Cambiare password non basta: come tutelare i nostri dati online

I giganteschi furti di dati degli ultimi mesi ci hanno insegnato che qualunque nostro dato può essere trafugato. Ecco come scoprire quanto siamo esposti ai rischi digitali e come minimizzare l'esposizione agli attacchi informatici

Fare attenzione ai propri dati, bisogna ammetterlo, è piuttosto noioso: quindi anche online, preferiamo spesso la praticità alle precauzioni. Le statistiche non lasciano scampo: siamo pessimi quando si parla di proteggere i nostri dati. Anche nel 2018 la password più usata mondo è stata “123456”, seguita da una altrettanto pessima “password”. Usiamo queste parole banali per pigrizia o per disattenzione, anche se sappiamo che è sbagliato. E le brutte notizie non finiscono qui: all’inizio di febbraio 2019 alcuni anonimi hanno reso pubblicamente scaricabili Collection #1 e Collection #2-5. Sono giganteschi archivi con più di due miliardi di account violati, tutto con relativa password. E quindi, anche se chiave d’accesso che abbiamo scelto è robusta, è molto probabile che sia stata trafugata durante uno dei grandi attacchi informatici degli ultimi anni, come quello ad Adobe, a LinkedIn, a Yahoo! o a Dropbox. Per scoprire se i nostri dati sono a rischio, basta inserire il vostro indirizzo email su questo sito, che ci dirà come i criminali informatici ne sono entrati in possesso.

Cosa fare allora? Innanzitutto cambiamo le password degli account esposti. Poi non potete abbandonarvi al fatalismo. E allora ecco alcuni consigli per acquisire consapevolezza e minimizzare i rischi.

Attivate la “verifica in due passaggi”. È un doppio codice di verifica, generato attraverso lo smartphone, da inserire dopo la password. È la più robusta misura di difesa disponibile. Così, se qualcuno ha violato la vostra password non potrà comunque accedere all’account. Da Google a Facebook, fino ad Amazon e Microsoft, oggi la maggior parte dei servizi prevedono questa opzione. Se un servizio che fa uso pesante dei vostri dati (come l’email o un social network) non la prevede, meglio scegliere una piattaforma alternativa.

Dimenticate le vecchie regole sulle password. È quasi una litania: “usate una maiuscola, un numero e un carattere speciale”. Peccato che tutto ciò sia insufficiente, come scrive il NIST. Perché, con l’attuale potenza di calcolo, qualunque parola d’accesso fino a 9 caratteri può essere scovata dai criminali in pochi secondi. Quindi:

  • Le password sono sicure solo se estremamente lunghe: non abbiate paura di superare i 20 caratteri. Come ricordarle allora? Usate associazioni analogiche: parole inventate senza senso, come farebbe un bambino. Per esempio “AqquaGATTTOilluminaTTO” è facile da ricordare e, per chi vi attacca, difficile da indovinare.
  • Il punto precedente è un espediente da usare solo per le chiavi d’accesso da non salvare mai, come quelle del vostro password manager (ne parleremo tra poco), per tutto il resto: l’unico principio davvero sicuro è affidarsi a sequenze del tutto casuali, come “osK2#Mk4I!!3KLrEmP1Jr!$Sr7”. Ogni altro trucchetto vi metterà a rischio.
  • Se allora le vostre password saranno casuali, lunghe e uniche (mai usare la stessa chiave per più siti), usate un software come LastPass per memorizzarle. È una cassaforte per desktop e smartphone che terrà al sicuro tutto, ed è protetto da un’unica “master password”, da mandare a memoria.

Evitate l’autenticazione con Google, Facebook o altri. La cosiddetta “open authentication” è comoda, ma è molto vulnerabile e dà un’inutile mole di dati sia al sito sul quale vi state registrato sia nei confronti di Google o Facebook. Controllate quali servizi avete lasciato attivi e rimuovete quelli inutili (qui come fare con Facebook, qui con Google).

Limitate le possibilità di tracciamento. Se avete cercato un nuovo telefono e siete inseguiti da annunci di smartphone qualunque sito visitiate è perché esistono infiniti sistemi per collezionare informazioni: il tipo di dispositivo, la risoluzione dello schermo, il browser, i siti già visitati. E, in questo caso, la “navigazione anonima” non serve a nulla. Lo ha dimostrato l’Electronic Frontier Foundation con Panopticlick. In questo caso, qualche regola di base è:

  • Installate le estensioni per browser Privacy Badger e https everywhere
  • Limitate la dipendenza da Google e date una possibilità a un motore di ricerca che non traccia, come Duck Duck Go
  • Non usate la vostra vera casella di posta ma, per registrarvi a siti che userete poche volte, generate un’email usa e getta, con questo servizio.
  • Non date troppe informazioni su di voi, né sui form né sui social. Tutto ciò potrà essere usato per risalire alle vostre abitudini e, magari, tentare un furto di identità.
  • Quando un sito chiede un documento d’identità, modificate la foto inserendo data e nome del servizio. In questo modo non potrà essere riciclato da malintenzionati. Perché, con la vostra carta a disposizione, un criminale può – ad esempio – prenotare un albergo.

Mai fidarsi delle email non richieste. È il cosiddetto phishing: un messaggio di posta che simula un’istituzione o una piattaforma per estorcervi informazioni: password, numeri di telefono o dati bancari. Se qualcuno vi sta chiedendo qualcosa del genere, meglio sembrare antipatici e chiedere il perché della richiesta. E, soprattutto, verificate l’indirizzo del mittente, se non corrisponde al sito ufficiale del servizio, cestinate immediatamente.

Proteggete lo smartphone. Lo dimentichiamo sul tavolo, è esposto alle sbirciate indiscrete dei passanti e, nel peggiore dei casi, lo perdiamo. Con tutti i nostri dati. Allora:

  • Bloccate il telefono, con il riconoscimento facciale o l’impronta digitale. In generale, però, meglio usare un pin numerico rispetto alle sequenze di sblocco.
  • Disabilitate i messaggi di notifica quando il telefono è bloccato: qualcuno potrebbe leggere i vostri messaggi privati quando lo smartphone è incustodito.
  • Controllate sempre a cosa stanno accedendo le app: non date accesso a microfono, posizione o alla rubrica se non è davvero necessario.
  • Sui dispositivi Android, evitate di abilitare la funzione “installa app da origini sconosciute”, è la porta d’accesso per tutti i software malevoli.

Il Wi-Fi pubblico è comodo, ma meglio evitare. Ormai i piani tariffari sono economici quindi, se potete farne a meno, non usate una connessione wireless in luoghi che ritenete sicuri. Perché, anche con conoscenze medio-basse, un criminale può collegarsi alle reti Wi-Fi, intercettare il traffico non protetto e ascoltare tutti i dati che passano dai vostri device ai servizi.

E infine: trattate i vostri dispositivi come la vostra casa. Ogni tanto vanno puliti. Cambiate periodicamente le password, disinstallate programmi e software che non usate (ricordate che, in qualche modo, vi stanno tracciando), cancellate l’iscrizione a newsletter o servizi che non vi servono. E, come quando chiudete la porta, ricordiamoci di fare il log out quando non utilizzate un device personale (come ad esempio in ufficio).

E voi siete attenti ai vostri dati personali? Quali precauzioni usate per proteggere i vostri dati? Raccontatecelo nei commenti.