ENISA: Suggerimenti per l’autenticazione sicura

Viviamo in un’era di violazioni dei dati su larga scala. Sempre più aziende di alto profilo vengono hackerate: di conseguenza, i dati personali di milioni di clienti vengono divulgati online.

I criminali informatici con motivazioni e interessi diversi sfruttano questi dati per innescare attacchi contro individui e altre organizzazioni. Poiché le password sono ancora il metodo principale per autenticare gli utenti su piattaforme e sistemi, questo articolo mira a fornire raccomandazioni su misura per una migliore igiene informatica.

In questo contesto, Enisa condivide le sue raccomandazioni per migliorare la sicurezza delle password e dei metodi di autenticazione.

Rischi sulle password

Attualmente, le password possono essere rubate in diversi modi, tra cui:

  • Social Engineering attacks come attacchi di phishing mirati alle credenziali con l’utilizzo di pagine false, voice phishing (il cosiddetto Vishing) tramite telefono, shoulder surfing (ad esempio guardando oltre le spalle di una persona che sta digitando la password sul portatile) e persino il recupero di password scritte a mano dalle note di post-it.
  • Rubare utilizzando software specializzati o keylogger fisici. Alcuni di questi attacchi richiedono una presenza o una vicinanza fisica a un portatile o un dispositivo.
  • Intercettando le comunicazioni, utilizzando falsi access point o sfruttando attacchi man-in-the-middle (MiTM) a livello di rete, più diffusi nei WiFi pubblici presenti in hotel, bar, aeroporti, ecc.
  • Brute-force attacks sulle password provando tutte le combinazioni, dictionary attacks o semplicemente indovinando la password.
  • Recuperare le password direttamente dalle violazioni dei dati e sfruttarle usando tecniche di password spraying ad altri servizi legittimi, provando la stessa password su utenti diversi.

Consigli per migliorare la sicurezza delle password

  • Attiva la funzionalità di autenticazione a più fattori ogni volta che è possibile per tutti i tuoi account.
  • Non riutilizzare le password. I criminali informatici lavorano sul presupposto che molti utenti riutilizzano le password, quindi i loro alti tassi di successo per gli account compromettenti.
  • Utilizzare la funzionalità Single Sign-On combinata con l’autenticazione a più fattori per ridurre il rischio di compromissione dell’account.
  • Usa un gestore di password.
  • Genera password o passphrase forti e uniche secondo le ultime linee guida disponibili, per ogni singolo sito Web e servizio. È in questo caso che i gestori di password sono particolarmente utili.
  • Verifica se i tuoi account compaiono in violazioni dei dati esistenti e agisci immediatamente modificando le password per i servizi identificati.
  • Molti siti Web offrono funzionalità di promemoria password. Assicurati di non fare affidamento su informazioni personali facilmente recuperabili per reimpostare la password, ad esempio il nome del tuo animale domestico, la tua data di nascita, la tua scuola superiore, ecc.
  • Utilizza VPN o almeno punti di accesso mobili quando accedi all’e-Banking o ad altri servizi privati ​​dal WiFi pubblico.
  • Fai attenzione a ciò che ti circonda in sale, aeroporti, treni e caffetterie e assicurati che non ci sia nessuno dietro di te che cerca di rubare la password. In questi casi i filtri per la privacy dello schermo si rendono molto utili.
  • Non lasciare i tuoi dispositivi incustoditi / sbloccati in spazi pubblici come hotel, trasporti pubblici, saloni, ecc.

Fonte: ENISA

Show CommentsClose Comments

Leave a comment