Parliamo di come proteggere meglio i tuoi dispositivi e gli account online.

Che cos'è l'autenticazione e perché è importante?

Spesso quando è necessario accedere a un elemento, ad esempio un dispositivo, un account o persino un luogo, è necessario avere un modo per dimostrare di essere quello che si dice di essere o almeno di essere autorizzati ad accedere a tale elemento. Si tratta di un processo che viene chiamato "autenticazione".

Un esempio di base è la tua casa. Quando vuoi entrare nella tua casa, probabilmente devi usare un qualche tipo di chiave per sbloccare la porta. Il tasto fisico consente di immettere. Si tratta di un metodo di autenticazione molto semplice, che risenti di un grosso problema: se qualcuno trova o ruba la chiave, può entrare a casa tua.

Un altro esempio comune di autenticazione è il bancomat presso la banca. Si tratta di un esempio leggermente più avanzato perché, invece di avere semplicemente una chiave fisica (in genere una carta di plastica nel portafoglio), è necessario ricordare anche un fatto, ovvero il PIN, che in genere è un numero di 4-8 cifre.

Si tratta di un sistema più sicuro perché, anche se qualcuno ha la chiave fisica, la carta, non può prendere il denaro dalla cassa perché deve comunque conoscere il PIN. Se hanno solo il TUO PIN, non possono ancora ottenere i tuoi contanti dalla macchina perché hanno bisogno anche della carta. Devono avere entrambe le cose.

Immagine di una famiglia che entra in una casa.

In un computer il tipo di autenticazione che tutti conoscono è l'accesso con un nome utente e una password. In questi giorni i nostri dispositivi contengono una quantità così grande di dati importanti che è fondamentale che la nostra autenticazione sia stata eseguita bene. Se i truffatori possono accedere ai tuoi dispositivi o servizi come te, possono fare molte cose sbagliate.

Quindi, diamo un'occhiata a come è possibile proteggere facilmente.

Primo passaggio: attivare l'autenticazione nei dispositivi mobili.

La maggior parte degli smartphone moderni può sbloccarsi rapidamente con un'impronta digitale o un riconoscimento facciale, ma anche quelli che non supportano questi metodi possono essere impostati per richiedere lo sblocco di un PIN. Attiva questa scheda.

Sì, è necessario un passaggio aggiuntivo per sbloccare il telefono quando si vuole usarlo, ma l'aggiunta di questo piccolo passaggio rende il dispositivo molto più sicuro. Se il telefono viene smarrito o rubato, chiunque abbia il telefono è molto meno probabile che sia in grado di accedere ai dati sensibili. Questo è particolarmente importante se si usa il dispositivo per il lavoro o il settore bancario.

Autenticazione a più fattori (AKA "verifica in due passaggi")

Quando ci si presenta a casa propria e si inserisce il codice per sbloccare la porta, questo è ciò che viene chiamato "fattore". Questa porta bloccata di base è l'autenticazione a singolo fattore. Ti serve solo quella chiave fisica.

Esistono tre tipi di fattori di base usati nell'autenticazione:

  • Qualcosa che conosci, ad esempio una password o un PIN dimenticato.

  • Qualcosa che hai, ad esempio uno smartphone o una chiave fisica di qualche tipo.

  • Qualcosa che sei, come l'impronta digitale o il tuo volto, che il dispositivo può scansionare per riconoscerti.

L'autenticazione a più fattori significa che è necessario più di un tipo di fattore per accedere. La macchina della cassa di cui abbiamo parlato è l'autenticazione a due fattori: la tua carta bancomat in plastica è un fattore, e quel PIN ricordata è il secondo fattore.

Quasi tutti i servizi online ora consentono di usare l'autenticazione a più fattori anche per accedere. Il primo fattore è in genere il nome utente e la password. Il secondo fattore è in genere un codice speciale di una sola volta inviato allo smartphone tramite SMS. Chiunque cerchi di accedere al tuo account ha bisogno del tuo nome utente e della password, ma dovrebbe anche essere in grado di ricevere quel sms speciale. Questo rende molto più difficile per i truffatori entrare.

Un'altra opzione per questo secondo fattore può essere un'app di autenticazione sullo smartphone, ad esempio la versione Microsoft Authenticator. L'app di autenticazione ha diversi modi per funzionare, ma la più comune è simile al metodo sms. L'autenticatore genera lo speciale codice di una sola volta sul telefono per l'immissione. Questo è più veloce e sicuro di un SMS perché un utente malintenzionato determinato potrebbe essere in grado di intercettare i messaggi di testo. ma non possono intercettare un codice generato localmente.

L Microsoft Authenticator app che mostra diversi account.

In entrambi i casi il codice speciale cambia ogni volta e scade dopo un periodo di tempo molto breve. Anche se un utente malintenzionato ha scoperto il codice con cui è stato eseguito l'accesso ieri, oggi non è più utile.

Non è un problema?

Un errore comune sull'autenticazione a più fattori, o la verifica in due passaggi, è che richiede più lavoro per l'accesso. Nella maggior parte dei casi, tuttavia, il secondo fattore è richiesto solo la prima volta che si accede a una nuova app o dispositivo o dopo aver cambiato la password. In seguito, il servizio riconosce che stai accedendo con il tuo fattore principale (nome utente e password) in un'app e un dispositivo che hai usato in precedenza e ti consente di accedere senza richiedere il fattore aggiuntivo.

Se un utente malintenzionato prova ad accedere al tuo account, è probabile che non utilizzi l'app o il dispositivo. È più probabile che stiano provando ad accedere dal proprio dispositivo, da qualche parte lontano, e quindi il servizio chiederà il secondo fattore di autenticazione, che quasi certamente non hanno!

Passaggio successivo: Attivare l'autenticazione a più fattori ovunque sia possibile.

Abilita l'autenticazione a più fattori presso la tua banca, i tuoi account di social media, gli acquisti online e qualsiasi altro servizio che lo supporti. Alcuni servizi possono chiamarla "verifica in due passaggi" o "accesso in due passaggi", ma è fondamentalmente la stessa cosa.

In genere è visualizzato nelle impostazioni di sicurezza dell'account.

Gli attacchi di compromissione delle password sono responsabili degli attacchi di maggior successo degli account che vediamo e l'autenticazione a più fattori può sconfirla quasi tutti.

Per altre informazioni, vedere Che cos'è: Autenticazione a più fattori.

Saluta i Windows Hello

Windows Hello è un modo più sicuro per accedere ai Windows 10 o Windows 11 dispositivi. Consente di allontanarsi dal vecchio metodo di password usando il riconoscimento facciale, un'impronta digitale o un PIN dimenticato.

Nota: Per usare Hello Face il dispositivo deve avere una fotocamera compatibile con Hello e per usare Hello Fingerprint il dispositivo deve avere un lettore di impronte digitali compatibile con Hello. Se non si ha una di queste funzionalità, è possibile acquistare fotocamere e lettori di impronte digitali compatibili oppure usare il PIN Hello.

Hello Face o Hello Fingerprint sono semplici e veloci come il riconoscimento facciale o il lettore di impronte digitali che potresti usare sullo smartphone. Quando si arriva alla richiesta di Windows di accesso invece di ricevere la richiesta di immettere la password, è sufficiente guardare la fotocamera o posizionare il dito sul lettore di impronte digitali. Non appena ti riconosce, sei in. In genere, è quasi immediato.

Hello PIN funziona allo stesso modo della maggior parte dei sistemi di immissione del PIN. Quando accedi Windows il PIN e accedi. Ciò che rende speciale Hello PIN è che quando lo hai configurato associa il PIN al dispositivo con cui stai effettuando l'accesso. Questo significa che, come per altre forme di autenticazione a più fattori, se un utente malintenzionato ha ottenuto il PIN, funziona solo sul dispositivo. Non possono usarlo per accedere ai tuoi account da qualsiasi altro dispositivo.

Passaggio successivo: Attivare Windows Hello

Nel tuo Windows 10 o Windows 11 dispositivi vai a Impostazioni >account> opzioni di accesso. Qui puoi vedere quali tipi di Windows Hello il tuo dispositivo può supportare e configurare facilmente.

Scelta di password migliori

Le uniche persone a cui piacciono le password sono gli utenti malintenzionati. Quelle valide possono essere difficili da ricordare e le persone tendono a riutilizzare più e più volte le stesse password. Anche alcune password sono piuttosto comuni in un gruppo di persone di grandi dimensioni: "123456" non è solo una password errata, ma è anche una delle più usate. E non stai ingannando nessuno se "iloveyou" è la tua password, che è stata l'8a password più comune nel 2019.

Speriamo di aver attivato l'autenticazione a più fattori e Windows Hello, quindi ora non si dipende dalle password. Ma per i servizi in cui è ancora necessaria una password, scegliamo una valida.

Che cosa rende una buona password?

