Come e perché scegliere una password efficace?
Scegliere una password efficace e robusta è molto importante per proteggere le tue informazioni personali online, soprattutto se si tratta di conti bancari e simili.
Di seguito puoi trovare alcuni consigli per scegliere una password efficace:
- usa una password diversa per ogni sito: se fai fatica a ricordare molte password esistono diversi programmi per salvarle;
- evita di richiamare la tua anagrafica (nome, cognome, data di nascita) o nome utente; evita anche di usare nomi di animali domestici o simili che siano facilmente riconducibili a te, attraverso i social ad esempio;
- usa una password lunga (almeno 16 caratteri) e che contenga almeno una lettera minuscola, almeno una maiuscola, almeno un carattere speciale e almeno un numero;
- evita di usare lo stesso carattere più di due volte di seguito.
Inoltre, non basta scegliere una password robusta per proteggersi: è molto importante stare attenti ai tentativi di phishing, cambiare regolarmente le password (soprattutto se sono state esposte in un attacco hacker) e attivare l’autenticazione a due fattori (quando disponibile).
Se ancora non sei convinto di quanto sia importante scegliere una password robusta, ecco alcuni esempi di password e relativo tempo necessario a decifrarla in caso di attacco hacker:
| qwertyaz | Istantaneamente |
| abcpqrzyxkwl | 2 secondi |
| Pass734 | 7 secondi |
| Pass734ab | 7 ore |
| R23ts!p@6Yj | 34 anni |
| R23ts!p@6Yj& | 3.000 anni |
| R23ts!p@6Yj&AFj4#9 | 438.000 miliardi di anni |
Quali controlli posso fare in una classica Campagna Bug Hunting?
Ogni prodotto ha le sue caratteristiche e ogni Campagna ha degli obiettivi specifici e/o degli Out Of Scope, quindi ricordati di leggere con attenzione il manuale prima di mettere in pratica i consigli che seguono:
- Controlla che il sito e l’applicazione richiedano delle password efficaci (vedi sopra il paragrafo relativo), che vengano effettuate le opportune verifiche sul rispetto dei requisiti della password e che compaia un errore chiaro e completo in caso di password non valida. Ad esempio, verifica che i requisiti della password siano chiari fin da subito e che non compaiano solo nel caso in cui la password sia troppo debole;
- verifica che i controlli sulla password siano i medesimi anche nella sezione del profilo dedicata al cambio password;
- verifica la ricezione dei link per recuperare la password e che non possa essere usato più di una volta
- verifica che sia presente un campo “conferma password”
- verifica che se la password non coincide con la sua conferma, non sia possibile iscriversi e che compaia un errore chiaro e preciso
- verifica che la password sia case sensitive
Quali sono le password più usate nello scorso anno (2022)?
Di seguito una tabella con le password più usate a livello Globale, in Italia, Regno Unito e Spagna:
Ricordati anche che TRYBER. e Unguess Srl non sono in alcun modo responsabili di azioni illegali eseguite da parte tua, anche se effettuate in buona fede. Evita quindi attacchi brute force o simili e limitati solo ai normali controlli che sono richiesti su una Campagna di Bug Hunting. Se sei un esperto di sicurezza informatica puoi registrarti su whitejar.io per svolgere Campagne di Ethical Hacking.
TRYBER TEAM