Una coalizione di organizzazioni non profit pubblica la seconda versione delle Linee guida comuni sulle password con 132 firmatari in tutto il mondo.
Anche quest’anno Cyber 4.0 aderisce alla campagna More Than a Password Day.
Ci uniamo alla comunità globale in questa giornata mondiale per sensibilizzare ciascuno di noi sull’importanza di un’autenticazione forte. I nostri dati sono sempre più numerosi e preziosi e proteggerli con una semplice password, pur sofisticata, non ne garantisce più la protezione da accessi non autorizzati e utilizzi malevoli. Esistono strumenti molto più efficaci.
Ecco dunque la Guida Comune sulle Password tradotta in italiano
Proteggere il tuo account e i tuoi dispositivi
Riteniamo che l’utilizzo di un’autenticazione più forte sia uno dei passaggi più efficaci ed economici che si possano adottare per proteggere le organizzazioni e le persone online. In occasione della Giornata mondiale “More than a password Day”, il 12 novembre 2024, pubblichiamo insieme questa Guida comune sulle password che specifica semplici passaggi che chiunque può intraprendere per essere più sicuro:
Azioni da intraprendere subito
1. Utilizza l’autenticazione password-free
Utilizza l’autenticazione password-free (senza password) come le passkey (a volte vengono utilizzati altri termini), quando puoi. Le passkey sono più facili da usare e più sicure delle password. Usano la crittografia per verificare la tua identità online, con una chiave segreta memorizzata sul tuo dispositivo che non viene mai condivisa. I sistemi operativi, i browser e i servizi di posta elettronica più diffusi supportano le passkey: basta cercare “passkey” e il nome del sistema operativo, del browser o del sito/servizio.
2. Proteggi la tua posta elettronica
Se utilizzi l’autenticazione tramite password per le tue caselle di posta, utilizza una password molto complessa (lunga, generata casualmente e univoca (Use Strong Passwords | CISA) e un’autenticazione a più fattori/verifica in due passaggi (vedi il punto successivo). L’e-mail è la forma più comune per reimpostare se vuoi assicurarti che nessun altro possa “reimpostare” le tue password e ottenere l’accesso ai tuoi account.
3. Aggiungi un ulteriore livello di sicurezza oltre all’utilizzo delle sole password
L’utilizzo di una chiave o token di sicurezza hardware, di un’app di autenticazione o di un PIN fornito dai messaggi SMS come “secondo fattore” oltre alla password può aiutare a prevenire phishing e altri attacchi. Questo processo può essere chiamato autenticazione a più fattori (MFA), autenticazione a due fattori (2FA) o verifica in due passaggi. La forma migliore di sicurezza aggiuntiva è utilizzare un token hardware o un’app di autenticazione sul telefono e non fare affidamento sui messaggi SMS per il secondo fattore.
4. Utilizza un gestore di password
Se disponi di account che utilizzano solo password, considera l’utilizzo di un gestore di password in modo da non dover memorizzare decine di password. Utilizzare un gestore di password significa poter utilizzare password complesse, generate casualmente e molto più difficili da indovinare. I gestori di password software, i browser che gestiscono le tue password e i sistemi operativi possono fare un buon lavoro. Naturalmente, la password per il tuo gestore di password deve essere complessa e facile da ricordare (vedi il passaggio successivo per scegliere una buona password) e devi rispondere rapidamente per modificare tutte le password se il servizio di gestione delle password viene compromesso. Indicazioni più dettagliate sui gestori di password sono disponibili, ad esempio, presso i gestori di password del Regno Unito: Password Managers: using browsers and apps to safely store your passwords e del Canada: Password Manager:Security Tips (ITSAP.30.025).
5. Utilizza tecniche consigliate per scegliere le password
Se scegli le tue password anziché farle generare dal tuo computer o dal tuo gestore di password, puoi utilizzare una passphrase (Best practices for passphrases and passwords (ITSAP.30.032) o una tecnica come “Tre parole casuali” dell’NCSC del Regno Unito per scegliere password più facili da ricordare ma difficili da indovinare (Three random Words – NCSC.GOV.UK).
