Tag: password

Devi cambiare le tue password? Te lo dice LastPass!

Sul mercato ci sono programmi che, oltre a proteggere le password, ti dicono quando è ora di cambiarle. Uno dei migliori è LastPass. Ma come usarlo per controllare la forza delle tue chiavi d’accesso?

Alcuni fattori contribuiscono all’indebolimento delle password:

  • Tempo: più una chiave d’accesso è vecchia, più probabile sarà che questa sia vulnerabile
  • Semplicità: le password semplici sono più deboli di quelle complesse
  • Lunghezza: le chiavi d’accesso brevi sono più facili da violare rispetto a quelle lunghe
  • Ripetizione: l’uso della stessa password per più account aumenta i rischi di sicurezza

Per verificare che le tue chiavi d’accesso siano sicure, è consigliabile eseguire i test compresi nei gestori di password, ovvero dei programmi che ti consentono di salvarle, ricordarle e proteggerle. LastPass, per esempio, analizza in meno di un minuto le tue chiavi d’accesso e ti dice quali modificare.

Scopri in questo tutorial come installare LastPass, come memorizzare le password e come eseguire il controllo di sicurezza.

1. Installa LastPass sul tuo computer

LastPass funziona su tutti i browser. Il programma di installazione universale per Windows ti aiuterà a installare LastPass su Chrome, Firefox, Internet Explorer, Safari e Opera.

Innanzitutto, il programma di installazione ti chiederà la lingua che desideri usare.

Dopodiché, seleziona i browser su cui desideri installare l’estensione. Se sono aperti, LastPass ti chiederà di chiuderli (in caso contrario, l’installazione non andrà a buon fine).

Infine, è necessario creare un account LastPass o effettuare il login. Questo passo può essere eseguito successivamente dal browser.

All’apertura di ogni browser, dovrai installare l’estensione e autorizzarla. Ad esempio, questo è quello che vedrai su Chrome.

LastPass visualizza sempre un pulsante rosso con un asterisco bianco al centro:

2. Importa le password su LastPass

Il passo successivo consiste nell’importare tutte le chiavi d’accesso memorizzate sul browser. Fai click sul pulsante di LastPass e vai al menu Tools > Import from.

LastPass aprirà una finestra con l’elenco di tutte le password disponibili. Scegli quelle che vuoi importare (o selezionale tutte) e premi il pulsante Import.

Da questo momento le tue chiavi d’accesso saranno salvate su LastPass e protette da una master password (non perderla!).

3. Avvia il test di sicurezza di LastPass

È giunto il momento di controllare la forza delle tue password. Fai click sull’icona di LastPass e apri il menu Tools.

Seleziona l’opzione Security Check.

Si aprirà una pagina sicura (con l’icona a forma di lucchetto) appartenente a LastPass. Fai click sul pulsante Start the challenge.

Le password verranno analizzate…

… e ti verrà chiesto se vuoi controllare se i tuoi account hanno subito dei furti di dati. Conferma facendo click su OK.

Dopo un minuto comparirà la pagina dei risultati.

4. Consulta l’elenco e scegli le password da modificare

Il rapporto di sicurezza di LastPass è molto completo e utile. Innanzitutto, ti informerà sugli avvenimenti più importanti, come il bug Heartbleed, e ti dirà se è necessario aggiornare immediatamente le password o meno.

Dopodiché, il rapporto prosegue con una sintesi delle password analizzate, la  loro forza e la lunghezza media, il numero di chiavi duplicate e altri dati.

La parte più interessante si trova alla fine: l’elenco delle password con l’indicazione della loro forza. Se sono duplicate, LastPass le raggrupperà. Per andare ad ogni sito, basta fare click sul link.

Se una password è debole e viene usata su molti account, il punteggio sarà basso. Per raggiungere una forza del 100% la chiave deve essere lunga, complessa e unica. Vuoi un consiglio? Cambia quelle che si trovano al di sotto dell’80%.

5. Usa il generatore di password di LastPass

Quando devi impostare una nuova chiave d’accesso, fai click sull’icona LastPass per aprire il generatore di password. Scegli una di quelle che ha creato in modo casuale e salvala.

La chiave verrà associata al sito e inserita automaticamente ogni volta che lo visiti, ma solo se LastPass è attivo (icona rossa).

