli hacker per indovinare le password).

Quindi se la vostra vera password è “TestPassword01” (tanto per fare un esempio pratico), potreste provare la robustezza di “PasswordProva10” che come complessità strutturale è pressoché identica alla tua.

In questo caso sono state utilizzate due parole maiuscole e due numeri, per rendere l’idea di come effettuare un test.

Importanza di una password sicura

Compreso e condiviso che è necessario avere password complesse si pongono altre due problematiche.

  • Le persone non vogliono fare lo sforzo di memorizzare tante password complesse.
  • Se le password sono complesse (in realtà anche se non lo sono), dove memorizzarle?

L’autenticazione multi fattore è un elemento molto importante per l’identificazione di chi accede a un sistema informatico oggigiorno.

Il single sign-on invece è una funzionalità che ti permette di dichiarare le tue credenziali al primo accesso ai sistemi per poi non doverle più inserire sui siti a cui ti colleghi.

Ciò accade nella fattispecie sui social o alcuni siti che permettono tale procedura.

Ad esempio Google Chrome o altri browser gestiscono tali informazioni, ma attenzione è consigliabile sfruttare tale funzione solo su un pc personale utilizzato in casa.

Nel caso in cui possedete una password molto complessa per ogni sistema, vi sarà sufficiente ricordare quest’ultima, nel caso in cui utilizzate sempre la medesima.

Altro fattore è poter utilizzare App come Google Authenticator o analoghe, per poter sfruttare l’identificazione a due fattori tramite codici temporanei.

L’app Android la potete trovare al seguente link, mentre per Apple è presente qui.

Sul seguente articolo troverete la guida ufficiale all’utilizzo di Google Authenticator per facilitarne l’uso.

Altro consiglio è di legare sempre i propri account con il codice di verifica sul vostro recapito telefonico, in quel caso aumentate la sicurezza e abbassate le possibilità che vi venga rubato l’account.

Come gli hacker rubano le credenziali di accesso

Spesso ciò non basta, considerando i nuovi sistemi sfruttati dagli hacker.

Gli attacchi ATO si verificano quando i criminali ottengono un accesso non autorizzato agli account degli utenti.

Queste violazioni della sicurezza possono causare la perdita di fondi e dati sensibili.

Conoscendo i diversi metodi utilizzati dagli hacker per effettuare attacchi ATO e seguendo i principi di sicurezza essenziali, gli utenti possono proteggersi meglio da tali attacchi.

Oggi è più importante che mai proteggere le proprie credenziali di accesso dagli hacker.

Viviamo in un mondo digitalizzato in cui la maggior parte delle informazioni sensibili delle persone è memorizzata online.

In particolare, gli attacchi di account takeover (ATO) sono diventati un metodo comune con cui gli hacker rubano asset digitali.

Questi attacchi possono portare a furti di identità, perdite finanziarie e danni alla reputazione.

Gli attacchi ATO prevedono che i criminali informatici ottengano l’accesso non autorizzato agli account degli utenti, di solito attraverso credenziali di accesso rubate, che possono essere ottenute direttamente dalle vittime stesse o attraverso altri criminali. 

Attacchi di forza bruta 

Gli attacchi di forza bruta si verificano quando gli hacker tentano di indovinare sistematicamente varie combinazioni di credenziali di accesso di un utente, molto spesso username e password.

In genere viene utilizzato un software automatizzato che genera numerose combinazioni ad alta velocità.

L’idea di base di un attacco di forza bruta è l’uso di tentativi ed errori per ottenere un accesso non autorizzato agli account.

Gli hacker cercheranno più e più volte di entrare con la forza, da qui il nome.

Alcuni dei tipi più comuni di attacchi di forza bruta sono i seguenti:

  • Attacchi di forza bruta semplici: gli aggressori cercano di indovinare le credenziali di accesso dell’utente senza l’uso di software specializzati.
    Sebbene sia semplice, questo metodo può essere efficace in caso di password deboli o di cattive abitudini con le password.
    In alcuni casi, gli hacker possono indovinare le credenziali con un lavoro di ricognizione minimo (ad esempio, scoprendo la città di nascita di un utente per superare questa comune domanda di sicurezza).
  • Attacchi a dizionario: gli aggressori cercano di ottenere un accesso non autorizzato all’account di un utente testando sistematicamente parole o frasi da un elenco predefinito noto come “dizionario”.
    Questi dizionari contengono password, frasi o schemi comunemente utilizzati, rendendo più facile per l’aggressore indovinare la combinazione corretta in tempi più brevi rispetto all’utilizzo di un metodo manuale di prova ed errore.
  • Password spraying: a differenza dei tipici attacchi di forza bruta che prendono di mira un singolo account con numerosi tentativi, il password spraying adotta l’approccio opposto, prendendo di mira molti account.
    Per questo motivo, a volte vengono anche definiti “attacchi di forza bruta inversi”.
    Per ridurre al minimo il rischio di innescare i meccanismi di sicurezza, l’aggressore di solito prova solo alcune password per account. 

Credential stuffing

In genere raccolgono un elenco di username o indirizzi email validi associati ad account utente.

Quindi, provano una selezione di password frequenti o deboli (ad esempio, “password123” o “qwerty”) su tutti gli account raccolti.

In alcuni casi, la password potrebbe essere già nota (ad esempio grazie a una violazione della sicurezza) e l’aggressore la utilizza per cercare le credenziali di accesso corrispondenti.

Gli aggressori raccolgono le credenziali di accesso rubate e le testano su più siti web nel tentativo di ottenere l’accesso ad altri account utente.

Ad esempio, un hacker potrebbe testare username e password rubati dall’account di un utente in un gioco online su altre piattaforme, come i social media, le banche online o gli exchange digitali.

Questo tipo di attacco di forza bruta sfrutta le cattive abitudini di sicurezza degli utenti, come il riutilizzo di combinazioni di password o username per vari account su diverse piattaforme.

Gli aggressori potrebbero anche utilizzare una combinazione di più tipi di attacco di forza bruta.

Un esempio comune è un hacker che combina un semplice attacco di forza bruta con un attacco a dizionario, partendo da un elenco di potenziali parole e sperimentando poi combinazioni di caratteri, lettere e numeri per indovinare la password corretta.

L’idea è che, utilizzando una combinazione di metodi piuttosto che uno solo, i tentativi avranno più successo.

Attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale si basano sullo sfruttamento di schemi di psicologia umana e di interazione sociale noti.

Gli hacker utilizzano tattiche ingannevoli o manipolative per costringere gli utenti a divulgare le credenziali di accesso o altre informazioni sensibili.

In genere, l’aggressore studia la vittima per poi cercare di conquistare la sua fiducia e infine indurla a rivelare i suoi dati.

Tipologie di attacchi

I tipi più comuni di tecniche di ingegneria sociale utilizzate dagli hacker ATO includono:

  • Bating: gli aggressori utilizzano la falsa promessa di un bene o un servizio per attirare le vittime in una trappola che ruba i loro dati sensibili.
    Questo può succedere nel mondo fisico (ad esempio facendo trovare una chiavetta infetta alle vittime) o online (ad esempio inducendo le vittime a cliccare su un link dannoso con la falsa promessa di asset digitali gratuiti).
  • Scareware: gli aggressori bombardano le vittime con falsi allarmi su false minacce alla sicurezza, inducendole a pensare che il loro sistema sia infettato da malware.
    Gli utenti vengono quindi invitati ad acquistare o scaricare software inutili o addirittura pericolosi per risolvere i presunti problemi, ma diventano in realtà vittime dell’attacco una volta seguito il consiglio.
    La falsa protezione antivirus è una forma comune di scareware, in cui il servizio che dovrebbe combattere il malware, ironia della sorte, è il malware stesso.
  • Phishing: gli aggressori inviano messaggi fraudolenti, di solito da profili falsi che impersonano entità affidabili, per ingannare gli utenti e indurli a rivelare informazioni sensibili, come le credenziali di accesso o altri dati riservati.
    In una campagna di phishing, gli aggressori inviano solitamente lo stesso messaggio a più utenti.
    Pertanto, in genere sono più facili da rilevare attraverso server con una piattaforma di condivisione delle minacce.
  • Spear phishing: lo spear phishing è una forma di attacco di phishing più mirata e sofisticata in cui gli aggressori adattano il loro approccio specificamente a un particolare individuo o organizzazione.
    L’aggressore conduce ricerche approfondite sull’obiettivo prima di creare un’email o un messaggio ingannevole altamente convincente e personalizzato per indurre gli utenti a rivelare informazioni sensibili.
    Grazie alla loro natura personalizzata, gli attacchi di spear phishing sono più efficaci e hanno una maggiore probabilità di successo. 

Attacchi malware

Negli scenari che rientrano in questa categoria, gli aggressori utilizzano un software dannoso (malware) per ottenere un accesso non autorizzato agli account o ai sistemi degli utenti.

L’obiettivo dell’aggressore è quello di indurre la vittima a scaricare e installare il malware, in genere attraverso tecniche di attacco di ingegneria sociale.

Una volta installato, il malware lavora silenziosamente in background per infiltrarsi in un sistema o in una rete e causare danni, rubare informazioni sensibili o prendere il controllo del sistema. 

Alcuni dei tipi più comuni di malware utilizzati dagli aggressori ATO sono i seguenti:

  • Virus: infettando i file locali, i virus si diffondono ad altri computer allegandosi a file legittimi.
    I virus possono eseguire una serie di operazioni, tra cui la corruzione, l’eliminazione o la modifica di file, la distruzione di sistemi operativi o l’invio di codice dannoso in date specifiche.
  • Worm: funzionalmente simili ai virus, i worm sono auto-replicanti e si diffondono attraverso reti informatiche invece di colpire file locali.
    I worm spesso causano congestione della rete o crash del sistema.
  • Trojan: travestiti da software innocui, i trojan operano in background rubando dati, consentendo l’accesso remoto al sistema o aspettando che un aggressore impartisca un comando.
  • Ransomware: i ransomware vengono utilizzati per criptare i file sul computer della vittima fino al pagamento di un riscatto all’aggressore.
  • Adware: questo tipo di malware mostra annunci pubblicitari agli utenti durante la navigazione in Internet.
    Questi annunci possono essere indesiderati o dannosi, come parte di un attacco di ingegneria sociale.
    Possono anche essere utilizzati per tracciare l’attività degli utenti, compromettendo potenzialmente la loro privacy.
  • Spyware: monitorando e raccogliendo silenziosamente dati sulle attività della vittima, come tasti premuti, visite a siti web o credenziali di accesso, lo spyware li invia all’aggressore.
    L’obiettivo è raccogliere il maggior numero possibile di informazioni sensibili prima del rilevamento.
  • Strumenti di accesso da remoto (RAT): I RAT consentono agli aggressori di accedere e controllare il dispositivo della vittima da remoto, in genere attraverso una backdoor in combinazione con un trojan.

Attacchi API

Le Application Programming Interface (API) sono insiemi di protocolli o strumenti utilizzati per la creazione di applicazioni software e per consentire a sistemi di terze parti di connettersi alle applicazioni online degli utenti.

Un attacco API si verifica quando l’aggressore sfrutta le vulnerabilità di sicurezza di un’applicazione abilitata alle API per rubare le credenziali di accesso degli utenti o altre informazioni sensibili.

