Video: # 128 Come gestire le password | Daniele Castelletti | AssMaggiolina corso di computer (Novembre 2024)
Venerdì scorso, LivingSocial ha rivelato che un utente malintenzionato ha ottenuto l'accesso a oltre 50 milioni di account. Per gli utenti del popolare sito Web di offerte, è spaventoso, anche se le informazioni finanziarie sono rimaste sicure e le password rimangono crittografate. Ma un gestore di password può rendere gli attacchi futuri meno probabili e meno dannosi.
I rischi: un effetto domino
Attacchi come quello contro LivingSocial hanno enormi ripercussioni per gli utenti, anche quando la tua password non è stata esposta. Le date di nascita, gli indirizzi e-mail e le informazioni esposte nell'attacco potrebbero non sembrare informazioni critiche - dopotutto, non esiteresti a distribuire queste informazioni a una cena. Ma è estremamente utile per gli aggressori che creano campagne di phishing mirate, progettate per iniziare con un po 'delle tue informazioni personali e indurti a dare molto di più.
Gli indirizzi e-mail sono anche utilizzati dai siti Web per aiutarti a recuperare password perse o dimenticate. Supponiamo che l'attaccante LivingSocial, o chiunque acquisti le informazioni da lui, riesca a ottenere il controllo dell'indirizzo email associato al tuo account. Ora poteva usarlo per attivare la reimpostazione della password su altri siti Web, forse anche finanziari, e assumere il controllo anche di quelli.
Ciò richiede che l'attaccante esegua molto più lavoro con le gambe, ma se usi lo stesso nome utente (o indirizzo e-mail) e password per più siti, considera che l'attaccante LivingSocial ora ha la metà delle credenziali di accesso per ognuno di quei siti. Peggio ancora, le password crittografate non sono state crittografate tanto bene per cominciare.
A marzo, il consulente senior per la sicurezza di Sophos, Chester Wisniewski, ha spiegato a SecurityWatch che anche quando i siti web hanno hash e salt password, un determinato aggressore potrebbe ancora riuscire a capire password deboli o comuni. "I criminali avranno hash di quelli veramente facili e potrebbero non preoccuparsi degli altri", ha detto Wisniewski.
I gestori di password possono aiutare
I gestori password non solo memorizzano le password, ma generano password complesse e sicure per te. I migliori avranno anche un componente mobile che ti darà accesso immediato alle tue password e talvolta memorizzerà le informazioni di accesso per le app.
In PC Mag, abbiamo esaminato dozzine di gestori di password. Al momento della redazione, il nostro premio Editors 'Choice è condiviso tra Dashlane e LastPass, entrambi dotati di app mobili. Entrambi sono gratuiti, ma se prevedi di utilizzare l'app LastPass dovrai guadagnare $ 12 all'anno. Lo stesso vale per Dashlane, anche se un account Premium costa di più a $ 39, 99 / anno. Tuttavia, Dashlane ha diversi punti di prezzo diversi e può essere sbloccato con "punti fedeltà".
Norton Identity Safe (quattro stelle, gratuito), memorizzerà anche le tue informazioni e le sincronizzerà su tutti i dispositivi, anche tramite app iOS e Android. Per coloro che hanno paura dei servizi che utilizzano il cloud, MyLOK Personal (quattro stelle, $ 89, 95) utilizza una smart card e una crittografia avanzata per proteggere i dati. Password Genie (3, 5 stelle, $ 15) e RoboForm Everywhere 7 (4, 5 stelle, $ 19, 99 / anno) sono altre due solide opzioni.
Di norma, è necessario evitare i gestori di password che non acquisiscono e immettono automaticamente le informazioni di accesso. Deve essere un processo continuo, che ti protegge dai keylogger e dalla tua pigrizia. Un gestore di password dovrebbe anche notare quando aggiorni le informazioni di accesso e ti offre di registrare i nuovi dati. Per aggiungere un altro livello di sicurezza, considera l'utilizzo di un dispositivo di accesso secondario come un token o una scansione biometrica al processo di accesso del gestore delle password.
Sarai più sicuro?
I gestori di password comportano il rischio intrinseco che se un utente malintenzionato dovesse entrare, tutte le tue informazioni potrebbero essere raccolte. Anche se è vero, considera che i gestori di password hanno molto di più sulla linea rispetto ad altri siti quando si tratta di sicurezza e fai molto per proteggere i tuoi dati. Se il tuo account su un servizio è compromesso oh bene, basta cambiare la password e tutto dovrebbe andare bene. Se perdi il controllo del tuo gestore di password, non utilizzerai mai più quel servizio.
Anche gli attaccanti stanno giocando a numeri e non sono poi così interessati a ciò che tu, individualmente, hai da offrire. Sono alla ricerca di un sacco di intrusioni che possono essere utilizzate per ottenere denaro, in genere attraverso visualizzazioni di pagina o riferimenti a un affiliato. Alcuni potrebbero cercare il tuo conto bancario, ma in tal modo si apre l'attaccante a un livello molto più alto di interesse della polizia e potrebbe non funzionare nemmeno in primo luogo.
Un gestore di password non ti renderà impermeabile agli attacchi, ma limiterà i danni causati da attacchi futuri e renderà gli attacchi molto più difficili. Ricorda che gli aggressori, come la maggior parte degli umani, sono pigri e persino rendere le cose un po 'più difficili ti renderà molto, molto più sicuro.