Non dimenticare la master password!

Come hai appena visto, un gestore di password come LastPass non solo controlla le chiavi d’accesso, ma ti consente di sostituirle con altre più sicure e le ricorda al posto tuo ogni volta che visiti un sito. Attenzione, però, a non dimenticare la master password: se dovessi smarrirla, l’archivio sarà inaccessibile per sempre.

Che punteggio hai ottenuto dal test di sicurezza di LastPass?


[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

Più di due milioni di password rubate in un attacco malware

I ricercatori di SpiderLabs hanno trovato un archivio di password rubate. Più di 2 milioni gli account coinvolti, tra Facebook, Twitter, Gmail, Yahoo! e LinkedIn. I siti interessati sono già a conoscenza del problema e hanno reimpostato gli accounti colpiti e notificato i proprietari.

Le password rubate erano state ottenute con keylogger installati tramite malware sui PC delle vittime. Questo tipo di software può infatti registrare quello che viene digitato sulla tastiera, e poi inviare i dati agli hacker che lo controllano.

La maggior parte dei dati rubati sono credenziali di accesso di Facebook. Seguono Yahoo! Google e Twitter. Il numero di password rubate di LinkedIn è significativamente più piccolo.

L’attacco malware proviene da server olandesi, paese dove si è registrato il numero più alto di attacchi. Colpite anche, ma in misura minore, Thailandia e Germania.

I dati rubati hanno evidenziato anche il persistere di una pessima abitudine da parte degli utenti: la scelta di password troppo deboli. Le più comuni sono infatti chiavi d’accesso ridicole, come “123456” (usata su 15,820 account), e “password”, scelta per proteggere 2,212 account. Ancora troppe persone continuano a scegliere password troppo, davvero troppo, facili da indovinare.

[Via: CNNMoney| Spiderlabs | ArsTechnica]

Password: un male necessario, ma non per sempre

Nella nostra vita, le password sono uno strumento importante e indispensabile, purtroppo però non sono così forti come dovrebbero essere. Esistono delle alternative? Sì, ma non sono ancora riuscite a prendere piede.

In una civiltà come la nostra, che si basa sulla proprietà, sulla privacy e sulla riservatezza, l’identificazione è un principio di sicurezza di base. La chiave con la quale apri la tua macchina, il PIN della carta di credito e così via, sono anch’esse meccanismi di riconoscimento. La nostra vita è piena di chiavi e di oggetti che certificano la nostra identità e ciò che ci appartiene. Tutto ciò non è né un bene né un male, è semplicemente il modo in cui vanno le cose.

Password: un’eredità del passato

In informatica, il problema dell’identificazione e dell’appartenenza ad un gruppo virtuale è subentrato con l’apparizione dei primi sistemi multiutente, ovvero grandi macchine a cui decine di persone potevano collegarsi allo stesso tempo e condividere le risorse informatiche. Senza una password, un utente avrebbe potuto farsi passare per un altro e avere accesso a dati che non gli appartenevano, una cosa impensabile in un ambiente accademico, professionale o militare.

L’invenzione delle password informatiche viene attribuita a Fernando Corbato (fonte)

Le password moderne si devono ai sistemi informatici di molti anni fa, che ammettevano quasi esclusivamente del testo digitato da una tastiera: la parola di accesso poteva essere solo una serie di caratteri più o meno lunga (ma non troppo, perché le risorse disponibili erano molto limitate). L’ascesa dei grandi sistemi UNIX ha fatto il resto: le tecnologie universitarie su cui è stato costruito internet, nei primi anni novanta, adottarono da subito l’uso delle password.

Password: economiche, ma problematiche

Le chiavi di accesso sono un sistema di identificazione molto conveniente e facile da applicare a qualsiasi sistema informatico, in quanto il metodo di scrittura tramite tastiera è usato praticamente ovunque: da un lato, i computer senza una tastiera sono pochi; dall’altro, i sistemi operativi sono in grado di memorizzare e manipolare stringhe di testo come quelle usate per le password. La tecnologia alla base è solo semplice, affidabile e conosciuta da tutti.

