Sicurezza informatica in 4 step

Il tema del 2023, Secure Our World, invita tutti a intraprendere quattro azioni chiave durante tutto l’anno. Vediamole in dettaglio.

1- Utilizzare password forti e un password manager

Sapevate che le password compromesse sono responsabili dell’81% delle violazioni legate agli attacchi di hacker? Questo ci ricorda che l’uso di password forti è uno dei modi più semplici per proteggere gli account e tenere al sicuro le informazioni. Ecco alcune pratiche essenziali da seguire:

• Creare una password forte – Se utilizzate ancora una password debole come “password”, consideratela violata. Create invece password di almeno 16 caratteri e con una complessità unica. Evitate di utilizzare sequenze numeriche o di testo (ABCD, 1234, qwerty) e informazioni facilmente identificabili come nomi e compleanni per comporre le vostre password, ma cercate di formularne una che persino Sherlock Holmes avrebbe difficoltà a decifrare.
• Evitare il riutilizzo di password – Considerate le vostre password come impronte digitali; ognuna deve essere unica. Il riutilizzo delle password rende vulnerabili ai cyberattacchi come gli attacchi brute-force e il credential stuffing. Creare una password unica per ogni account limita le conseguenze in caso di violazione.
• Utilizzare un password manager – I password manager vi liberano dai post-it o dall’onere di ricordare le password. L’unica cosa di cui avrete bisogno è una sola password per accedere al vostro password manager, in grado di creare, memorizzare e compilare automaticamente le password e di generare combinazioni complesse.

2- Abilitare l’autenticazione a più fattori (MFA)

 Secondo Microsoft, l’abilitazione dell’MFA può ridurre del 99% le probabilità di essere violati. Perché? Perché l’MFA richiede una combinazione di due o più autenticatori per verificare l’identità prima che sia concesso l’accesso all’account. Anche se un criminale informatico riuscisse a decifrare la password, deve soddisfare il secondo requisito di autenticazione per poter accedere all’account.
L’MFA richiede:

• Qualcosa che si conosce: un numero PIN o una password.
• Qualcosa che si possiede: un’applicazione di autenticazione o un testo di conferma sul telefono.
• Qualcosa di personale: una scansione delle impronte digitali o un riconoscimento facciale.

Si noti che non tutti i metodi MFA offrono lo stesso livello di protezione. L’MFA resistente al phishing è lo standard a cui i leader del settore dovrebbero aspirare, ma qualsiasi MFA è meglio di nessun MFA.

3- Aggiornare il software

Prima di premere istintivamente il pulsante “ricordami più tardi”, è importante capire l’importanza degli aggiornamenti software. I fornitori di tecnologia rilasciano aggiornamenti del software per correggere le falle di sicurezza più urgenti, e non mantenere il software aggiornato potrebbe lasciarvi senza protezione.
Ecco cosa è necessario tenere aggiornato:

• Il sistema operativo
• Il browser web e le estensioni
• Le applicazioni di terze parti
• Gli antivirus

Per rendere questi aggiornamenti più convenienti, impostate gli aggiornamenti automatici in modo che vengano scaricati e installati non appena disponibili. Ricordate di scaricare software e applicazioni solo da fonti verificate e da app store ufficiali. Gli aggiornamenti devono essere inviati dal dispositivo, dal software o dallo sviluppatore dell’app, non da altri.

4- Riconoscere e segnalare il phishing

 Il phishing consiste nell’invio di messaggi da parte di malintenzionati che fingono di essere persone fidate o entità autentiche. Si tratta della forma più comune di criminalità informatica. I segni rivelatori del phishing sono:

• Linguaggio emotivamente attraente
• Senso di urgenza a cliccare subito
• Richiesta di inviare informazioni personali o finanziarie
• Allegati inaspettati
• URL abbreviati non sicuri
• Indirizzi e-mail che non corrispondono al presunto mittente

Quando ci si imbatte in un messaggio sospetto, utilizzare la funzione “segnala spam”. Nel caso in cui il messaggio si spacci per un’organizzazione di cui ci si fida, è bene informare l’organizzazione stessa, utilizzando le informazioni di contatto presenti sul suo sito web ufficiale. Infine, cancellate i messaggi sospetti. Non rispondete e non cliccate su nessun allegato o link, compreso il link “unsubscribe”, che potrebbe contenere un link utilizzato per il phishing.