Le password sono una parte essenziale delle nostre vite digitali quotidiane. Le utilizziamo per proteggere i nostri profili, dispositivi e segreti. Nonostante spesso siano la sola cosa tra di noi e un malintenzionato a caccia di informazioni private, non ci si pensa molto, portando spesso le persone a utilizzare password facili da indovinare o forzare.
Migliori Pratiche¶
Utilizza password uniche per ogni servizio¶
Immagina questo: registri un account con la stessa email e password di numerosi servizi online. Se uno dei fornitori di tali servizi è malintenzionato, o se il servizio subisce una violazione di dati che espone la tua password in un formato non crittografato, tutto ciò che un malintenzionato dovrà fare è provare tale combinazione di email e password su numerosi servizi popolari, fino all'ottenimento di un risultato. Non importa quanto forte sia quella password, poiché, ormai, è già in suo possesso.
Questo fenomeno è detto riempimento delle credenziali ed è uno dei metodi più comuni di compromissione dei tuoi account, da utenti malintenzionati. Per evitarlo, assicurati di non riutilizzare mai le tue password.
Usa password generate casualmente¶
Non dovresti mai basarti su te stesso per generaare una buona password. Consigliamo di utilizzare le password generate casualmente o le frasi segrete Diceware, con un'entropia sufficiente per proteggere i tuoi profili e dispositivi.
Tutti i gestori di password consigliati da noi, includono un generatore di password integrato che puoi utilizzare.
Rotazione delle password¶
Dovresti evitare di modificare troppo spesso le password che devi ricordare (come la password generale del tuo gestore di password), a meno che tu non abbia motivo di credere che siano state compromesse, poiché modificarle troppo spesso ti espone al rischio di dimenticarle.
Per quanto riguard le password che non devi ricordare (come quelle memorizzate nel tuo gestore di password), se il tuo modello di minaccia lo richiede, consigliamo di modificare le password dei profili importaanti (specialmente profili privi di autenticazione a più fattori), ogni paio di mesi, nel caso in cui siano state compromesse in una violazione di dati non ancora resa pubblica. Gran parte dei gestori di password ti consentono di impostare una data di scadenza per la tua password, rendendola più facile da gestire.
Controllo delle violazioni dei dati
Se il tuo gestore di password ti consente di verificare quelle compromesse, assicurati di farlo e di modificare prontamente qualsiasi password possa esser stata esposta in una violazione di dati. Altrimenti, potresti seguire il feed di Violazioni di Dati Recenti di Have I Been Pwned, con l'aiuto di un aggregatore di notizie.
Creare password forti¶
Password¶
Molti servizi impongono certi criteri per quanto riguarda le password, inclusa una lunghezza minima o massima, nonché quali caratteri specili, se presenti, sono utilizzabili. Dovreste utilizzare il generatore di password integrato del tuo gestore di password per creare le password più complesse e lunghe consentite, consentendo l'inclusione di lettere maiuscole e minuscole, numeri e caratteri speciali.
Se necessiti di una password memorizzabile, consigliamo una frase segreta Diceware.
Passphrase Diceware¶
Il metodo Diceware serve a creare frasi segrete facili da ricordare, ma difficili da indovinare.
Le frasi segrete Diceware sono un'ottima opzione quando devi memorizzare o inserire manualmente le tue credenziali, come per la password principale del tuo gestore di password o per la password crittografica del tuo dispositivo.
Un esempio di passphrase diceware è viewable fastness reluctant squishy seventeen shown pencil
.
Per generare una passphrase diceware utilizzando un vero dado, segui questi passaggi:
Nota
Queste istruzioni suppongono che tu stia utilizzando l'EFF's large wordlist per generare la frase segreta, che richiede cinque lanci di dadi per parola. Altri elenchi di parole potrebbero richiedere maggiori o minori lanci per parola e potrebbero richiedere una quantità di parole differenti, per ottenere la stessa entropia.
-
Lancia un dado a sei facce per cinque volte, annotando il numero dopo ogni lancio.
-
Ad esempio, supponiamo tu abbia ottenuto
2-5-2-6-6
. Cerca nell'EFF's large wordlist per la parola che corrisponde a25266
. -
Troverai la parola
encrypt
. Annotala. -
Ripeti questa procedura finché la tua frase segreta contiene quante parole necessarie, che dovresti separare con degli spazi.
