Password e Sicurezza

Le aziende vengono hackerate costantemente. Quando succede, gli hacker provano le stesse combinazioni email/password su altri siti. Si chiama “credential stuffing”.

Se usi la stessa password ovunque — un hack dà ai criminali accesso a tutto.

La soluzione: Usa una password diversa per ogni account.

Come gestirlo: Usa un gestore di password.

• Genera password casuali robuste
• Le ricorda tutte
• Compila automaticamente al login
• Tu ricordi solo UNA password principale

Sembra rischioso, ma i gestori usano crittografia seria. Le tue password sono molto più sicure lì che riutilizzate su internet.

Vedi: Gestori di password

La 2FA aggiunge un secondo lucchetto ai tuoi account. Password + qualcosa che hai (di solito il telefono).

Tipi:

• Codici SMS — Meglio di niente, ma possono essere intercettati
• App di autenticazione — Molto meglio, codici cambiano ogni 30 secondi
• Chiavi hardware — Più sicuro, richiede dispositivo fisico

Perché preoccuparsi?

La 2FA ferma la maggior parte delle prese di account, anche se qualcuno ha la tua password. La maggior parte degli hack colpisce account SENZA 2FA.

Attivala prima su:

• Email (controlla tutti i reset password)
• Banking
• Social media

Vedi: Raccomandazioni 2FA

Questa è L’UNICA password che non puoi dimenticare. La maggior parte dei gestori non ha opzione “password dimenticata” — è una funzione di sicurezza.

Prevenire il disastro:

• Scrivila e conservala in un posto sicuro (non su un post-it)
• Usa una passphrase memorabile: “cavallo-viola-balla-martedì”
• Configura chiavi di recupero quando crei l’account
• Designa un contatto di emergenza se il tuo gestore lo supporta

Già dimenticata?

Controlla se sei ancora loggato da qualche parte — esporta le password prima di essere bloccato. Cerca chiavi di recupero che potresti aver salvato.

Caso peggiore:

Ricomincia da zero e resetta tutte le password manualmente. Doloroso, ma è per questo che questi sistemi sono sicuri.

Sì, molto più sicuri dell’alternativa (riusare password o scriverle).

Come ti proteggono:

• Crittografia forte (nemmeno l’azienda può vedere le tue password)
• Una violazione non espone tutto (a differenza delle password riusate)
• Genera password che gli umani non possono indovinare
• Ti avvisa su password compromesse

Preoccupazioni risolte:

“Tutte le uova in un paniere?” Sì, ma è un paniere molto sicuro. L’alternativa sono dozzine di password deboli e riusate.

“E se vengono hackerati?” I buoni gestori crittografano tutto localmente. Anche se i loro server vengono violati, gli hacker ottengono solo dati crittografati.

“L’azienda può vedere le mie password?” Con crittografia zero-knowledge, no. Solo tu hai la chiave.

Vedi: Raccomandazioni gestori

La lunghezza conta di più. Una passphrase lunga batte una corta e complessa.

Bene:

• “cavallo-viola-balla-martedì” (parole lunghe e casuali)
• 20+ caratteri casuali da un gestore

Male:

• “P@ssw0rd!” (sostituzioni comuni, facile da craccare)
• Il tuo compleanno, nome dell’animale o qualcosa di indovinabile
• Parole del dizionario da sole

La matematica:

Una password casuale di 12 caratteri richiede milioni di anni per essere craccata con forza bruta. Una di 8 caratteri? Ore.

Approccio migliore:

Lascia che il tuo gestore le generi. Non devi ricordare “xK#9mP2$vL@n” — è il lavoro del gestore.

Per le poche password che DEVI memorizzare (password principale, PIN telefono), usa passphrase lunghe con parole casuali.