Gli attacchi API possono assumere diverse forme, come le seguenti:

  • Attacchi di iniezione: inserimento di codice dannoso in una chiamata API per eseguire azioni non autorizzate o rubare dati.
  • Attacchi Man-in-the-middle (MitM): intercettare comunicazioni tra le parti e manipolare i dati trasmessi tra le applicazioni tramite un’API.
  • Attacchi Denial-of-service (DoS): sovraccaricare un’API con richieste per farla bloccare o renderla non disponibile.
  • Broken access control: sfruttare le vulnerabilità nei meccanismi di autenticazione o autorizzazione di un’API per ottenere un accesso non autorizzato a dati sensibili o funzionalità.
  • Dirottamento di sessione: rubare l’ID di sessione di un utente valido e utilizzarlo per ottenere l’accesso a un’API con lo stesso livello di autorizzazione.

Strategie per prevenire gli attacchi ATO

L’impatto degli attacchi ATO può essere significativo sia per gli individui che per le aziende.

Per gli individui, le conseguenze possono includere perdite finanziarie, furti di identità e danni alla reputazione.

Per le aziende, un attacco può causare violazioni dei dati, perdite finanziarie, multe normative, danni alla reputazione e perdita di fiducia dei clienti.

Pertanto, è essenziale disporre di strategie per prevenire gli attacchi ATO.

Sia gli individui che le organizzazioni dovrebbero adottare solide misure e pratiche di sicurezza. 

Misure individuali per prevenire gli attacchi ATO

Le persone farebbero bene ad adottare le seguenti pratiche: 

  • Attivare l’autenticazione a più fattori (MFA) ogni volta che è disponibile per un ulteriore livello di sicurezza.
    Per esempio verifica via email, verifica attraverso numero di telefono, Google Authenticator e autenticazione biometrica.
  • Utilizzare password forti e uniche per ogni account, combinando lettere maiuscole e minuscole, numeri e caratteri speciali.
    Evitare di utilizzare informazioni facilmente intuibili, come nomi, compleanni o frasi comuni.
    In particolare gli attacchi di forza bruta, sono così popolari al giorno d’oggi è che le password deboli sono ancora molto diffuse.
    Inoltre, aggiornare regolarmente le password ed evitare di riutilizzare le stesse password per più account.
  • Controllare regolarmente i propri account e le transazioni online per individuare eventuali attività sospette.
  • Evitare di cliccare su link sospetti o aprire allegati di email inaspettate, poiché potrebbero portare ad attacchi di phishing.
    Verificare sempre l’identità del mittente ed esaminare il contenuto dell’email prima di intraprendere qualsiasi azione.
  • Mantenere i dispositivi aggiornati con le più recenti patch di sicurezza e utilizzare software di sicurezza affidabili per proteggersi dalle minacce.
  • Mantenere la riservatezza delle informazioni personali e non condividerle eccessivamente sui social media o su altre piattaforme online, in quanto possono essere utilizzate da malintenzionati per indovinare le password o le risposte alle vostre domande di sicurezza, o addirittura per realizzare attacchi di phishing mirati contro di voi.
  • Evitare di accedere ad account sensibili quando utilizzate reti Wi-Fi pubbliche, poiché gli aggressori potrebbero intercettare i vostri dati.
    Utilizzare un servizio VPN affidabile per criptare la vostra connessione internet quando siete su reti pubbliche.
  • Impostare forti opzioni di recupero per i vostri account, come indirizzi email e numeri di telefono alternativi, e teneteli aggiornati.
    Questo può aiutarvi a recuperare l’accesso ai vostri account in caso di accesso non autorizzato.
  • Istruitevi e rimanete informati sulle ultime minacce alla sicurezza e sulle best practice per mantenere al sicuro i vostri account e le vostre informazioni personali.
    Tenete sempre aggiornate le vostre conoscenze sulla sicurezza online per proteggervi al meglio da potenziali attacchi.
Acquista licenze sicure con spedizione rapida H24

Licenze Windows e Office ufficiali per tutte le tasche

You may also like...

error: Contenuto protetto, ritenta sarai più fortunato ( ͡° ͜ʖ ͡°)

Tecno Service World - Via Palermo, 5 - Montevago (AG) 92010 - P.iva 03028990848 - © Copyright 2024

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario