Il seguente esempio di criteri sulle password tiene conto dello stato dell'arte delle prestazioni e delle capacità di vari tipi di attacchi ai sistemi crittografici nel 2020. Se possibile, cercherò di aggiornarlo (quando si scopre che è già troppo debole).
Le password statiche nei sistemi IT devono:
- avere una lunghezza non inferiore a 12 caratteri;
- contengono caratteri di almeno tre delle seguenti quattro categorie:
- caratteri di grandi dimensioni dalla A alla Z
- caratteri piccoli da a a z
- cifre da 0 a 9
- caratteri speciali (ad es. !,.$^)
- Sii diverso dalle 1.000 password più popolari
- Non includere parole che sono il tuo login, nome della società, nome dell'app, indirizzo e-mail, nome, nome utente;
- essere memorizzato in una forma sicura utilizzando funzioni come bcrypt o PBKDF2;
Molte informazioni utili sui criteri password e sull'implementazione corretta e sicura del processo di autenticazione sono disponibili nei materiali OWASP – Authentication Cheat Sheet
Nella maggior parte dei casi, non sai come vengono archiviate le tue password sui siti Web. L'amministratore potrebbe non aver implementato alcun meccanismi per proteggere i dati. Ecco perché devi tenerli al sicuro. Per proteggersi dallo scenario di perdita della password da un sito Web e dall'utente malintenzionato utilizzando tale password su un altro portale in cui si dispone di un account, è necessario utilizzare una password diversa in ogni pagina. Data la moltitudine di portali in cui ruotiamo oggi e la complessità degli slogan citati nella politica di cui sopra, è eriterietà ricordarli tutti. Qui, un gestore di password viene in nostro aiuto. Ti ricordi una password complicata e il resto se ne occuperà. Uno dei gestori di password sicuri e consigliati è KeePass.
L'utilizzo dei gestori di password presenta una serie di vantaggi aggiuntivi, ad esempio:
- Genera automaticamente password complesse e sicure
- Backup automatici
- Accedere alle password su più dispositivi (ad esempio tramite gdrive)
- La possibilità di sincronizzare i dati tra dispositivi;
- Crittografia automatica dei dati
- compilazione automatica dei moduli sui siti web;
Per migliorare ulteriormente la sicurezza dei nostri dati, è una buona idea eseguire l'autenticazione a due fattori laddove possibile. Per molti anni, questo servizio è stato disponibile su servizi come Facebook, Gmail e recentemente le banche si sono unite a questo gruppo a causa di requisiti legali. Un ulteriore fattore di autenticità, ad esempio sotto forma di codice sms che arriva sul tuo telefono, aumenta significativamente il livello di sicurezza del tuo account.
Le password ci circondano ovunque. Con la tendenza in continua crescita degli attacchi online, vale la pena migliorare il livello di sicurezza dei tuoi dati. L'introduzione di un criterio password è un buon modo per farlo.