John the Ripper può provare migliaia di chiavi al secondo (fonte)

Ma la password di testo è anche una misura di protezione fragile. Gran parte della sua debolezza non dipende dai sistemi che la gestiscono, bensì dagli esseri umani: il nostro cervello ha difficoltà a ricordare lunghe stringhe di lettere e numeri. Di conseguenza, tendiamo a generare delle parole di accesso facili da ricordare: “pippo”, “123456” o “lamiacasettabella”. Dov’è il problema? Essendo così brevi, indovinarle o ottenerle attraverso dei programmi speciali è molto semplice. Se poi queste parole, che danno accesso ad account personali come quelli di Facebook o Twitter, vengono usate per identificarsi in più servizi, il disastro è servito su un piatto d’argento!

I numerosi tentativi per sensibilizzare gli utenti

I moltissimi tentativi di sensibilizzazione non sono serviti a molto: continuiamo a scrivere password deboli, anche quando lo stesso sistema ce lo sconsiglia. Quando poi un sito o un’applicazione ci obbligano a seguire degli standard di lunghezza e varietà, finiamo per usare la stessa parola d’ordine “sicura” che impieghiamo in altri siti. Questa imprudenza permette a un hacker di ottenere l’accesso a vari account in un solo colpo. Tutto ciò perché diamo più importanza alla comodità piuttosto che alla sicurezza.

Il sito How Secure is My Password ti dice quanti anni ci vogliono per indovinarla

Gli esperti di sicurezza e gli psicologi consigliano di usare delle regole mnemotecniche (tecniche per facilitare la memoria) che consistono nell’uso di varianti di una stessa chiave sicura o nell’abbinare ogni carattere a una parola, alle frase di una canzone o a un poema. Un altro modo per evitare problemi è quello di usare un gestore di password come Dashlane che, oltre a ricordare al posto tuo le chiavi di accesso, può generare istantaneamente delle password forti e associarle ai tuoi account.

Le alternative esistono già, ma non prendono piede

Non ci è voluto molto a scoprire i problemi relativi alle password e in poco tempo sono comparsi dei sistemi di identificazione alternativi. Oggi esistono vari metodi che vengono utilizzati come sostituti o complementi delle chiavi d’accesso. Si dividono in quattro grandi categorie: qualcosa che sai, qualcosa che hai (token), qualcosa che sei (biometria) e qualcosa che fai.

Chiavi che conosci (qualcosa che sai)

Le password sono un tipo di chiave cognitiva: sono qualcosa che conosciamo a memoria. Ma la memoria non si limita solo alle parole. Di fatto, possiamo ricordare i volti, i motivi geometrici, le immagini e gli eventi di vita con uguale o maggiore facilità, dal momento che sono più importanti per il nostro cervello. Associandole ai ricordi e alle emozioni, queste chiavi si ricordano quasi senza sforzo.

In Windows 8 puoi creare una password di immagine facilmente

I modelli di sicurezza di Android e le password di immagini di Windows 8 sono due esempi di chiavi cognitive più facili da ricordare, rispetto alle password tradizionali, e più robuste contro i tentativi di furto. Invece, le domande personali classiche (“Come si chiama il tuo cane?”) sono forti soltanto nel caso in cui la risposta non è ovvia o troppo frequente.

Chiavi che possiedi (qualcosa che hai)

La chiave di casa o la carta di credito sono un tipo di password fisica che porti sempre con te. Il vantaggio di questo sistema di identificazione è che non c’è bisogno di ricordare la chiave d’accesso, dal momento che quella che hai è abbastanza complessa da mantenere al sicuro le tue proprietà, siano queste dei dati o degli oggetti.

In informatica, le chiavi fisiche sono state usate tradizionalmente come sistema di protezione anticopia (i dongle USB per le utility costose), ma ora, grazie ai telefoni cellulari, vengono usate per integrare la sicurezza nella cosidetta “verifica in due passaggi” cioè, l’utilizzo congiunto di una password tradizionale e di un codice inviato al telefono.

Chiavi biometriche (qualcosa che sei)

Il tuo corpo è unico: le impronte digitali, gli occhi, la voce e il viso appartengono solo a te e nessuno può togliertele con la stessa facilità con cui si ruba una password. Ciò che ti rende riconoscibile per gli altri, può esserlo anche per qualsiasi computer adeguatamente attrezzato con dei sensori biometrici. Android, con il riconoscimento facciale, e iOS 7, con la lettura delle impronte digitali, sono due esempi di questo sistema.