Importante
Non dovresti rigenerare le parole finché non ottieni una combinazione di parole che ti attragga. Il processo dovrebbe essere totalmente casuale.
Se non hai accesso a dadi reali o preferiresti non utilizzarli, puoi utilizzare il generatore di password integrato del gestore di password, poiché molti di essi offrono l'opzione di generare frasi segrete Diceware, oltre alle password regolari.
Consigliamo di utilizzare l'EFF's large wordlist per generare le tue frasi segrete Diceware, poiché offre la stessa sicurezza dell'elenco originale, contenendo parole più facili da memorizzare. Esistono anche altri elenchi di parole in lingue differenti, se non desideri che la tua frase segreta sia in inglese.
Spiegazione dell'entropia e della forza delle passphrase diceware
Per dimostrare quanto siano forti le passphrase diceware, useremo la già citata passphrase di sette parole (viewable fastness reluctant squishy seventeen shown pencil
) e l'EFF's large wordlist come esempio.
Un parametro per determinare la forza di una passphrase diceware è la sua entropia. L'entropia per parola in una passphrase diceware è calcolata come e l'entropia complessiva della passphrase è calcolata come:
Pertanto, ogni parola nell'elenco di cui sopra risulta in ~12.9 bit di entropia () e una passphrase di sette parole derivata da essa ha ~90,47 bit di entropia ().
L'EFF's large wordlist contiene 7776 parole uniche. Per calcolare la quantità di passphrase possibili, tutto ciò che dobbiamo fare è , o nel nostro caso, .
Mettiamo tutto questo in prospettiva: una passphrase di sette parole che utilizza l'EFF's large wordlist è una delle possibili ~1.719.070.799.748.422.500.000.000.000.000 passphrase.
In media, è necessario tentare il 50% di tutte le combinazioni possibili per indovinare la tua frase segreta. Tenendo ciò a mente, anche se il malintenzionato è capace di circa 1.000.000.000.000 tentativi al secondo, gli ci vorrebbero comunque circa 27.255.689 aanni per indovinare la tua frase segreta. Questo vale solo se le seguenti cose sono vere:
- Il tuo avversario sa che hai utilizzato il metodo Diceware.
- Il tuo avversario conosce l'elenco di parole specifico utilizzato.
- Il tuo avversario sa quante parole contiene la tua frase segreta.
Ricapitolando, le frasi segrete Diceware sono la tua migliore opzione quando necessiti di qualcosa che sia facile da ricordare ed eccezionalmente forte.
Memorizzare le password¶
Gestori di password¶
Il miglior modo per memorizzare le tue password è utilizzare un gestore di password. Ti consente di memorizzare le tue password in un file o nel cloud e di proteggerle con un password principale singola. Così, dovrai ricordare soltanto una password forte, che ti consente di accedere al resto di esse.
Esistono molte buone opzioni da cui scegliere, sia basate su cloud che locali. Scegli uno dei nostri gestori di password consigliati e utilizzalo per stabilire le password forti tra tutti i tuoi profili. Consigliamo di proteggere il tuo gestore di password con una password diceware, che comprenda almeno sette parole.
Elenco dei gestori di password consigliati
Non inserire le tue password e i token TOTP nello stesso gestore di password
Quando si utilizzano [codici TOTP come autenticazione a più fattori] (multi-factor-authentication.md#time-based-one-time-password-totp), la migliore prassi di sicurezza è quella di conservare i codici TOTP in una app separata.
Memorizzare i token TOTP nello stesso luogo delle tue password, sebbene comodo, riduce i profili a un singolo fattore, nel caso in cui un malintenzionato ottenga l'accesso al tuo gestore di password.
Inoltre, sconsigliamo di memorizzare i codici di recupero a uso singolo nel tuo gestore di password. Questi, dovrebbero essere memorizzati separatamente in un contenitore crittografato, su un dispositivo di archiviazione offline.
Backup¶
Dovresti archiviare un backup crittografato di tutte le tue password su più dispositivi o su un fornitore d'archiviazione in cloud. Ciò può aiutarti ad accedere alle tue password se succede qualcosa al tuo dispositivo principale o al servizio che stai utilizzando.