Metodi di autenticazione | Criteri di complessità delle password
Metodi di autenticazione Criteri di complessità delle password
Per proteggere tutti gli account, anche quelli personali, è consigliabile seguire sempre le seguenti regole base:
• Usare password complesse e non comuni: devono essere password lunghe, con combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Evitare, anche quando consentite, combinazioni o parole comuni (“12345678”, “password”, “pippo”) o informazioni personali (date di nascita o nomi di persone care).
• Usare password diverse per ogni account: in questo modo, quando un account viene violato, gli altri rimangono al sicuro.
• Cambiare regolarmente le password: Anche se recenti ricerche stanno rivedendo questa prartica, al momento sembra essere ancora una buona abitudine. È bene evitare password già usate in passato.
• Logout da dispositivi non nostri: quando accediamo ai nostri account da pc pubblici o di un nostro conoscente, non dobbiamo mai salvare le password e dobbiamo sempre ricordarci di eseguire il logout prima di lasciare il dispositivo.
• Autenticazione a due fattori (2FA): la 2FA aggiunge ulteriore sicurezza ai nostri account, richiedendo in aggiunta alla password un secondo metodo di autenticazione, come un codice inviato al nostro telefono. Grazie alla 2FA, quindi, anche se la password viene compromessa, il nostro account risulta ancora protetto.
• Non comunicare a nessuno le password: può capitare a tutti di comunicare una password a qualcuno (un familiare o un collega). Eppure le nostre password sono solo nostre e non dovremmo dirle a nessuno. E nessuno (né la banca, né nessun servizio di assistenza tecnica) ci chiederà mai di comunicare le nostre password, né al telefono né tramite e-mail.
• Password manager: un gestore di password memorizza le credenziali dei nostri account e le tiene al sicuro da attacchi. Per accedere agli account ci basta ricordare solo le credenziali del password manager, senza doverci ricordare tutte le credenziali dei singoli account.
Una password efficace e informazioni di recupero aggiornate consentono di proteggere meglio il proprio account.
In UNISA le password che l'utente può personalizzare osservano i seguenti criteri di complessità:
- Lunghezza: almeno 12 caratteri
- Composizione: almeno 1 maiuscola, almeno 1 minuscola, almeno 1 cifra numerica, almeno 1 carattere speciale.
- Informazioni note: non può contenere il nome dell’utente, il cognome dell’utente. la username
- Cronologia: non dovrà essere uguale ad una di quelle già utilizzate.
Le informazioni di recupero per i servizi Google (personali e aziendali) possono essere inserite seguendo questa guida: https://support.google.com/accounts/answer/183723?hl=it&co=GENIE.Platform%3DDesktop#zippy=%2Caggiungere-un-numero-di-telefono-di-recupero.
Troppe password da ricordare
Il dipendente medio di un’azienda gestisce quasi 200 password. Un utente del web deve gestire almeno un centinaio di password. Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi. Quindi le password devono essere: sempre diverse, lunghe e complesse. Ma così saranno difficili da ricordare.
Cosa sono i password manager
Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi in una cassaforte virtuale, rendendola disponibile all’utente quando ne avrà bisogno. Sono protetti da una Master Password, che serve per aprire la cassaforte e diventa perciò l’unica password che occorre ricordare. È bene quindi che la Master password sia scelta secondo i criteri di complessità consigliati.
Quali usare
Ne esistono molti, gratuiti e a pagamento. Quelli che ci sentiamo di consigliare ai dipendenti unisa sono:
- Btiwarden: in versione gratuita fornisce tutte le funzioni e la sicurezza necessarie. Ne esiste una versione a pagamento con funzioalità aggiuntive. Sul sito ufficiale ci sono ottime istruzioni d'uso.
- Keepass: è gratuito ed efficace anche se ha meno funzioni di Bitwarden. Anche qui si trovano ottime istruzioni d'uso.