Per scegliere una password valida, è utile conoscere un paio di modi in cui gli utenti malintenzionati provano più comunemente a indovinare le password:

  • Attacchi al dizionario: molte persone usano parole comuni come "drago" o "principessa" come password, in modo che gli utenti malintenzionati provino tutte le parole in un dizionario. Una variante è provare tutte le password comuni come "123456", "qwerty" e "123qwe".

  • Forza bruta: gli utenti malintenzionati possono provare tutte le possibili combinazioni di caratteri finché non trovano quello che funziona. Naturalmente ogni carattere aggiunto aggiunge esponenzialmente più tempo, quindi con la tecnologia corrente non è pratico per la maggior parte degli utenti malintenzionati provare password più lunghe di 10 o 11 caratteri. I nostri dati mostrano che pochissimi utenti malintenzionati provano persino a forzare le password più lunghe di 11 caratteri.

In entrambi i casi l'utente malintenzionato non li digita manualmente, il sistema prova automaticamente migliaia di combinazioni al secondo.

Dati questi tipi di attacchi, sappiamo che la lunghezza è più importante della complessità e che la password non deve essere una parola in inglese. Neanche "affettuosamente", che è lungo 14 caratteri.  Idealmente la password deve contenere almeno 12-14 caratteri, con lettere maiuscole e minuscole e almeno un numero o un simbolo.

Passaggio successivo: Creare una password valida

Ecco un suggerimento per creare una password con lunghezza, complessità e non troppo difficile da ricordare. Selezionare una citazione di film preferita, una riga da un libro o un brano e prendere la prima lettera di ogni parola. Sostituire numeri e simboli, se appropriato, per soddisfare i requisiti delle password.

Forse sei un fan del baseball. Le prime due righe della classica canzone di baseball "Take me out to the ballgame" sono:

Portami fuori al gioco di palla,

Portami fuori con la folla

Prendere la prima lettera di ogni parola, con una sostituzione ovvia:

Tmo2tb,Tmowtc

È lunga 13 caratteri, con distinzione tra maiuscole e minuscole, con numeri e simboli. Sembra piuttosto casuale e sarebbe difficile da indovinare. È possibile eseguire la stessa operazione con qualsiasi citazione, testo o riga, se è abbastanza lungo. Devi solo ricordare quale citazione o testo hai usato per quell'account e dirlo di nuovo a te stesso nella tua testa durante la digitazione.

Suggerimenti: 

  • Se il sistema a cui si sta accedendo supporta gli spazi nelle password, è consigliabile usarli.

  • È consigliabile usare un'applicazione di gestione delle password. Un buon gestore di password può generare password lunghe e casuali e anche ricordarle. Quindi basta una buona password, o meglio ancora un'impronta digitale o un riconoscimento facciale, per accedere al gestore delle password e il gestore delle password può fare il resto. Microsoft Edge creare e ricordare password complesse e univoche.

Ora che hai una buona password

Ci sono un paio di altri tipi di attacchi con password a cui fare attenzione:

  • Credenziali riutilizzate: se si usano lo stesso nome utente e la stessa password nella propria banca e in TailwindToys.com e Tailwind vengono compromesse, gli utenti malintenzionati prenderanno tutte le combinazioni di nome utente e password che hanno ottenuto da Tailwind e le proveranno in tutti i siti bancari e delle carte di credito.

    Suggerimento: Partecipa a Cameron mentre apprende i pericoli del riutilizzo delle password in questo breve articolo - Cameron impara a riutilizzare le password

  • Phishing: gli utenti malintenzionati possono provare a chiamare o inviare un messaggio, fingendo di essere del sito o del servizio, e provare a indurre l'utente a "confermare la password".

Non riutilizzare le password in più siti e diffidare di chiunque ti contatti (anche se sembra essere una persona o un'organizzazione di cui ti fidi) e vuoi fornire informazioni personali o sull'account, fare clic su un collegamento o aprire un allegato che non ti aspettavi.

È un errore annotarsi le password?

Non necessariamente, purché la carta sia conservata in un luogo sicuro. Potrebbe essere meglio scrivere un promemoria per la password, invece della password stessa, nel caso in cui la carta cada nelle mani sbagliate. Ad esempio, se si usava l'esempio "Take me out to the ballgame" riportato sopra, è possibile scrivere il nome della propria squadra di baseball preferita come promemoria di ciò che è stato usato per la password.

Vedere anche

Maggiore sicurezza nelle connessioni wireless

Proteggersi dalle frodi e dagli attacchi online

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.