Guida per creare e gestire password a prova di hacker

La sicurezza del vostro sito WordPress è forte quanto la vostra password più debole.

La società SplashData, pubblica ogni anno la classifica delle peggiori password più utilizzate dagli utenti in Internet.
Per il sesto anno consecutivo (2018) la password più utilizzata in assoluto è “123456”.
Ecco la classifica delle prime 10 password tratte dalla classifica 2018, con l’indicazione delle modifiche di posizione in classifica rispetto alla classifica dell’anno precedente (2017).

Classifica peggiori password 2018

(cliccare sull’immagine per ingrandirla)

Regole di base per creare e gestire password sicure

Le regole di base da seguire per creare e gestire password sicure, sono fondamentalmente 3:

  1. Usare password complesse
  2. Usare password diverse per ogni sito/servizio
  3. Cambiarle regolarmente.

1) Usare password complesse

Come evidenziato dalla classifica delle password fornita dalla SplashData, molti utenti, inconsapevoli dei rischi ai quali potrebbero andare incontro, spesso per pigrizia oppure perché non sono a conoscenza di strumenti adatti per creare e gestire password complesse, preferiscono usare password semplici da ricordare e che dopo magari annotano su un quaderno o peggio ancora sul classico foglietto “post-it” incollato sul bordo del monitor del proprio computer.

Per ovviare al problema della creazione di password complesse, esistono dei programmi cosidetti “generatori di password” (dall’inglese “password generators”) che impostando un paio di parametri e cliccando su un pulsante di conferma, si possono ottenere delle password casuali ogni volta diverse, da utilizzare su siti Internet e su ogni dispositivo elettronico utilizzato per accedere a servizi remoti.

I programmi generatori di password si possono trovare sia all’interno di programmi di gestione delle password (che vedremo al punto successivo) oppure su siti Internet.
In quest’ultima categoria, ci sono due siti molto validi e semplici da usare. Il primo è RoboForm e il secondo Password Generator Plus.

Pagina iniziale del sito Password Generator Plus

ProgrammaProContro
RoboFormIn italianoPochi parametri configurazione
PGPTanti parametri configurazioneIn inglese

2) Usare password diverse

Oltre ad utilizzare password deboli, un altro errore che spesso viene commesso è quello di utilizzare la stessa password per più siti o servizi su Internet.

Anche in questo caso, la soluzione migliore è quella di usare un programma di gestione delle password (cosidetti “gestori di password”, dall’inglese “password managers”) che permettono di salvare tutte le password in un unico programma in modo ordinato ed organizzato.
L’archivio delle password viene poi a sua volta protetto da una singola password (“master password”), e l’intero archivio viene ulteriormente protetto tramite crittografia forte (AES-256 o simili).
L’archivio poi può essere salvato sul disco fisso del proprio computer (in “locale”) oppure su un server Internet (in “remoto”) che fornisca un servizio di tipo “Cloud”.
Tra le due opzioni, quella più sicura rimane il salvataggio sul computer locale.
Nel caso si preferisca usare un servizio di tipo “Cloud”, è sempre più sicuro usare un sistema privato, cioè non accessibile ad utenti che non facciano parte della propria organizzazione.
Qualora non si possa usare un sistema privato (costi elevati) e si debba usare un servizio pubblico (Dropbox, Google Drive o simili), è consigliabile aggiungere un ulteriore strato di protezione, crittografando l’archivio delle password con dei programmi cosidetti “end-to-end encryption” quali Tresorit, Sookasa, Boxcryptor o simili.

Pagina iniziale del sito Boxcryptor

3) Cambiare le password regolarmente

L’ultima regola riguarda la necessità di cambiare le proprie password ad intervalli regolari, cambiandole più spesso sui sistemi ad alta criticità (contenenti dati sensibili).
Anche in questo caso tornano utili i programmi per la gestione delle password, dove molti di loro, hanno delle funzionalità che permettono l’impostazione di regole per obbligare gli utenti a cambiare le proprie password ad intervalli prestabiliti.

WordPress e la gestione delle password utenti

Considerando che WordPress è un sistema “Web-based” che offre inoltre la possibilità a vari utenti di accedere alla bacheca di amministrazione (“back-end”) le 3 regole di cui sopra devono essere applicate in modo preciso e sistematico.

Per facilitare questo compito esistono dei plugin che forniscono una serie di funzionalità per agevolare gli amministratori del sito, ad impostare delle regole di gestione delle password in base ai diversi ruoli degli utenti in un sistema WordPress.

Un plugin molto valido è “Password Policy Manager for WordPress” di cui potete trovare ulteriori informazioni sul sito dello sviluppatore (WP WhiteSecurity).

Come verificare se le proprie password siano state compromesse

Nelle compromissioni di sistemi informatici (i cosidetti “data breach”), spesso l’obiettivo degli hacker è di entrare in possesso di dati personali di utenti registrati nel sistema, in modo da poter riutilizzarli per campagne di messaggi spam, per accedere nei sistemi ad accesso riservato (nel caso vengano rubate le password degli utenti) o nei casi più estremi per il furto d’identità.

Troy Hunt, un esperto americano di sicurezza informatica, ha creato un sito web “Have I Been Pwned” dove tiene traccia di tutti i furti di dati personali avvenuti negli ultimi anni a danno di numerosi siti Internet.
Il sito offre la possibilità di verificare se un indirizzo email sia stato o meno compromesso.

Per verificare basta collegarsi alla pagina iniziale del sito “Have I Been Pwned” inserire l’indirizzo email e cliccare sul pulsante “pwned?”.

Pagina iniziale del sito have I been pwned

Se non viene trovato nulla negli archivi, verrà visualizzata nella stessa pagina iniziale, la frase “Good news — no pwnage found!” su sfondo verde.

In caso contrario verrà visualizzata la frase “Oh no — pwned!” su fondo rosso, e la lista delle compromissioni presenti nell’archivio del sito dove è stato individuato l’indirizzo email in questione.

È possibile inoltre fare una ricerca in base al dominio dell’indirizzo email (utile per le aziende) alla pagina “Domain Search” che può essere eseguita solo dopo una verifica dell’effettiva proprietà del dominio in questione.
Infine è possibile registrarsi nel sito (“Notify Me“) per ricevere una notifica in caso venisse trovata la propria email o dominio (nel caso di aziende) in una compromissione futura.

Share on facebook
Share on twitter
Share on linkedin
Share on google
Roberto Jobet

Roberto Jobet

Sono un tecnico informatico e mi occupo di sicurezza di siti WordPress da diversi anni. Offro servizi professionali di analisi e di messa in sicurezza per tutelare la riservatezza, l'integrità e la disponibilità di sistemi WordPress.

Tutti gli articoli

Altri articoli che potrebbero interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *