Come creare password complesse e dove memorizzarle

Il primo giovedì di maggio è un giorno speciale. Da oltre un decennio questo giorno viene celebrato come Giornata mondiale delle password. Per noi di Kaspersky è un’occasione importante. Non diamo una festa, ma cogliamo l’occasione per ricordarti ancora una volta una delle cose importanti della vita. Le password, ovviamente! Vediamo quindi come crearle, dove conservarle in modo sicuro e perché “qwerty12345” è una pessima idea.

Questo argomento è cruciale perché molte persone fanno ancora affidamento su password deboli e riciclate, troppo facili da indovinare e cadute ripetutamente nelle mani degli hacker. Perché questo accade e come affrontarlo: lo spieghiamo nel post di oggi.

Come facciamo a scoprire le fughe di dati?

La nostra rete globale di intelligence sulle minacce, Kaspersky Security Network (KSN), svolge un ruolo fondamentale. Raccoglie e analizza i dati sulle minacce informatiche da tutto il mondo e la maggior parte dei dati viene fornita dai nostri clienti in forma anonima e volontaria. Tali dati spersonalizzati vengono analizzati dai nostri algoritmi di apprendimento automatico (AI) e da esperti in carne e ossa, consentendoci di rispondere rapidamente all’emergere delle minacce informatiche: il tempo medio tra l’apparizione di una nuova minaccia e l’apprendimento da parte dei partecipanti di KSN è di soli 40 secondi!

Grazie a Kaspersky Security Network, sappiamo che nel 2023 ci sono stati oltre 32 milioni di tentativi di attacco alle password degli utenti KSN. Nel 2022, il numero era ancora più alto: ben 40 milioni. Questo si traduce in tentativi di hacking delle password che si verificano più di una volta al secondo a livello globale! Inoltre, la nostra ricerca di fine 2023 ha mostrato che gli attacchi non colpiscono solo gli utenti domestici, ma anche le aziende. Il 76% dei piccoli imprenditori intervistati ha affrontato almeno un incidente informatico negli ultimi due anni, con quasi un quarto degli attacchi (24%) agevolati dall’uso di password deboli, ripetute o obsolete.

Come controlliamo i tuoi dati

Utilizziamo tre metodi per verificare se i tuoi dati e le tue password sono stati compromessi:

1. Tramite l’indirizzo e-mail, per gli utenti di Kaspersky Standard, Kaspersky Plus e Kaspersky Premium. È semplice: inserisci nell’applicazione gli indirizzi e-mail che tu e i tuoi cari utilizzate per gli account online. Ti diremo se qualcuno dei tuoi dati personali, comprese le password, è trapelato su Internet o sul dark Web. La nostra applicazione non riceve né archivia i dati compromessi, ma fornisce solo informazioni sul tipo. Ti avviseremo se una violazione coinvolge la tua password, l’indirizzo di casa, i dati della carta d’identità o del passaporto o il numero della carta di credito. Non ci limitiamo ad avvisarti; ti forniremo anche ottimi consigli dai nostri esperti di sicurezza informatica sulle azioni appropriate da intraprendere, poiché diversi tipi di fughe di dati richiedono risposte specifiche.
2. Tramite numero di telefono, per gli utenti di Kaspersky Premium. Questo metodo funziona in modo simile al controllo dell’e-mail, ma si concentra sugli account collegati ai numeri di telefono. Questi account spesso appartengono a servizi più “seri” come banche, istituzioni e i principali mercati online, per i quali la fuga di dati può avere gravi conseguenze. Devi solo specificare il tuo numero di telefono nell’applicazione per consentirci di verificare se è apparso in eventuali fughe di dati. Puoi controllare non solo il tuo numero, ma anche i numeri di tutti i tuoi famigliari. È sufficiente inserire gli indirizzi e-mail e i numeri di telefono una sola volta; da quel momento in poi monitoreremo continuamente il Web per rilevare eventuali perdite. Se i tuoi dati vengono esposti, riceverai un avviso immediato con consigli su cosa fare.
3. Tramite uno speciale algoritmo in Kaspersky Password Manager. A differenza dei due metodi precedenti, che controllano tutti i possibili scenari di fuga, il nostro gestore di password si concentra sull’analisi delle password archiviate al suo interno. Anche offline, può dirti quali delle tue password sono deboli o riutilizzate e quali sono sufficientemente forti. Inoltre, Kaspersky Password Managercontrolla regolarmente tutte le tue password rispetto ai database di credenziali compromesse e ti avvisa di eventuali corrispondenze.