Se sei stato “hackerato”
6. Modifica delle password
Le tue password dovrebbero essere modificate immediatamente se uno dei tuoi dispositivi viene compromesso (ad esempio, un hacker installa malware sul tuo computer). Se un sito o un servizio online che utilizzi (un servizio di posta elettronica, un sito Web, ecc.) viene violato, cambia la password per quel sito o servizio e ovunque tu abbia riutilizzato quella password (e in realtà non dovresti riutilizzare le password). Iscriversi a https://haveibeenpwned.com/ è un buon modo per scoprire se qualcuna delle tue password necessita di aggiornamento. Infine, è meglio cambiare le password utilizzando un dispositivo che non sia stato compromesso.
Nota per i provider: richiedere o supportare l’autenticazione avanzata anziché richiedere la modifica periodica delle password. Potresti trovare utile questa guida: Muti-factor authentication for your corporate online services
La Guida è stata realizzata grazie alla collaborazione di:
#ShareTheMicInCyber
AKTA
Albanian Cyber Association NGO
American University
Anti-Phishing Working Group (APWG)
Aspen Digital
Association of Information Security Professionals (AiSP)
Australian Cyber Collaboration Centre
Aviation ISAC
BBB Institute for Marketplace Trust
Bfore.Ai
Black Girls in Cyber
Broadcom
C3Initiative
Canadian Cyber Threat Exchange
Center for Democracy & Technology
Center for Internet Security
Center for Threat-Informed Defense
Charter of Trust
Cloud Security Alliance
Common Sense
Consumer Reports
Craig Newmark Philanthropies
CREST International
Crowdstrike
Cum Sensu B.V
Cyber 4.0 Cybersecurity Competence Center
Cyber Defence Alliance
Cyber Peace Foundation
Cyber Readiness Institute
Cyber Risk Institute
Cyber Security & Forensics Association Uganda
Cyber Threat Alliance
Cyber8M
CyberGreen Institute
CyberPeace Institute
Cybersecurity and Infrastructure Security Agency (CISA)
Cybersecurity Network Foundation
Cybersecurity Tech Accord
Cybertrust America
CyberWA, Inc
CyberWyoming Alliance
CyBlack
DECO PROTeste
Dell
DigeTekS LLC
DISARM Foundation
DNS Research Federation
Dominio PuntoGal
eco – Association of the Internet Industry
EST Applied Intelligence
EURid
Euroconsumers
European Cyber Security Organisation (ECSO)
European Cybercrime Centre – EC3 – Europol
Everyone.AI
FIDO Alliance
Forge Institute
Forum of Incident Response and Security Teams (FIRST)
Foundation Cyberbrein
Get Safe Online
Girls Who Code
Global Anti-Scam Alliance
Global Cyber Alliance
Global Forum on Cyber Expertise (GFCE)
Global Resilience Federation
Hacking the Workforce
Health-ISAC
HIKS
ICT Academy
Impetus
Insig2
Institute for Security and Technology
Internet Society (ISOC)
Internet Society Belgium
Internet Society UK England Chapter
INTERPOL
ISOC Democratic Republic of the Congo Chapter
ISOC Zambia Chapter
Kenya CyberSecurity & Forensics Association
LAC4
Maritime Safety & Security Alliance
Metamorphosis
Microsoft
National Authority for Electronic Certification and Cyber Security (AKCESK)
National Council of ISACs
National Cyber Forensics and Training Alliance
National Cybersecurity Alliance
National Cybersecurity Society
Netsafe
Nomad Futurist
NPower
NSI Cyber and Tech Center, Antonin Scalia Law School at George Mason University
Okta
Open Cybersecurity Alliance
OpenSecurityTraining2
Outpost24
OWASP
Packet Clearing House
PUNTU.EUS
Quad9
R Street Institute
Rapid7
Recorded Future
Red Piranha
Retail & Hospitality ISAC
Safe Online Women Kenya
SAFECode
SAM for Compliance
ScamAdviser
Sctium
SecureTheVillage
Security Scorecard
Serianu
Shadowserver Foundation
Sightline Security
Singapore Computer Emergency Response Team (SingCERT)
Society of Citizens Against Relationship Scams Inc.
South West Cyber Security Cluster
STOP. THINK. CONNECT. Messaging Convention
TechSoup
The Kosciuszko Institute Association
U.S. Chamber of Commerce
UC Berkeley Center for Long-Term Cybersecurity
University of Chicago Harris School of Public Policy – Cyber Policy Initiative
Women4Cyber Foundation
Women4Cyber Montenegro
XRSI – X Reality Safety Intelligence
youthprotect e.V.
Zyber Global Centre