Per evitare che le tue password vengano violate da social engineering, forza bruta o metodo di attacco del dizionario e mantenere al sicuro i tuoi account online, dovresti notare che:

1. Non utilizzare la stessa password, domanda di sicurezza e risposta per più account importanti.

2. Utilizzare una password di almeno 16 caratteri, utilizzare almeno un numero, una lettera maiuscola, una lettera minuscola e un simbolo speciale.

3. Non usare i nomi dei tuoi familiari, amici o animali domestici nelle tue password. In alcuni casi, ad esempio, hai più di 100 bitcoin, quindi non dovresti far conoscere le tue password a nessuno tranne a tua madre, anche tuo padre non è abbastanza affidabile.

4. Non utilizzare codici postali, numeri civici, numeri di telefono, date di nascita, numeri di carte d'identità, numeri di previdenza sociale e così via nelle password.

5. Non utilizzare alcuna parola del dizionario nelle password. Esempi di password complesse: ePYHc~dS*)8$+V-' , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Esempi di password deboli: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Non utilizzare due o più password simili che la maggior parte dei loro caratteri sono uguali, ad esempio, ilovefreshflowersMac, ilovefreshflowersDropBox, poiché se una di queste password viene rubata, significa Tutte queste password sono state rubate.

7. Non usare qualcosa che può essere clonato (ma non puoi cambiare) come password, come le impronte digitali.

8. Non lasciare che i tuoi browser Web (FireFox, Chrome, Safari, Opera, IE, Microsoft Edge) memorizzino le tue password, poiché tutte le password salvate nei browser Web possono essere rivelate facilmente.

9. Non accedere ad account importanti sui computer di altri, o quando si è connessi a un hotspot Wi-Fi pubblico, Tor, VPN gratuita o proxy web.

10. Non inviare informazioni sensibili online tramite connessioni non crittografate (ad esempio HTTP o FTP), perché i messaggi in queste connessioni possono essere sniffati con pochissimo sforzo. Dovresti usare connessioni criptate come HTTPS, SFTP, FTPS, SMTPS, IPSec quando possibile.

11. Quando viaggi, puoi crittografare le tue connessioni Internet prima che lascino il tuo laptop, tablet, telefono cellulare o router. Ad esempio, puoi configurare una VPN privata con protocolli come WireGuard (o IKEv2, OpenVPN, SSTP, L2TP su IPSec) sul tuo server (computer di casa, server dedicato o VPS) e connettersi ad esso. In alternativa, è possibile impostare un tunnel SSH crittografato tra il computer e il proprio server e configurare Chrome o FireFox per utilizzare socks proxy. Quindi, anche se qualcuno cattura i tuoi dati mentre vengono trasmessi tra il tuo dispositivo (ad esempio laptop, iPhone, iPad) e il tuo server con uno sniffer di pacchetti, non sarà in grado di per rubare i tuoi dati e password dai dati di streaming crittografati.

12. Quanto è sicura la mia password? Forse credi che le tue password siano molto forti, difficili da hackerare. Ma se un hacker ha rubato il tuo nome utente e il valore di hash MD5 della tua password dal server di un'azienda, e la tabella arcobaleno dell'hacker contiene questo hash MD5, allora la tua password verrà violata rapidamente.

     Per verificare la forza delle tue password e sapere se sono all'interno delle popolari tabelle arcobaleno, puoi convertire le tue password in hash MD5 su un generatore di hash MD5, quindi decifrare le tue password inviando questi hash a un servizio di decrittografia MD5 online. Ad esempio, la tua password è "0123456789A", utilizzando il metodo di forza bruta, potrebbe essere necessario un computer di quasi un anno per decifrare la password, ma se la decifri entro Inviando il suo hash MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) a un sito Web di decrittografia MD5, quanto tempo ci vorrà per decifrarlo? Puoi eseguire il test da solo.

13. Si consiglia di cambiare le password ogni 10 settimane.

14. Si consiglia di ricordare alcune password master, memorizzare altre password in un file di testo normale e crittografare questo file con 7-Zip, GPG o un software di crittografia del disco come come BitLocker, o gestire le password con un software di gestione password.