Sulla carta, i sistemi di identificazione biometrica sembrano avere tutto quello che serve per sostituire le password: non devi ricordare nulla, non possono essere rubati, generano delle chiavi complesse… In pratica, però, questi sistemi hanno notevoli svantaggi: a maggiore precisione, meno possibilità di simulazione, ma anche meno affidabililità nella scansione.

Codici di condotta (qualcosa che fai)

Il luogo dove ti trovi, cosa stai facendo o la tua reputazione sono dei frammenti di informazione che possono servire per integrare i sistemi di identificazione tradizionali. Molti di questi meccanismi sono automatici: per esempio, una pagina può impedire l’accesso se rileva che si sta facendo da un luogo insolito o da un indirizzo che gode di scarsa reputazione.

La popolarità di questo tipo di identificazione, tuttavia, è ancora bassa, forse a causa del limitato controllo che l’utente può esercitare su di essa. Si tratta di uno svantaggio psicologico: se non abbiamo con noi una chiave, sentiamo che la sicurezza è inferiore.

Massima sicurezza? Combinare diversi tipi di chiave

Nessun sistema offre sicurezza completa da solo. Il modo migliore per aumentarla è usando più di un fattore di identificazione. In questo modo la protezione è molto più forte, poiché il successo di un attacco comprometterebbe solo una parte.

L’autenticazione multifattore presenta però alcuni problemi di impiego, ancora difficili da superare a breve termine. Solo le grandi aziende di software e i siti  più famosi possono permettersi di realizzare dei sistemi simili, specialmente se si tratta dell’uso di sensori biometrici o di chiavi fisiche. Inoltre, per gli utenti è più facile avere a che fare con un solo sistema, almeno per ora.

Tuttavia, la popolarità dei sistemi di verifica in due passi impiegati da Google , Facebook e Twitter, così come il recente impulso dato alla biometria da Apple, sono dei segnali molto promettenti per superare la password come unico sistema di riconoscimento informatico. Forse in futuro saremo testimoni di un’esplosione dell’identificazione multifattore. Sarebbe qualcosa di davvero buono per tutti.

Pensi che continueremo a usare le password per sempre?

[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti per Softonic ES]

Twitter è più sicuro con la nuova verifica del login

Twitter aumenta la protezione degli account e la privacy dei dati degli utenti introducendo la verifica all’accesso tramite un codice. Attivare o meno questa novità è opzionale e richiede di aggiungere un numero di telefono e un’e-mail, entrambi verificabili, al tuo account.

Per attivare questa funzione, vai alla pagina delle impostazioni cliccando sul simbolo dell’ingranaggio in alto a destra e, nella sezione account, cerca la voce Richiedi un codice di verifica all’accesso. Registra quindi il numero di telefono e manda un SMS per verificarlo. D’ora in poi, Twitter ti manderà messaggi con un codice al momento del login.

A partire da questo momento, inoltre, se vuoi entrare su Twitter da un dispositivo sconosciuto, dovrai andare sulla pagina delle applicazioni e generare una password temporanea per poter entrare. Ad ogni modo, anche se attivi l’opzione è comunque sempre un’ottima idea quella di usare password lunghe composte da caratteri alfanumerici.

In questo articolo ti spieghiamo come generare una password sicura.

Hacker all’attacco di Twitter. A rischio la sicurezza di 250.000 account

twitter-logoIl passerotto blu naviga in acque pericolose. Nei giorni scorsi pirati informatici hanno sferzato un attacco a Twitter che potrebbe aver compromesso circa 250.000 account. Dal blog ufficiale gli sviluppatori di Twitter hanno confermato che ci sono stati attacchi sospetti e che gli hacker potrebbero aver avuto accesso a password, indirizzi email e altri dati sensibili. L’attacco ha messo a rischio 250.000 account. Come “misura precauzionale” il team di Twitter ha provveduto nelle scorse ore a cambiare le password degli account a rischio. Gli sviluppatori hanno colto l’occasione per invitare gli utenti a disabilitare Java, vista la falla di sicurezza che ha colpito il software della Oracle nelle scorse settimane.