Come mettere al sicuro il proprio account Twitter


Pubblicato il: 26-10-2020 10:00 , Ultimo aggiornamento: 25-10-2020 23:32

Se abbiamo un account Twitter, è salutare e consigliabile che ogni tanto andiamo a cambiare la password. Per quanto la circostanza non colpisca troppo frequentemente, e le misure di sicurezza informatica in tal senso siano decisamente migliorate negli ultimi anni, la circostanza non deve essere sottovalutata. Se non cambiamo spesso la password, in genere, rischiamo che prima o poi qualcuno la indovini e ci possano rubare l’account.

Si pensa troppo poco alla sicurezza in generale, specialmente in ambito web in cui i nostri dati sono a rischio furto perennemente, così come i nostri siti corrono rischi di ogni genere più o meno ogni giorno. Per qualche strana ragione, pero’, si pensa esclusivamente (quelle poche volte in cui lo si fa) ai siti hosted in termini di sicurezza piuttosto che, come sarebbe più giusto, anche sugli account dei siti che utilizziamo: Twitter, Linkedin ed ovviamente Facebook.

In questo articolo mostrerò come mettere in sicurezza il vostro account Twitter.

Come scegliere la password

Partiamo dall’inizio, cioè dalla password: qual è la vostra?

Una data di nascita, forse? Argh.

Oppure una parola tipo password o ingresso? No, vi prego…

O magari il vostro numero di telefono? Aiuto… non lo fate.

Cambiate subito la vostra password se rientra nella categoria “cose banali, parole comuni, dati pubblici (un numero di telefono, alla fine, è un nostro dato pubblico) o parole brevi facili da ricordare“.

In effetti qualsiasi password che sia stata stampata su carta in passato o nel presente, o che sia legata ad informazioni pubbliche, che sia semplicemente un numero intuitivo e via dicendo è molto rischiosa: si riesce a risolvere questo approccio cambiando password periodicamente (almeno una volta al mese, massimo ogni due) e cercando di alternare i numeri (i più facili da ricordare, in effetti) con le lettere e/o qualche simbolo non alfabetico tipo ?, #, † e così via.

Trovare una password robusta

Mia idea: tra le scelte più originali (e robuste), ci sono password che ricalcano parole gergali o dialettali, frammiste a simboli come punti esclamativi o virgole: ad ogni modo, è bene tenere conto che ci sono liste di password in giro sfruttate variamente dagli attaccanti (no, non li chiamerò impropriamente hacker per l’ennesima volta), per cui assicuratevi che la vostra password non sia presente, quantomeno, in quelle liste. Nessuna scelta vi darà mai la certezza assoluta di stare al sicuro per cui, quantomeno, sappiatelo.

Sul web girano pubblicamente liste di password rubate da siti, tra cui potreste trovare anche quella che state usando ed essere così a rischio. Esempi di liste di password che purtroppo sono diffuse su Google (cliccare per visualizzare le ricerche, attenzione che molti risultati sono file dell’ordine dei mega, e potrebbero bloccare il vostro browser):

  1. password list
  2. password list wordpress
  3. password list joomla

Per fare prima, se state testando la password “letmein” (una password molto comune che è bene NON usare mai), ad esempio, potete cercare su Google:

e se appare una schermata del genere, con almeno un risultato e la corrispondenza della password scelta all’interno delle SERP (Search Engine Results Page di Google, cioè le pagine dei risultati di ricerca):

allora NON si tratta di una buona password da scegliere.

Se invece appare una cosa del genere per la password burumpu-656

In questo caso Google evidenzia la ricerca della password con la frase “Mancanti”, quindi vuol dire che non ci sono corrispondente. In questo esempio, peraltro, sto suggerendo apertamente di usare una password specifica, per cui Google quasi certamente mostrerà questa pagina nei propri risultati di ricerca e questa è una buona ragione per non usare quella password. Il senso è:

se scegliete una password, cercatela su Google prima di impostarla. Se esce almeno un risultato di ricerca con quella parola, meglio non usarla come password.

Quindi, per riassumere, la vostra password di Twitter dovrebbe:

  • essere composta da frasi lunghe;
  • essere fatta da una parola inventata che ricordate facilmente;
  • dovrebbe contenere lettere (ciao non è una buona password) e numeri (ciao123 … insomma) ma anche da

Scegliere una password con il “criterio delle frasi” di xkcd

C’è un ulteriore pero‘ anche a questo approccio, in effetti. Se avete voglia di curiosare c’è un criterio molto efficace esposto dal webcomic xkcd – roba parecchio nerdistica, ma tant’è – che riporto su questa pagina, e che è tratta dalla striscia Password Strength.