15. Crittografa e esegui il backup delle password in luoghi diversi, quindi se hai perso l'accesso al computer o all'account, puoi recuperare rapidamente le password.

16. Attivare l'autenticazione in 2 passaggi quando possibile.

17. Non memorizzare le password critiche nel cloud.

18. Accesso a siti web importanti (es. Paypal SNS.show) direttamente dai segnalibri, altrimenti controlla attentamente il suo nome di dominio, è una buona idea controllare la popolarità di un sito web con la barra degli strumenti di Alexa per assicurarti che sia non un sito di phishing prima di inserire la password.

19. Proteggi il tuo computer con firewall e software antivirus, blocca tutte le connessioni in entrata e tutte le connessioni in uscita non necessarie con il firewall. Scaricare il software solo da siti affidabili e verificare il checksum MD5 / SHA1 / SHA256 o la firma GPG del pacchetto di installazione quando possibile.

20. Mantenere i sistemi operativi ( es. Windows 7, Windows 10, Mac OS X, iOS, Linux) e i browser Web ( es. Firefox, Chrome, IE, Microsoft Edge) dei tuoi dispositivi ( es. Windows PC, Mac PC, iPhone, iPad, tablet Android) aggiornato installando l'ultimo aggiornamento della sicurezza.

21. Se ci sono file importanti sul computer, e si può accedere da altri, controllare se ci sono keylogger hardware (ad esempio, wireless sniffer tastiera), keylogger software e nascosto telecamere quando lo ritieni necessario.

22. Se ci sono router WIFI nella tua casa, allora è possibile conoscere le password che hai digitato (nella casa del tuo vicino) rilevando i gesti delle dita e delle mani, poiché il segnale WIFI che hanno ricevuto cambierà quando muovi le dita e le mani. Puoi usare una tastiera su schermo per digitare le tue password in questi casi, sarebbe più sicuro se questa tastiera virtuale (o tastiera morbida) cambiasse layout ogni volta.

23. Blocca il computer e il telefono cellulare quando li lasci.

24. Crittografa l'intero disco rigido con VeraCrypt, FileVault, LUKS o strumenti simili prima di inserire file importanti e distruggere fisicamente il disco rigido dei tuoi vecchi dispositivi se necessario.

25. Accedere a siti Web importanti in modalità privata o in incognito, oppure utilizzare un browser Web per accedere a siti Web importanti, utilizzarne un altro per accedere ad altri siti. Oppure accedere a siti Web non importanti e installare nuovo software all'interno di una macchina virtuale creata con VMware, VirtualBox o Parallels.

26. Usa almeno 3 indirizzi email diversi, usa il primo per ricevere email da siti e App importanti, come Paypal, Amazon, SNS.show usa il secondo per ricevere e-mail da siti e app non importanti, utilizzare il terzo (da un provider di posta elettronica diverso, come Outlook e GMail) per ricevere l'e-mail di ripristino della password quando il primo (ad esempio Yahoo Mail) è stato violato.

27. Utilizzare almeno 2 diversi numeri di telefono, non dire ad altri il numero di telefono che si utilizza per ricevere messaggi di testo dei codici di verifica.

28. Non fare clic sul collegamento in un messaggio di posta elettronica o SMS, non reimpostare le password facendo clic su di esse, tranne che sai che questi messaggi non sono falsi.

29. Non comunicare le password a nessuno nell'e-mail.

30. È possibile che uno dei software o app scaricati o aggiornati sia stato modificato dagli hacker, è possibile evitare questo problema non installando questo software o app sul sito Web. prima volta, tranne che è pubblicato per correggere i buchi di sicurezza. Puoi invece utilizzare app basate sul Web, che sono più sicure e portatili.

31. Fai attenzione quando usi strumenti di incolla online e strumenti di cattura dello schermo, non lasciare che carichino le tue password nel cloud.