Puoi anche verificare se una password è stata compromessa utilizzando il nostro servizio online di verifica delle password. Basta inserire la password che desideri verificare e il sistema ti dirà quante volte è apparsa nei database di dati trapelati e se può essere considerata sicura.

Ops! Cattive notizie: la password “qwerty12345” è trapelata almeno 285.000 volte

Questo metodo presenta però uno svantaggio rispetto ai tre precedenti: richiede controlli manuali, laddove Kaspersky Password Manager Kaspersky Plus e Kaspersky Premium monitorano automaticamente la presenza di fughe in background.

Quindi Kaspersky memorizza le password di tutti i suoi utenti? Assolutamente no. Nessuno dei dipendenti dell’azienda (non un solo sviluppatore, un analista, un editor, un designer o lo stesso Eugene Kaspersky) ha accesso ai tuoi dati sensibili. Abbiamo già discusso in dettaglio la nostra politica a conoscenza zero qui. Di seguito spiegheremo perché non possiamo accedere alle password archiviate in Kaspersky Password Manager.

Perché archiviare le password in Kaspersky Password Manager è più semplice e sicuro

Memorizzare tutte le password o conservarle, ad esempio, in app per appunti è rischioso. Kaspersky Password Manager è progettato appositamente per questo scopo. Crea, archivia e immette automaticamente password complesse e univoche in siti Web e applicazioni, verifica che non siano compromesse e genera codici di autenticazione a due fattori.

Ecco una spiegazione semplificata di come funziona Kaspersky Password Manager. Tutte le tue password sono archiviate in un deposito criptato utilizzando l’algoritmo di criptaggio simmetrico AES-256. Questo standard di criptaggio è considerato sufficientemente forte da essere utilizzato dalla NSA per archiviare i segreti del governo statunitense. La chiave di criptaggio è la password principale, creata durante la configurazione iniziale dell’applicazione. Ogni volta tenti di accedere al caveau, Kaspersky Password Managerrichiede questa password e la utilizza per decriptare i dati.

Puoi conservare nello stesso caveau non solo le password, ma anche altri importanti dati come numeri di carte bancarie, documenti scansionati e così via. Pertanto, i tuoi dati riservati vengono archiviati e sincronizzati tra tutti i tuoi dispositivi in forma criptata “top secret”.

Questo livello di protezione supera di gran lunga la memorizzazione delle password nei browser. Sconsigliamo di accettare i suggerimenti persistenti del browser per la memorizzazione delle password: tali password possono essere estratte dal browser in pochi secondi.

L’accesso al caveau criptato in Kaspersky Password Manager viene concesso esclusivamente tramite la password principale. Non conosciamo questa password e non la memorizziamo mai da nessuna parte. Se la dimentichi, il contenuto del caveau sarà irrecuperabile e dovrai crearne uno nuovo. Questo approccio garantisce il massimo livello di protezione: anche se un hacker riuscisse in qualche modo ad accedere al caveau criptato di Kaspersky Password Manager, non sarà in grado di scoprire le tue password, i dettagli delle carte di credito e gli altri documenti archiviati.

Come possiamo verificare la presenza di fughe delle password se non conosciamo le password?

È qui che torna utile un Secure Hash Algorithm 1 (SHA-1). Questo algoritmo prende tutti i dati e li utilizza per creare un valore hash, una stringa binaria a lunghezza fissa univoca per i dati di input. Ad esempio, se la password effettiva è “qwerty12345”, la sua rappresentazione in “linguaggio SHA-1” avrà il seguente aspetto: 4e17a448e043206801b95de317e07c839770c8b8.

