'12345' È davvero pessimo: la tua guida definitiva alla sicurezza delle password

Vi abbiamo consigliato più volte che l'unico modo sicuro per archiviare e utilizzare le password è affidarsi a un gestore di password, ma alcuni di voi non stanno ascoltando. In un sondaggio PCMag sulle password, solo il 24 percento di voi ha riferito di utilizzare un gestore di password. Cosa state facendo gli altri? Usando password semplici come password o 12345678? Memorizzare una password complessa e utilizzarla ovunque? Ascolta, prendersi cura della sicurezza delle password non è cosa da poco, ma data l'enorme portata del rischio - come illustrato nella recente violazione della raccolta n. 1, che ha rivelato 773 milioni di indirizzi e-mail compromessi - devi fare tutto il possibile per conservare le password sicuro.

Anche se stai usando il miglior gestore di password, ciò non garantisce la sicurezza dei tuoi account, non se usi il gestore di password per ricordare quelle stesse vecchie password stanche. Devi scendere nelle trincee e scambiare le password sbagliate per nuove, più forti.

Quel sondaggio di cui sopra ha rivelato che il 35 percento dei lettori di PCMag non cambia mai la propria password, a meno che non sia costretto a farlo per violazione. In generale, non è una brutta cosa. Il National Institute of Standards and Technology non raccomanda più di cambiare password ogni 90 giorni. NIST ora consiglia di utilizzare passphrase lunghe come "Correct-Horse-Battery-Staple" e di cambiarle solo quando necessario. Ma se stai usando password terribili, "quando necessario" significa in questo momento .

Proprio ciò che rende una password errata? Esamineremo alcuni degli attributi di password terribili e poi ti forniremo alcuni suggerimenti su come fare le password nel modo giusto.

Stai fuori dal dizionario

Ogni pochi mesi un punto vendita o un altro pubblica un elenco delle password peggiori. Vediamo molte opzioni facili da digitare, come 123456 e 12345678 e qwerty. Facile per te? Sicuro. Ma anche per gli hacker è facile decifrare. Altre password comuni (e scadenti) sono costituite da semplici parole del dizionario. Abbiamo visto baseball, scimmie e starwars nell'elenco delle peggiori password. Anche questi sono facili da decifrare.

Alcuni siti Web sicuri si bloccano dopo un determinato numero di tentativi di password errati, ma molti non lo fanno. Per coloro che non hanno il blocco delle ipotesi sbagliate, gli hacker possono attraversare un elenco di indirizzi e-mail con un elenco di password popolari e impostare un processo automatizzato per continuare a provare le combinazioni fino a quando non entrano.

Un sito Web adeguatamente protetto non memorizza la tua password da nessuna parte. Al contrario, esegue la password tramite un algoritmo di hashing, una sorta di crittografia unidirezionale. Lo stesso input produce sempre lo stesso output, ma non c'è modo di tornare alla password originale dall'hash risultante. Se la password digitata ha lo stesso valore memorizzato, si ottiene l'accesso. Anche se gli hacker acquisiscono i dati utente del sito, non ottengono password, ma solo hash.

Ma gli hacker intelligenti possono decifrare password deboli anche quando sono sottoposte a hash, se sanno quale funzione di hashing utilizzata dal sito. Iniziano eseguendo un enorme dizionario di password comuni attraverso la funzione di hashing. Quindi cercano gli hash risultanti nei dati acquisiti. Ogni partita è una password crackata. I siti con la massima sicurezza migliorano la funzione hash con una tecnica chiamata salatura, che rende impossibile questo tipo di cracking basato su tabella, ma perché rischiare? Stai fuori dal dizionario.

Pensa diversamente

Una volta un amico mi ha detto la sua password perfetta: 1qaz2wsx3edc4rfv. Poteva "digitarlo" semplicemente facendo scorrere un dito verso il basso su quattro colonne inclinate della tastiera. Era così perfetto, lo usava dappertutto. E quello è stato un grosso errore.

Passa quasi una settimana senza notizie di una violazione in qualche azienda o sito Web, esponendo migliaia o milioni di nomi utente e password. Le vittime intelligenti cambiano immediatamente la password. Coloro che ignorano il problema potrebbero ritrovarsi bloccati dai propri account dopo che gli hacker hanno reimpostato la password.

Quegli hacker sanno che troppe persone riciclano le loro password. Una volta trovata una coppia di username e password funzionanti, provano le stesse credenziali su altri siti. Potresti non essere così preoccupato di perdere l'accesso al tuo account Club Penguin, ma se hai usato lo stesso login sul sito web della tua banca, hai grossi problemi.

La situazione peggiora. Se qualcun altro ottiene il controllo del tuo account e-mail, può prima bloccarti modificando la password. Quindi possono entrare negli altri tuoi account inviando un link di reimpostazione della password a quell'account. Preoccupato ancora?

Non diventare personale

L'uso delle informazioni personali come base per le password è terribilmente allettante, ma è una cattiva idea. È probabile che il nome del tuo cane appaia nei dizionari utilizzati dagli hacker per gli attacchi di forza bruta. Altre possibilità come le iniziali e la data di nascita di un membro della famiglia probabilmente non cadranno in un attacco a forza bruta, ma se qualcuno vuole hackerare il tuo account in modo specifico, i dati personali possono alimentare un tentativo di indovinare tentativi ed errori.

Non pensare per un minuto che i tuoi dati personali siano privati. Esistono decine di siti che le persone possono utilizzare per trovare dettagli su chiunque: indirizzo, data di nascita, stato civile e altro. I tuoi post sui social media possono essere un'altra fonte di informazioni personali, soprattutto se non hai adeguatamente protetto i tuoi account. Un hacker determinato (o un vicino ficcanaso) può probabilmente indovinare qualsiasi password che crei in base ai tuoi dati.

Chiudi la porta sul retro

Se non stai utilizzando un gestore di password, hai sicuramente provato a dimenticare la password di un sito. È fin troppo comune, motivo per cui praticamente ogni pagina di accesso include un "Hai dimenticato la password?" collegamento. Alcuni siti inviano un link di reimpostazione al tuo indirizzo e-mail, mentre altri ti consentono di reimpostare la password dopo aver risposto alle domande di sicurezza. E questo apre una porta sul retro a chiunque voglia hackerare il tuo account.

La maggior parte dei siti offre opzioni spaventose per domande di sicurezza. Qual è il cognome da nubile di tua madre? Dove sei andato a scuola? Qual'è stato il tuo primo lavoro? Come notato, la tua vita personale è un libro aperto a chiunque abbia capacità di ricerca su Internet. Quando possibile, ignora le domande preimpostate. Crea la tua domanda, con una risposta unica che ricorderai per sempre, ma che nessun altro poteva immaginare.

È più difficile quando il sito non ti consente di definire le tue domande. In tal caso, la soluzione migliore è utilizzare una risposta memorabile che sia una bugia totale. Il cognome da nubile di mia madre è Obama. Sono andato a scuola al comunista Martyrs High. Per il mio primo lavoro, ero un domatore di leoni. C'è un elemento di rischio, dal momento che potresti dimenticare quale menzogna hai scelto. Suggerirei di memorizzare queste risposte strane come note sicure nel tuo gestore di password… ma se stessi usando un gestore di password, avrebbe ricordato la password per te.

Cosa fare ora che ti interessa

Spero di averti convinto che usare password comuni sia un'idea marcia, come costruire password da informazioni personali. E anche la migliore password sicura e casuale diventa una responsabilità se la usi ovunque. Se sei pronto per agire, ecco alcuni punti di partenza:

• Usa un gestore di password.
• Passa a un migliore gestore di password.
• Ricorda una password principale follemente sicura per il tuo gestore di password.
• Approfitta di un generatore di password casuale per aggiornare le tue vecchie password non valide.
• Puoi persino creare il tuo generatore di password casuali in Excel.
• Abilita l'autenticazione a due fattori ove disponibile.

Se un sito sicuro non si occupa della sicurezza, potresti comunque perdere le credenziali di quel sito a causa di una violazione dei dati, ma rendendo tutte le tue password lunghe, forti e uniche, hai fatto tutto il possibile per proteggere i tuoi account online.

Ehi! Ora che sei su un rotolo, per quanto riguarda la sicurezza, considera l'aggiunta di una rete privata virtuale o VPN. L'uso di password complesse per siti sicuri significa che gli altri non possono entrare nei tuoi account; l'aggiunta di una VPN significa che non c'è alcuna possibilità che qualcuno possa intercettare la tua connessione a quei siti sicuri.