Sicurezza delle password: come controllare le tue password

La redazione di IONOS07 lug 20257 mins

Indice

Le password sono le chiavi delle nostre identità digitali. Una password forte è la prima linea di difesa contro i crimini informatici. Tuttavia, dalle statistiche emerge che molti utenti utilizzano password non sicure oppure usano sempre la stessa.

MyDefender

Massima sicurezza per tutti i tuoi dispositivi

Protezione antivirus
Backup automatici e recupero dei file persi

Quali sono i requisiti necessari per la sicurezza delle password?

Molte persone scelgono ancora password deboli o facili da indovinare. Per garantire una sicurezza elevata delle password si dovrebbe prestare attenzione a diversi fattori. La scelta di una password sicura e l’uso di appositi strumenti per la gestione delle password possono essere considerati requisiti di base per la sicurezza delle password.

Quali sono le caratteristiche di una password sicura?

Anche se da sole le password sicure non offrono una protezione assoluta contro gli attacchi dei criminali informatici, creare una password sicura è molto importante per proteggere i propri account. Gli utenti possono verificare se la password scelta è sicura valutando vari criteri:

Lunghezza: la lunghezza di una password è essenziale, perché le password lunghe sono esponenzialmente più difficili da forzare rispetto a quelle corte. Una buona password dovrebbe comprendere almeno da 12 a 16 caratteri.
Complessità: una password sicura dovrebbe contenere lettere maiuscole e minuscole, numeri e caratteri speciali come @, # oppure $. Queste combinazioni sono difficili da indovinare sia per le persone sia per gli strumenti automatizzati.
Evitare la prevedibilità: le combinazioni semplici o le parole riconoscibili dovrebbero essere evitate, perché spesso i cybercriminali usano attacchi a dizionari per provare le password più comuni.
Unicità: non usare mai la stessa password per piattaforme e servizi diversi; usa una password differente per ciascun accesso.
Aggiornare regolarmente le password: soprattutto per i servizi essenziali è utile aggiornare regolarmente le password. Così si riduce al minimo il rischio che una password sia utilizzata indebitamente in seguito a falle di sicurezza.

Scegliere un password manager adatto

I password manager sono pratici strumenti per creare password complesse e salvarle in modo sicuro. Per scegliere lo strumento più adatto per la gestione delle password, considera il supporto della crittografia end-to-end e l’integrazione di funzioni come gli avvisi in caso di password compromesse o i controlli di sicurezza. Anche gli aggiornamenti regolari sono importanti affinché un password manager sia affidabile.

Le principali fughe di password degli ultimi anni

Ogni giorno mettiamo nelle mani di aziende e tecnologia una quantità enorme di dati sensibili, nella maggior parte dei casi protetta soltanto da una password. Una misura di protezione che a quanto pare spesso non viene presa abbastanza sul serio considerate le numerose fughe di dati della storia recente del web. Servendosi di metodi di attacco come malware, siti o e-mail di phishing o attacchi di forza bruta, i criminali informatici sono riusciti sistematicamente ad acquisire credenziali di accesso per poi rubare dati confidenziali degli utenti. Di seguito un riepilogo di alcuni dei casi più gravi:

LinkedIn (2012, 2016): già nel 2012 LinkedIn è stato violato, con il furto di oltre 6,5 miliardi di password con hashing. In seguito a questo attacco informatico, nel 2016 sono comparsi nella darknet altri 117 milioni di dati di accesso.
Yahoo (2013, 2014): una delle più grandi violazioni della sicurezza in assoluto ha riguardato Yahoo. Tra il 2013 e 2014, in totale sono stati compromessi tre miliardi di account (nomi utente, password e domande di sicurezza).
Adobe (2013): oltre 150 milioni di account utente di Adobe sono stati rubati a seguito di un attacco hacker. Una situazione particolarmente grave: molte delle password erano crittografate male.
Facebook (2019): Facebook rese noto che milioni di password degli utenti erano state salvate in chiaro su server interni. Nonostante i dati non siano usciti dai server, questo caso ha evidenziato la necessità di adottare pratiche più sicure anche da parte delle aziende.
Collection #1-#5 (2019): nell’ambito di questa mega violazione di dati, a gennaio 2019 sono stati pubblicati oltre due miliardi di indirizzi e-mail con le relative password, provenienti da svariati furti di dati, alcuni noti e alcuni sconosciuti ancora oggi.
Twitter (2022): a seguito di un incidente di sicurezza, un bug ha compromesso i dati personali di oltre 5,4 milioni di account, inclusi numeri di telefono e indirizzi e-mail.
RockYou (2024): RockYou2024 è stata una massiccia fuga di dati, una delle più grandi raccolte di password mai pubblicate. Ha interessato oltre 9,9 miliardi di password acquisite da diverse fonti.