Ogni password univoca produce sempre lo stesso hash e se due hash corrispondono, anche le password originali corrispondono. KSN archivia gli hash calcolati per tutte le password note compromesse e trapelate. Per controllare la password, calcoliamo l’hash in locale nel dispositivo, quindi inviamo solo la prima metà di questo hash ai server Kaspersky e troviamo tutti gli hash delle password compromesse aventi la stessa prima metà. Questi hash vengono rimandati al tuo dispositivo, dove ciascuno di essi viene confrontato con l’intero hash della tua password. Se viene trovata una corrispondenza esatta, la password è stata compromessa.

Pertanto, noi non veniamo mai a conoscenza delle tue password, che non lasciano mai il tuo dispositivo in forma non criptata. È teoricamente possibile recuperare la password originale dal suo hash, ma… gli hash completi delle tue password non vengono mai inviati da nessuna parte dal tuo dispositivo! Solo alcuni frammenti vengono inviati ai server KSN per il confronto ed è impossibile ripristinare la password originale da una porzione dell’hash. Pertanto, il controllo delle fughe di password è completamente sicuro.

Come formulare una password principale

Con Kaspersky Password Manager dovrai ricordare solo una password principale. L’applicazione utilizza la password principale per criptare i dati nel caveau. Pertanto, ti consigliamo di prendere sul serio la sua formulazione. Usare “qwerty12345” come password principale è come mettere tutti i tuoi oggetti di valore in una cassaforte e poi lasciare la chiave nella serratura. Per rendere il processo più semplice e assicurarti di ricordare la password, ecco un suggerimento per renderla forte ma memorabile:

pensa a una frase, una citazione o un verso preferito. Prendi una lettera (non necessariamente la prima!) o una combinazione di lettere da ogni parola della frase e inframmezza caratteri speciali. Sostituisci le lettere che somigliano a numeri o caratteri speciali con i rispettivi simboli.

Ad esempio:

“Che la Forza sia con te”, può diventare: C!L@!F!$!C!te

Per essere buona, una password non deve necessariamente avere molti caratteri speciali difficili da ricordare, bensì deve essere una password resistente ai tentativi di forzatura. Testa la password appena creata utilizzando il nostro servizio online Password Checker. Se il servizio ti conferma che è sicura, la potrai usare come tua password principale di Kaspersky Password Manager. E questa è l’unica password che dovrai ricordare, dal momento che il nostro gestore di password genererà, salverà e inserirà automaticamente tutte le altre password su siti Web e app.

Se preferisci il tradizionale metodo del memorizzare tutte le password, usa la combinazione che hai trovato come base e, per ogni servizio e sito Web, aggiungi una sorta di “estensione” mnemonica per assicurarti che tutte le tue password siano univoche. Abbiamo una guida dettagliata su questa tecnica. E indovina un po’? Molti servizi, tra cui Kaspersky Password Manager, consentono la creazione di password utilizzando… emoji ed emoticon.

Riepilogo

• Usa una protezione affidabile. Ciò garantirà che le tue password e altri dati sensibili siano al sicuro.
• Crea password mnemoniche. Questa tecnica ti aiuta a creare password forti e facili da ricordare.
• Memorizza le password in un gestore di password. Tu crei e ricordi una password principale sicura e noi proteggiamo tutti i tuoi dati importanti con essa.
• Non riutilizzare le password nei servizi e nei siti Web. Una perdita di dati da un servizio potrebbe esporre la tua password agli hacker, rendendo più facile per loro compromettere gli altri tuoi account. Le password univoche sono la via da percorrere, ed ecco perché.
• Quando è possibile, abilita l’autenticazione a più fattori (2FA). Aggiungerà un ulteriore livello di protezione ai tuoi account. Anche se la password viene compromessa, il codice 2FA univoco impedisce l’accesso non autorizzato. In Kaspersky Password Manager puoi persino archiviare token 2FA e generare codici monouso.