32. Se sei un webmaster, non memorizzare le password degli utenti, le domande di sicurezza e le risposte come testo normale nel database, è necessario memorizzare il salato (SHA1, SHA256 o SHA512 ) valori di hash di queste stringhe invece. Si consiglia di generare una stringa di sale casuale unica per ogni utente. Inoltre, è una buona idea registrare le informazioni sul dispositivo dell'utente (ad es. versione del sistema operativo, risoluzione dello schermo, ecc.) e salvare i valori hash salati di essi, quindi quando tenta di accedere con la password corretta ma le informazioni sul suo dispositivo non corrisponde al precedente salvato, consente a questo utente di verificare la propria identità inserendo un altro codice di verifica inviato tramite SMS o e-mail.

33. Se sei uno sviluppatore di software, dovresti pubblicare il pacchetto di aggiornamento firmato con una chiave privata usando GnuPG e verificarne la firma con la chiave pubblica pubblicata in precedenza.

34. Per mantenere la tua attività online al sicuro, dovresti registrare un nome di dominio e creare un account di posta elettronica con questo nome di dominio, quindi non perderai la tua email account e tutti i tuoi contatti, poiché puoi ospitare il tuo server di posta ovunque, il tuo account di posta elettronica non può essere disabilitato dal provider di posta elettronica.

35. Se un sito di shopping online consente solo di effettuare pagamenti con carte di credito, allora dovresti invece utilizzare una carta di credito virtuale.

36. Chiudere il browser Web quando si lascia il computer, altrimenti i cookie possono essere intercettati facilmente con un piccolo dispositivo USB, rendendo possibile bypassare la verifica in due passaggi e accedere nel tuo account con cookie rubati su altri computer.

37. Diffida e rimuovi i certificati SSL difettosi dal tuo browser Web, altrimenti non sarai in grado di garantire la riservatezza e l'integrità delle connessioni HTTPS che utilizzano questi certificati.

38. Crittografa l'intera partizione di sistema, altrimenti disattiva le funzioni pagefile e hibernation, poiché è possibile trovare i tuoi documenti importanti nei file pagefile.sys e hiberfil.sys.

39. Per prevenire attacchi di accesso brute force ai server dedicati, ai server VPS o ai server cloud, è possibile installare un software di rilevamento e prevenzione delle intrusioni come LFD (Login Failure Daemon) o Fail2Ban.

40. Se è possibile, utilizzare software basato su cloud invece di installare il software sul dispositivo locale, dal momento che ci sono sempre più attacchi della supply chain che installeranno applicazioni dannose o aggiornare sul dispositivo per rubare le password e accedere ai dati top secret.

41. È una buona idea generare i checksum MD5 o SHA1 di tutti i file sul tuo computer (con software come MD5Summer) e salvare il risultato, quindi controllare l'integrità di i tuoi file (e trovare i file trojan o programmi con backdoor iniettato) ogni giorno confrontando i loro checksum con il risultato salvato in precedenza.

42. Ogni grande azienda dovrebbe implementare e applicare un sistema di rilevamento delle intrusioni basato sull'intelligenza artificiale (compresi gli strumenti di rilevamento delle anomalie del comportamento della rete).

43. Consenti solo agli indirizzi IP che sono nella whitelist di connettersi o accedere ai server e ai computer importanti.

44. Sai che puoi nascondere uno o più file in un altro file? Ad esempio, in Linux, è possibile utilizzare questo comando "cat file1.mp4 file2hide.gpg> file2.mp4" per aggiungere il file file2hide.gpg alla fine del file file1.mp4, e generare un nuovo file chiamato file2.mp4. Il nuovo file (file2.mp4) è ancora riproducibile in tutti i lettori multimediali come VLC, se si sceglie di nascondere in un file PDF o in un file FLAC, l'output file può essere aperto con qualsiasi visualizzatore pdf o lettore musicale senza alcun problema, troppo. Per dividere il file di output, puoi usare il comando "tail" insieme al comando "split", puoi anche scrivere un piccolo codice per fare questo lavoro.