Suggerimenti per l’autenticazione utente sicura

In un’era di violazioni dei dati su larga scala, l’Agenzia dell’Unione europea per la sicurezza informatica condivide le sue raccomandazioni per migliorare la sicurezza delle password e dei metodi di autenticazione.
Viviamo in un’era di violazioni dei dati su larga scala. Sempre più aziende di alto profilo vengono hackerate; di conseguenza, i dati personali di milioni di clienti vengono divulgati online.
I criminali informatici con motivazioni e interessi diversi sfruttano questi dati per innescare attacchi contro individui e altre organizzazioni. Poiché le password sono ancora il metodo principale per autenticare gli utenti su piattaforme e sistemi, questo articolo mira a fornire raccomandazioni su misura per una migliore igiene informatica.

Rischi di password

 Oggi, le password possono essere rubate in diversi modi, tra cui:

1. Attacchi di ingegneria sociale come credenziali di phishing che utilizzano pagine false, phishing vocale (il cosiddetto Vishing), navigazione a spalla (ad esempio che fa capolino dietro una persona che sta digitando la password su un laptop) e persino il recupero di password scritte a mano dalle note di post-it.
2. Rubare utilizzando software specializzati o keylogger fisici. Alcuni di questi attacchi richiedono una presenza o una vicinanza fisica a un laptop o un dispositivo.
3. Intercettando le comunicazioni, utilizzando falsi access point o sfruttando attacchi man-in-the-middle (MiTM) a livello di rete, più diffusi nei WiF pubblici presenti in hotel, bar, aeroporti, ecc.
4. Attacchi a forza bruta sulle password provando tutte le combinazioni, gli attacchi del dizionario o semplicemente indovinando la password.
5. Recuperare le password direttamente dalle violazioni dei dati e sfruttarle usando password spraying ad altri servizi legittimi.

1. Attiva la funzionalità di autenticazione a più fattori ogni volta che è possibile per tutti i tuoi account.
2. Non riutilizzare le password. I criminali informatici lavorano sul presupposto che molti utenti riutilizzano le password, quindi i loro alti tassi di successo per gli account compromettenti.
3. Utilizzare la funzionalità Single Sign-On combinata con l’autenticazione a più fattori per ridurre il rischio di compromissione dell’account.
4. Usa un gestore di password.
5. Genera password o passphrase forti e uniche secondo le ultime linee guida disponibili, per ogni singolo sito Web e servizio. È qui che i gestori di password sono utili.
6. Verifica se i tuoi account compaiono in Data Breach esistenti e agisci immediatamente modificando le password per i servizi identificati.
7. Molti siti Web offrono funzionalità di promemoria password. Assicurati di non fare affidamento su informazioni personali facilmente recuperabili per reimpostare la password, ad esempio il nome del tuo animale domestico, la tua data di nascita, il tuo liceo, ecc.
8. Utilizza VPN o almeno punti di accesso mobili quando accedi all’e-Banking o ad altri servizi privati ​​dal WiFi pubblico.
9. Fai attenzione a ciò che ti circonda in sale, aeroporti, treni e caffetterie e assicurati che non ci sia nessuno dietro di te che cerca di ficcare la password. Qui è dove i filtri per la privacy dello schermo sono utili.
10. Non lasciare i tuoi dispositivi incustoditi / sbloccati in spazi pubblici come hotel, trasporti pubblici, saloni, ecc.

Ulteriori informazioni:

Per ulteriori materiali relativi alla consapevolezza della sicurezza, visitare il sito Web dell’European Cyber ​​Security Month (ECSM) attività di sensibilizzazione coordinata dall’ENISA. 
Le migliori pratiche di Cyber ​​Hygiene sono riportate nel Rapporto ENISA – Cyber ​​Hygiene .
Per ulteriori informazioni relative agli aspetti della cibersicurezza della pandemia di COVID19, consultare le pagine ENISA dedicate a questo problema nell’ambito dell’argomento – COVID19.

Fonte: ENISA