Ogni anno in questo periodo devo compilare la domanda di assicurazione informatica della mia azienda e ogni anno mi viene chiesto se incoraggiamo password complesse e le cambiamo frequentemente. Questa domanda mi infastidisce davvero, perché non dovremmo cambiare le password spesso. Piuttosto, dobbiamo scegliere processi di autenticazione che siano adeguatamente abbinati ai rischi del sito; l'uso di una password dovrebbe essere l'ultima cosa di cui ti vuoi fidare.
Innanzitutto, pensa alle informazioni e ai dati che un sito Web memorizza su di te. I siti che vogliamo offrire la massima protezione spesso hanno i più deboli. Quando puoi, aggiungi sempre l'autenticazione a due fattori per accedere a un sito. (Non tutta l'autenticazione a più fattori è uguale, ma una qualche forma di autenticazione a più fattori è meglio di niente. Se incoraggi gli aggressori ad andare altrove, hai fatto il tuo lavoro.
Le banche e le organizzazioni finanziarie sono spesso lente nell'implementazione del software di autenticazione, quindi devi accontentarti di un nome utente, una password e quindi uno strumento di autenticazione a due fattori, di solito un messaggio di testo inviato al tuo smartphone. Sebbene i chip SIM degli smartphone possano essere clonati (in modo che gli aggressori possano falsificare il telefono e intercettare i messaggi di testo), la stragrande maggioranza di noi sta ancora meglio con questo processo. Affidarsi esclusivamente a nome utente e password per accedere alla banca mette a rischio il tuo conto.
Ad essere onesti, non tutte le password sono uguali. Se hai riutilizzato una password su un altro sito Web o per un altro conto bancario, sei maggiormente a rischio. Gli aggressori spesso rubano o acquistano un archivio di password craccate o hash di password e quindi tentano di riutilizzarli per ottenere l'accesso ad altri siti. Se hai già ricevuto una notifica di reimpostazione della password e non hai tentato di accedere all'account, è probabile che un utente malintenzionato stia tentando un attacco di riempimento della password sul sito. Quindi non riutilizzare la stessa password ovunque.
Per anni, agli utenti online è stato chiesto di cambiare i loro nomi utente per vedere se un sito vendeva le loro informazioni altrove. Ora vedo lo stesso tipo di raccomandazione per la scelta di password o passphrase. C'è un video davvero divertente online che descrive il processo utilizzato dalle persone per scegliere le password. Hai iniziato scegliendo una password, poi la usi ovunque. Poi, quando un sito dice che uno non è abbastanza buono, aggiunge un'altra lettera. Quindi hai bisogno di un carattere speciale (come il punto esclamativo). La verità è che il nostro cervello può memorizzare solo così tante informazioni, quindi tendiamo a riutilizzare la stessa password, o una sua variazione, su più siti.
Microsoft consiglia spesso l'uso di codici PIN invece di password. Sostiene che un PIN è specifico del dispositivo, quindi se un utente malintenzionato ruba il tuo PIN, deve rubare anche il dispositivo. C'è un problema con questo argomento. Ho diversi dispositivi che richiedono un PIN e devo ammettere che utilizzo lo stesso PIN su tutti perché non ricordo i PIN meglio delle password. Secondo Microsoft, il vantaggio di un PIN è che "quando il PIN viene creato, stabilisce una relazione di fiducia con il provider di identità e crea una coppia di chiavi asimmetriche che viene utilizzata per l'autenticazione". Il chip TPM (Trusted Platform Module) del computer memorizza un codice PIN. (Se ti stai chiedendo perché hai avuto una macchina Windows 10 che ti chiedeva di usare un PIN invece di una password, è perché il sistema operativo ha registrato che aveva l'hardware per supportare il processo.) Se non hai bisogno o non vuoi avere un PIN, puoi cancellarlo. Premi il tasto Windows e il tasto I per aprire Impostazioni. Scegli gli account, quindi fai clic su continua. Nel riquadro di sinistra, fare clic su Opzioni di connessione. Nel riquadro di destra, seleziona "Elimina" nella sezione PIN.
Gli sforzi per migliorare la sicurezza online sono in aumento. Intuit ha recentemente iniziato a richiedere una password online anche per accedere alla versione desktop di QuickBooks, il suo software di contabilità e contabilità. Coloro che hanno un file QuickBooks che contiene informazioni sensibili come buste paga o carte di credito dovrebbero anche accedere prima con un account online. Per anni, gli utenti desktop hanno avuto bisogno solo di un nome utente. Tuttavia, molti utenti hanno ritenuto che la modifica sembrasse ingombrante, soprattutto se combinata con l'obbligo di modificare le password ogni 90 giorni. (Ancora una volta, è questa l'idea che cambiare la tua password sia meglio che usare password migliori o usare l'app Google Authenticator per accedere al tuo account Intuit.
Anche se sei una piccola impresa, puoi aggiungere l'autenticazione a due fattori all'accesso al tuo computer per aumentare la sicurezza. Duo.com, ad esempio, offre DUO gratuito per l'implementazione con meno di 10 utenti. Fornisce una richiesta a due fattori a uno smartphone o persino a un Apple Watch. Lo uso nel mio ufficio per l'accesso remoto per assicurarmi che quando qualcuno accede dall'esterno dell'ufficio, debba rispondere a un messaggio sul proprio telefono per ottenere l'accesso. La sua facilità d'uso mi consente di garantire la sicurezza dell'accesso remoto ed evitare modifiche eccessive della password.
Se sei un venditore o un'agenzia di assicurazioni informatiche, ascoltami! Smetti di chiedermi di cambiare la mia password. Invece, chiedimi qual è la mia app multifattore preferita. Questo è il modo più veloce per migliorare la sicurezza per la maggior parte degli utenti.
Copyright © 2022 IDG Communications, Inc.