Di recente ho letto un interessante articolo sul blog di Wordfence che parlava di errori nella gestione delle password. Ho quindi pensato di riassumerlo e tradurlo in italiano.
Questi errori sono quelli più comuni e i suggerimenti per non commetterli valgono sia per la gestione del tuo sito web, sia per la gestione password in generale.
I 10 errori più comuni nella gestione password
Errore 10: non utilizzare un gestore di password
Partiamo dal presupposto che ogni account deve avere una sua password univoca e complessa. Diventa però molto difficile, se non impossibile, ricordare tutte le password, specialmente se gestiamo molti account. Il modo migliore per tenere traccia di queste password è un gestore di password.
Ti sconsiglio di riutilizzare la stessa password per più account; basta che uno di essi sia compromesso per compromettere anche gli altri. Nuove violazioni vengono annunciate regolarmente, come la recente notizia che i dati di oltre 533 milioni di account Facebook sono stati venduti sul dark web. Potrebbe succedere che almeno una password tra quelle che hai utilizzato in passato sia già stata esposta a una violazione dei dati.
Errore 9: condivisione delle password
Non condividere mai le tue password con nessuno se puoi evitarlo. Se devi condividere l’accesso con qualcuno al tuo sito WordPress la cosa migliore è creare un account separato con privilegi ridotti. L’obiettivo è fornire all’utente il minor numero di privilegi necessari per eseguire il lavoro.
In questo modo quando il tuo collaboratore termina il lavoro puoi cancellare il suo account. Non si tratta solo di rimuovere l’accesso, ma anche di rimuovere un account che potrebbe essere compromesso in un secondo momento.
Errore 8: non essere abbastanza prudente
Tra gli errori nella gestione password che potresti aver commesso ci sono o accedere con il tuo portatile a un wifi pubblico o accedere a un tuo account tramite un computer pubblico.
Sul computer su cui stai effettuando l’accesso potrebbe essere installato un keylogger o altro malware. Proteggi i tuoi account non accedendo a computer pubblici. Nel caso in cui non si possa fare altrimenti, assicurati di disconnetterti una volta completate le attività su quel computer e di modificare le password appena possibile.
Errore 7: non cambiare regolarmente le password
Le password devono essere monitorate e cambiate regolarmente. A volte le password possono essere compromesse durante le violazioni dei dati. Quindi è importante monitorarle in modo che, se vengono rilevate in una violazione dei dati, possono essere modificate immediatamente.
Per i proprietari di siti, il monitoraggio delle password è importate per assicurarsi che gli utenti non utilizzino password deboli. Wordfence ha una funzione integrata per verificare la presenza di password violate e impedire che vengano utilizzate.
La nostra raccomandazione è quella di cambiare le password regolarmente; una volta ogni due mesi sarebbe l’ideale.
Errore 6: utilizzo di password non complesse
Le password semplici sono uno degli errori di gestione password più comuni per gli account compromessi, perchè possono essere facilmente indovinate.
Una password è definita complessa se vengono aggiunti diversi caratteri che la rendono notevolmente più difficile da indovinare. Ciò significa aggiungere caratteri numerici e caratteri speciali (ad es. $,%, #) insieme a una combinazione di lettere maiuscole e minuscole. Più complessa è la tua password, più sarà difficile per un attacco brute force avere successo.
Errore 5: utilizzo di informazioni personali
Questo è un errore comune in quanto è molto più facile ricordare password contenenti dettagli personali. Ad esempio, la data del tuo compleanno o il nome del tuo cane. Ad oggi è incredibilmente facile per un utente malintenzionato trovare le tue informazioni personali, ad esempio, sui social media.
Le password lunghe e complesse senza informazioni personali possono essere difficili da ricordare, ma puoi sempre utilizzare un gestore di password.
Errore 4: mancata rimozione delle credenziali non più in uso
Ogni volta che fornisci l’accesso a un dipendente, un collaboratore o uno sviluppatore, tieni un registro dettagliato.
Avere un elenco delle credeziali dall’inizio ti consente di ricordare più facilmente quali devono essere rimosse al termine del tuo progetto, in modo da non perderne nemmeno una.
Quando la collaborazione è terminata, questo elenco dettagliato diventa l’elenco delle azioni di revoca che devono essere intraprese per quegli account. È meglio farlo come un normale protocollo immediatamente prima o durante la fine della collaborazione.
Errore 3: utilizzare password troppo brevi
Questo errore è collegato ad alcuni dei precedenti che abbiamo già discusso. Le password troppo brevi possono essere facilmente violate proprio come una password a bassa complessità.
Una regola generale è quella di utilizzare una password composta da un minimo di 10 caratteri, tuttavia, quando si utilizza un gestore di password ti consiglio di utilizzare tutti i caratteri consentiti da ciascun account.
Errore 2: non utilizzare l’autenticazione a più fattori
Le password fungono da primo livello di autenticazione e se la tua password è in qualche modo compromessa, avere un secondo livello di autenticazione rende molto più difficile per un utente malintenzionato accedere al tuo account. L’utilizzo di determinati metodi di autenticazione può rendere quasi impossibile l’accesso a un utente malintenzionato.
Esistono 5 metodi di autenticazione:
- Con una password o un pin.
- Tramite biometria, come un’impronta digitale.
- Basata sulla posizione. Quando viene effettuato un accesso ti avviseranno, o ti bloccheranno, se proviene da una posizione insolita o nuova.
- Utilizzando un’app che genera un passcode monouso basato sul tempo. Esistono anche dispositivi token fisici che generano numeri casuali o utilizzano un certificato crittografico per verificare la tua identità.
- Autenticazione basata su un comportamento. Questo è più spesso usato per distinguere le attività umane dai tentativi di accesso ai bot, ad esempio con reCaptcha.
L’autenticazione a più fattori utilizza due o più combinazioni dei metodi di cui sopra. La forma più comune di autenticazione a due fattori è l’uso di una password e del tuo telefono, che utilizza o un’app di autenticazione o i messaggi di testo per ricevere un codice speciale.
Errore 1: riutilizzo delle password
Il riutilizzo delle password è l’errore più grave nella gestione delle password. Un sondaggio ha rilevato che il 91% delle persone intervistate sapeva che riutilizzare le password è sbagliato, ma il 66% di loro ha comunque riferito di aver riutilizzato le password.
Riutilizzare le password significa che se la tua password è compromessa su un sito, un utente malintenzionato con accesso alla tua password può quindi utilizzarla per accedere ai tuoi account su altri siti. In più se la tua e-mail è compromessa, si può utilizzare la funzionalità di “reimposta password” su tutti gli account che utilizzano quell’indirizzo e assumere la tua identità digitale.
Ecco gli errori più comuni nella gestione delle password.
Non sottovalutare mai l’aspetto sicurezza sul tuo sito, specialmente se si tratta di un e-commerce.
Hai bisogno di assistenza perchè il tuo sito è stato violato?
Fonte: Wordfence Blog
Foto di Jaye Haych da Unsplash