Funziona così: in primo luogo si presenta il criterio basilare che è sulla falsariga di quanto ho scritto. In altri termini

  1. si parte da una parola non-gibberish (non banale) e la si modifica alterando maiuscole, minuscole e mettendo segni di interpunzione a caso;
  2. incredibilmente, in questo caso la password si potrebbe indovinare mediante bruteforce, almeno in teoria, in circa 3 giorni contando 1000 tentativi al secondo (il calcolo viene fatto sull’entropia di bit, e potete fidarvi sulla parola che bastano 3 giorni); se non altro, questi siti sono spesso dotati di sistemi anti-bruteforce che bannano gli IP troppo “insistenti”.
  3. ulteriore problemino: avete creato password spesso difficili da ricordare per l’utente medio, per cui creano problemi nell’uso comune del vostro account.

Approccio alternativo? Prendere 4 parole casuali piuttosto comuni, possibilmente scorrelate tra loro: nell’esempio sono horse, battery, staple e correct. Parole che vengono scherzosamente messe in relazione per costruire una vostra “immagine mentale” agevole, o quasi, per voi da ricordare. Mettendole in sequenza, adesso, uscirà fuori una stringa di caratteri molto lunga che richiede, questa volta, 550 anni a 1000 tentativi al secondo. Non c’è male, insomma, se contate che difficilmente un vostro account sopravviverà più di 30-40 anni… Se avete voglia di usare questo approccio, c’è il sito correcthorsebatterystaple.net che fa esattamente al caso vostro. Il vero segreto, quindi, è la lunghezza della password e non tanto la sua “alternanza di caratteri” (che comunque ha la sua importanza contro gli attacchi “manuali” al login del vostro sito).

Come far diventare una password la vostra parola preferita

Mi è stato segnalato un tool piuttosto carino, a proposito di password, che si chiamata Password Meter: in pratica fa una cosa molto semplice, ovvero testa una parola che voi scrivete come password e la “complica” a sufficenza in modo che diventi una password accettabile. Per molti utenti non informatici, in effetti, è piuttosto complesso comprendere cosa significhi “complicare” una frase dal punto di vista di un computer, e questo tool è utile perchè lo fa diventare automatico.

Se ad esempio provo a farmi valutare “salvatore capolupo” come password, prima mi dice che non va bene (usare il vostro nome come password non è una buona idea, ovviamente), e infatti mi da’ punteggio 23/100:

Posso pero’ cliccare sui tre bottoni “fix” o correttori in basso per rendere questa frase una password valida, che diventerà da così:

a così:

che è una password di buona qualità e relativamente facile da scrivere, abbastanza difficile da indovinare e agevole ricordare in futuro. Cliccando su Randomize, per inciso, genererà lui una password casuale con la corretta complessità.

Il punto è che bisogna trovare un compromesso tra password che non siano letteralmente impossibili da digitare e password troppo banali, e per fortuna tool del genere cercano di trovare un compromesso. C’è anche un altro generatore di password come quello di Secure Password Generator, in effetti, ma il criterio di generazione è un po’ troppo complesso e le password sono, per quanto efficaci, difficili da copiare ricordare e/o digitare a memoria.

Come disattivare le app sospette di Twitter

Le app permettono a Twitter di attivare servizi come: commentare su altri blog col vostro account, autopubblicare post e così via: tutto molto bello e simpatico se non fosse che molte app sono malevole. Per disattivare quelle sospette:

  1. click sulla rotellina a destra di Twitter e poi “Impostazioni”;
  2. cliccate su “App” a sinistra;
  3. revocate l’accesso alle app sospette, segnalate come fallate e via dicendo.

È anche una buona idea, ogni tanto, rivedere le app che hanno i grant (cioè i permessi) di accedere al vostro account per evitare che diventiate veicolo di spam e che qualcuno pubblichi link o altro per vostro conto.

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Come mettere al sicuro il proprio account Twitter di Salvatore Capolupo su Trovalost.it
Come mettere al sicuro il proprio account Twitter (Guide)

Articoli più letti su questi argomenti:
Trovalost.it è gestito, mantenuto, ideato e (in gran parte) scritto da Salvatore Capolupo