Gli eventi citati sottolineano inequivocabilmente l’importanza della sicurezza informatica. Altrettanto sorprendenti sono i risultati di un sondaggio rappresentativo svolto da WEB.DE in occasione della giornata della sicurezza delle password 2019: solo circa un utente internet su due (il 53% degli intervistati) coglie l’occasione per pensare a come gestire le password quando viene a conoscenza di fughe di password e soltanto un quarto degli intervistati ha dichiarato di procedere poi a cambiare le password di alcuni servizi web.

N.B.

Per provare a compiere i loro attacchi, nella maggior parte dei casi i cybercriminali non utilizzano il proprio computer, ma i dispositivi di utenti ingenui. In precedenza, questi dispositivi sono stati infettati con un malware che consente loro di comandare da remoto il sistema violato. I computer infettati che vengono uniti in enormi reti per compiere potenziali attacchi sono spesso chiamati anche bot o zombie.

Come si può verificare la sicurezza delle password?

Verificare la sicurezza delle password è un’operazione decisiva per proteggere i tuoi account digitali da accessi non autorizzati o da fughe di dati. Sono disponibili vari metodi e strumenti che ti consentono di controllare se le tue password sono state compromesse, se rispettano gli standard di sicurezza correnti o se sono troppo deboli.

Servizi online per il controllo delle fughe di dati

Have I Been Pwned (HIBP): una delle piattaforme più famose e affidabili è Have I Been Pwned. Qui puoi controllare se il tuo indirizzo e-mail o la tua password sono stati compromessi in una fuga di dati nota. Inserisci il tuo indirizzo e-mail e visualizzerai un elenco di siti web coinvolti in fughe di dati a seguito delle quali le tue informazioni potrebbero essere state rubate. Il sito consente anche di controllare le password; i dati inseriti sono anonimizzati grazie a speciali tecnologie di hashing.
Controllo sicurezza di Google: in Chrome, Google offre una funzione integrata per la verifica delle password. Il browser ti avverte se una delle tue password salvate è stata interessata da una fuga di dati. Dal tuo account Google puoi inoltre eseguire un controllo di sicurezza completo, che identifica anche le password deboli o usate più di una volta.
Funzioni di sicurezza dei password manager: molti password manager moderni offrono una funzione per verificare le password salvate. Questi strumenti analizzano le tue password per rilevare se sono deboli, se sono usate due volte e se sono interessate da incidenti di sicurezza noti. Così sai subito quali password devi aggiornare.

Testare che le password siano forti

Oltre a controllare se le tue password sono state coinvolte in una fuga di dati, è importante valutare anche che siano forti. A questo scopo sono molti gli strumenti disponibili. Questi servizi controllano la lunghezza, la complessità e l’entropia (casualità) di una password. Simulano inoltre quanto resisterebbe la tua password a un attacco di forza bruta. Un esempio: la password “123456” può essere forzata in meno di un secondo, mentre una password come “X$4g8JwQ!a_%j” potrebbe resistere per molti anni.

Verifica manuale e monitoraggio

Se sai che una determinata piattaforma è stata coinvolta in una fuga di dati, controlla se hai un account in questa piattaforma. Cambia subito la password se hai usato la stessa password anche in altri siti. Inoltre, seguire le notizie sulla sicurezza informatica o piattaforme come Reddit (ad esempio nel subreddit r/netsec) è utile per essere sempre aggiornati sulle nuove fughe di dati. Qui spesso le falle di sicurezza sono segnalate prima che nei canali ufficiali, consentendoti di adottare tempestivamente le contromisure necessarie. Gli strumenti come HIBP offrono inoltre notifiche e-mail per informarti se il tuo indirizzo e-mail è stato coinvolto in una nuova fuga di dati.

Hai trovato questo articolo utile?

Articoli simili

Rawpixel.comshutterstock

Le alternative a 1Password: i migliori software di gestione delle password

I gestori di password sono strumenti pratici per gestire il caos quotidiano delle password. Di solito funzionano tramite estensioni del browser o applicazioni desktop e sono disponibili su più piattaforme. 1Password si è affermato come un solido strumento per molti utenti, ma è…

Sicurezza

E-mail hackerata: come comportarsi se succede

L’e-mail è uno dei mezzi di comunicazione più diffusi: si adopera per iscriversi a molti portali web, per scambiarsi informazioni private o di lavoro, come organizer o rubrica digitale. Per questo è fondamentale proteggere al meglio il proprio account. Che fare, però, quando la…

Protezione dei Dati
Sicurezza

Ecco come si modifica la password di Gmail

Gmail è la funzione gratuita di Google per la posta elettronica, un’offerta molto apprezzata dagli utenti. Per poter accedere al proprio account gli utenti devono effettuare il login tramite password. Ma cosa accade quando si dimentica la password o quando la si vuole cambiare?…

Google
Sicurezza
Tutorial