Archives For Security

Il titolo è volutamente simile a quanto già scritto poco tempo fa, e vuole analizzare alcuni consigli che anche io cerco di dare a chiunque si mette a preparare una nuova installazione WordPress (spero prima per sé, poi forse –con buona esperienza sulle spalle– anche per altri), anche se in realtà i concetti di base valgono per qualsiasi accesso a qualunque servizio disponibile sulla grande rete. Basandomi sul blog di chi iThemes Security lo scrive, riporto alcuni passaggi secondo me fondamentali.

WordPress e Authy: autenticazione OneTouch 6

According to this infographic by WP Template on WordPress safety, insecure WordPress themes and plugins contribute to over 50% of all successful WordPress hacks.

Plugins and themes have to go through a screening process before they are released for public use from the WordPress.org plugin repository, so it is important to download your plugins and themes from trustworthy sources and always keep active themes and plugins update to the latest version.

fonte: ithemes.com/2016/11/08/wordpress-hacks

e ancora:

Using the same password on multiple sites is risky.

Using strong passwords for all your logins is one of the best online security practices you can develop.

The best practice to follow is creating a different password for every sing website you are registered on. Definitely don’t use the password you use for your bank account on another site.

An average of 30,000 sites are hacked every day.
This should give you an idea of how many people are affected by cyber attacks, and motivate you to use stronger passwords.

fonte: ithemes.com/2016/11/04/brute-force-attacks

Che poi non è che proprio ci voglia la scala eh. Strumenti come KeePass o simili (anche quelli completamente in cloud) sono fatti apposta per ricordarti password altrimenti (probabilmente) molto difficili da ricordare, soprattutto quando decidi di lasciare fare loro nella fase di generazione di una nuova password complessa. Vale anche il vecchio (ma ancora perfetto) consiglio del “utilizza password apparentemente stupide“, perché ti assicuro che “Il cavallo bianco di Napoleone!” può essere una password certamente più complessa della targa della tua automobile (puoi provare tu stesso su passwordmeter.com, tanto per levarti la curiosità).

Sulla base di ciò, è semplice stilare una ToDo List da tenere sempre bene a mente:

  • Sempre tenere aggiornato il tuo WordPress. Questo vale per il motore principale del CMS, ma anche (soprattutto, in realtà) plugin, temi e codice personalizzato che potresti aver scritto e poi dimenticato lì dopo poco, offrendo una possibile backdoor poco simpatica. Se il server che lo ospita è controllato da te, occorre tenere aggiornato ciò che gli permette di stare online (server web, MySQL, PHP, ecc.).
  • Disinstallare sempre plugin e temi non più utilizzati. Perché qui non si tratta solo di pulizia (sicuramente necessaria per tenere sempre snella l’installazione), ma perché così si vanno a chiudere possibili ulteriori falle, esattamente come da ragionamento del precedente punto della lista.
  • Utilizzare password complesse per ciascun account, possibilmente. Perché se è vero che il tuo blog è aperto alle iscrizioni (e si basa così sul buon senso dei tuoi utenti), è -spero- anche vero che tu possa stabilire delle regole precise per le password di coloro che possono pubblicare qualcosa, o peggio che possono modificare il comportamento del blog intero (un amministratore, tanto per essere chiari).
  • Abilitare l’autenticazione in due fattori per WordPress. E qui ti rimando all’articolo dedicato ad Authy e alla sua possibile integrazione con WordPress, comoda, funzionale, sicura.
  • Cancellare o declassare l’account “admin” predefinito di WordPress. Detto e stradetto, anche nel mio precedente articolo sulla protezione degli accessi alla Dashboard amministrativa, perché quell’utente creato di default nel database, è sempre scomodo e attaccabile (perché è quello che si da per scontato che esista).
  • Scegliere un buon hosting provider per il proprio CMS. Perché la sicurezza comincia dalle fondamenta, e affidarsi a chiunque non è –probabilmente– la migliore scelta, almeno per come la vedo io (e non solo). Un buon partner (perché di questo si tratta, nda) è quello che è sempre attento e pronto ad affrontare una difficoltà, a suggerirti le prossime mosse da fare, a bloccare chi è sgradito prima che faccia danni (più di quanti ne abbia già fatti entrando nel tuo sistema), e che ci tiene alla salvaguardia dei tuoi dati ma anche di coloro che abitano nel tuo stesso “condominio” (quando si parla di hosting condiviso, molto diffuso e primo step per tutti).
  • Scarica plugin e temi solo da fonti sicure. Evita come la peste siti web che promettono di regalarti il tema all’ultimo grido, creati con ore di sudato lavoro e ricchi di plugin solitamente a pagamento, pacchetti “all-in-one” appositamente clonati da siti web che li vendono e supportano quotidianamente. Spesso quei temi contengono codice malevolo, codificato (quindi di difficile decodifica per chi è alle prime armi), da qui in poi è tutto un salto nel buio. Se pensi che un tema sia assolutamente irresistibile, valuta l’acquisto della sua licenza, otterrai così anche un aiuto qualificato in caso di problemi, certamente meno costoso di qualcuno in grado di rimetterti in piedi dopo un deface (o simile) ai danni del tuo sito web.

Hai altri consigli? Vuoi raccontare la tua esperienza e dare qualche suggerimento in merito? L’area commenti –manco a dirlo– è a tua completa disposizione :-)

Qualche tempo fa ho avuto un problema piuttosto fastidioso: qualcuno ha deciso che uno specifico articolo di questo blog era poco gradito, buon (?) motivo per rompermi le scatole e saturare le risorse messe a disposizione dal mio hosting provider (che ringrazio per la pazienza). Per cercare di correre ai ripari, ho incattivito l’opzione di un plugin che già utilizzavo e che utilizzo ancora oggi, iThemes Security (ex Better WP Security).

Proteggere WordPress da login non autorizzati

Ci sono molteplici modi per proteggere l’accesso al wp-login.php, questo è uno tra i tanti attuabili senza molta fatica, una soluzione tutto sommato semplice da mettere in piedi.

Il mio consiglio? Fallo dopo aver chiuso l’accesso al sito web “al pubblico“, perché se è vero che sei sotto attacco, è anche vero che le risposte del tuo blog potrebbero andare in timeout, non arrivare mai. Per chiudere l’accesso a tutti tranne che a te dovrai conoscere il tuo indirizzo IP (mioip.it aiuta in questi casi) e sbarrare le porte grazie al file htaccess. Farlo è semplice, ti basterà creare (o modificare quello esistente) il file inserendo questo pezzo di codice:

order deny,allow
deny from all
allow from 127.0.0.1

Sostituisci il 127.0.0.1 con il tuo IP, carica il file .htaccess nel tuo spazio web (ripeto: se lo hai già, modifica quello che hai e non sovrascriverlo) e il gioco è fatto. Nessuno potrà visitare il tuo sito web a eccezione di te. Così facendo dovresti tagliare fuori il resto del mondo e avere campo libero per lavorare.

Installa iThemes Security e attivalo, così possiamo passare alla sua configurazione, e nello specifico quella utile a proteggere il blog da ripetuti tentativi di accesso alla dashboard di amministrazione o a un URL in particolare (giocando un pelo in contropiede e cambiando le carte in corsa, per poi rimetterle al loro posto).

Il plugin propone moltissime opzioni che ti consiglio caldamente di analizzare, ragionare e attivare secondo tue necessità, io preferisco saltare sulla singola esigenza di stavolta, andiamo con ordine.

404 detection

Servirà a proteggerti da chi tenta di raggiungere costantemente URL non esistenti, le sue impostazioni (e i limiti oltre i quali mandare in ban l’IP di chi ci sta provando) si trovano però in Global Settings, nello specifico parlo di:

  • Blacklist Repeat Offender, che deve essere assolutamente attivo.
  • Blacklist Threshold, che corrisponde al numero di tentativi da abbuonare all’IP prima di escluderlo in maniera definitiva (impedendogli di visualizzare il sito web).
  • Blacklist Lookback Period, che corrisponde al numero di giorni durante i quali quell’IP continuerà a rimanere sotto controllo (per capirci: se il limite di lockout è 2, per il numero specificato di giorni basterà farne un altro per andare in ban, una soluzione molto secca, tanto chi attacca generalmente raggiunge il limite di lockout nel giro di qualche minuto al massimo).
  • Lockout Period, che corrisponde all’intervallo di tempo (in minuti) di allontanamento di quell’IP dal blog.
  • Lockout White List è invece il box adatto a raccogliere gli IP che non devono essere soggetti alle impostazioni sopra riportate.

In tutto questo, nella stessa tab (Global Settings, nda), potrai scegliere di essere avvisato dei lockout e dei ban a mezzo posta elettronica (l’opzione da spuntare è Enable Email Lockout Notifications), che poi è un po’ come avere l’immediato polso della situazione …

Proteggere WordPress da login non autorizzati 1

e pensa che quella che vedi qui sopra è solo una parte dei ban a me notificati nel periodo dell’attacco, in pratica un campo di battaglia senza esclusione di colpi (sono arrivato a toccare quota 400 ban circa in un paio di giorni).

Banned Users

Passa ora alla tab Banned Users e imposta ciò che credo possa esserti più utile, ovvero:

  • Default Blacklist, che ti permetterà di sfruttare liste già popolate e verificate, offerte da HackRepair.com.
  • Enable Ban Lists, che manco a dirlo è tutto ciò che serve per iniziare a fare la raccolta differenziata di IP che servono evidentemente poco alle tue visite, ma che minano per troppo tempo la tua pazienza.

Volutamente non ho specificato (almeno fino a oggi) degli User Agents specifici. Generalmente quelli più fastidiosi vengono lasciati liberi nel web da player molto grandi, motori di ricerca, servizi. Ricorda che potrai comunque appoggiarti a questa ulteriore funzione in qualsiasi momento, in caso di necessità.

Local Brute Force Protection

Ciò che più va a “braccetto” con la protezione relativa agli errori 404, opzioni che riguardano stavolta il login alla Dashboard amministrativa di WordPress e che –secondo me– devono essere altrettanto restrittive e di difficile perdono, perché se sei davvero il gestore del blog, hai anche la possibilità di chiuderti fuori dalla porta ma conoscere il trucco delle chiavi sotto al tappeto, andando a disabilitare il plugin (rinominando la sua cartella nello spazio FTP) in caso di errore ripetuto e non voluto.

  • Max Login Attempts Per Host: specifica qui il numero di tentativi massimi di login per un singolo host (IP) prima di finire nella lista dei cattivi, in alternativa puoi lasciarlo a zero per evitare di mandare in ban l’indirizzo IP e decidere di rendere sufficientemente cattivo il Max Login Attempts Per User, che si riferisce invece al numero massimo di login di uno specifico utente (che può utilizzare più IP sorgenti, giusto per capirci).
  • Minutes to Remember Bad Login (check period) indica, come per il Blacklist Lookback Period di prima, il tempo che deve passare prima che il plugin dimentichi uno dei tentativi andati a male precedentemente.
  • Automatically ban “admin” user è –infine– quella che preferisco, perché la prima regola di qualsivoglia installazione di WordPress è quella di andare a disattivare o eliminare completamente l’admin creato di default dall’installazione, creandone uno che abbia uno username del tutto differente. Se qualcuno tenta di entrare come “admin” nel tuo blog, probabilmente si tratta di un bot, meglio estirparlo sul nascere, senza pensarci due volte.

C’è altro?

Si, molto. C’è da dare un’occhiata alla Network Brute Force Protection, alla File Change Detection (ciò che ti avvisa nel caso in cui vengano modificati dei file), alla WordPress Tweaks (per disattivare opzioni non necessarie e regolare l’accesso a risorse di WordPress) e tanto altro ancora, davvero. Prenditi il tempo necessario, studia tutte le possibilità offerte dal plugin, valuta se l’opzione Pro (a pagamento) proposta dallo stesso sviluppatore fa al caso tuo, imposta la migliore configurazione tenendo presente che in caso di configurazione errata o particolarmente cattiva, potrebbe chiuderti fuori dalla porta senza neanche passare dal via e prendere le duemila lire.

Quanto fatto però non basta, perché se l’attacco è verso uno specifico URL esistente, dovrai temporaneamente mettere offline il contenuto, oppure scegliere di cambiargli indirizzo, almeno per un periodo durante il quale ogni attacco non andrà a buon fine e porterà direttamente al ban, raccogliendo una serie di IP dai quali proteggersi. Concludi l’operazione andando a rimettere a posto il file .htaccess precedentemente modificato, per permettere a tutti di accedere nuovamente al blog. Le risorse del provider saranno ora più che sufficienti e potrai sopportare nuovamente il tuo carico di visite, quelle vere e assolutamente gradite.

Dopo aver adottato la soluzione, ho potuto rimettere abbastanza rapidamente online il contenuto precedentemente attaccato, che ancora oggi fa parte degli archivi di questo blog e che spero possa rimanere lì per molto altro tempo (no, non dirò di quale si tratta) :-)

L’area commenti è –come sempre– a totale disposizione per ulteriori soluzioni, alternative, commenti, critiche costruttive e per raccolte di “beneficenza“, che Natale si avvicina e sta baracca bisogna pur pagarla per tenerla viva e vegeta.

Estote parati (cit.).

G

Ricevo quasi quotidianamente dei comunicati stampa di Codacons, l’associazione nata nel 1986 per difendere l’ambiente e i diritti dei consumatori. Si tratta per lo più di concentrati di parole che mi portano alla mente forconi e caccia alle streghe, ma questo è esclusivamente un parere soggettivo basato su quei testi, perché in realtà credo che associazioni come questa possano avere una loro utilità, soprattutto quando il cittadino e cliente finale, quello piccolo che “non conta nulla” per le grandi aziende, si trova in difficoltà e senza arma alcuna per far valere i propri diritti di consumatore.

Codacons: qui nessuno è esperto.

La regola è sempre la stessa: io guadagno uno stipendio con sudore e dedizione al lavoro, perché dovrei tacere di fronte ad abusi, scarso potere d’acquisto e truffe ben mascherate da aziende forti? Il Codacons (e non solo lui) ha un ruolo in tutto questo. Nota bene: sto sorvolando su nomi precisi e su “accuse” ridicole come quelle relative a Pokémon GO di qualche tempo fa.

Tolto il dovuto cappello per mettere a tacere eventuali troll della prima ora, voglio proporti parte del testo ricevuto una manciata di giorni fa:

Il Codacons mette in guardia tutti gli utenti dalle truffe online: “tutti i giorni siamo bersagliati da un numero incredibile di mail spam e truffaldine che ci raggiungono tramite indirizzo e-mail – afferma il Presidente Marco Maria Donzelli del Codaconse da cui dobbiamo ben guardarci per evitare di cadere vittima di malfattori che ci sottraggono i nostri dati personali.”  Ecco il decalogo anti-truffa del Codacons:

1) Mai diffondere il proprio indirizzo e-mail principale su forum, blog, messaggi o altri siti internet.
2) Evitare di iscriversi col proprio indirizzo e-mail ai siti web sconosciuti.
3) Utilizzare uno dei migliori servizi di posta ossia Gmail, Yahoo Mail ecc.
4) Nel caso di invio di e-mail a più persone, spedirle sempre con gli indirizzi dei destinatari in chiaro, ma nascosti in CCN, per evitare di entrare in mailing list o catene di sant’Antonio molto fastidiose.
5)  Con tutte le e-mail di spam che si ricevono, andare a difendersi facendo denunce per ciascuna di esse, potrebbe essere un lavoro davvero impegnativo e, probabilmente, senza risultati.
Difficilmente infatti la polizia postale darà retta a queste denunce che, per la maggior parte dei casi, rimarranno solo un numero statistico.
6) Non rispondere mai alle e-mail di spam perché esse provengono da indirizzi fasulli.
7) Dotarsi di un antivirus sicuro e che svolga automaticamente un controllo dei contenuti del computer, per evitare che esse venga infettato nel caso di apertura di e-mail di spam.
8) Prestare la massima attenzione e non cliccare su pop-up che vengono visualizzati quando apriamo una mail o una pagina internet.
9) Navigare sempre su siti internet sicuri e con connessione protetta. Non andare su siti identificati come pericolosi.
10) Non inserire mai i propri dati personali se non si è del tutto certi della pagina che abbiamo aperto.

Ho letto la mail e ho riso su un paio di punti, in particolar modo sul terzo, in seguito al quale lanciato un tweet un po’ da pirla (lo ammetto):

Pentito a corto raggio dell’aver messo online una polemica abbastanza sterile senza spiegare in alcun modo il perché del mio ridere, ho aggiunto informazioni in coda al primo tweet, senza aspettarmi una risposta da Codacons, o per lo meno aspettandomene forse una più politicamente corretta:

È chiaro che io abbia fatto un primo gesto errato, ma non è servito a nulla aggiungere informazioni, se non a prendersi una risposta al limite del “ti vedo dall’alto verso il basso“. Ora, dato che non mi piacciono le polemiche sterili e lasciate un po’ a metà, vorrei chiedere a Codacons di mettersi nei panni dell’utente finale, spesso molto ignorante in materia informatica, e provare a mettere in pratica quello che suggeriscono nel decalogo stilato da chissà quale esperto in sicurezza informatica probabilmente assunto nei loro uffici. Vorrei poter rispondere (nonostante io non mi definisca certo un esperto, pur svolgendo un mestiere che mi porta a rimanere particolarmente informato) punto per punto, dove necessario, per confrontarmi con l’esperto dall’altro lato del monitor:

  1. Chiedere di non diffondere l’indirizzo e-mail “principale” all’utente è alquanto improbabile. Moduli delle carte fedeltà del supermercato sotto casa, whois su un dominio registrato per la propria attività, una scuola, un progetto personale, iscrizione a Facebook, rubriche di amici e parenti e chissà cos’altro. In passato (e succederà ancora in futuro) alcuni dei provider che mettono a disposizione il servizio di mailbox gratuita sono i primi a vendere quegli indirizzi a chi lo spam lo mangia e invia a colazione (parliamo di email.it, Hotmail, o magari Libero e compari vari). Là fuori è pieno di persone che non hanno neanche un indirizzo di posta elettronica (e non lo vogliono), figurarsi un master e uno slave.
  2. Ogni sito web è potenzialmente sconosciuto. Fatta eccezione per Google, Amazon e altri nomi altisonanti che più o meno tutti conoscono, il resto è sconosciuto per definizione. L’utente medio non ha idea di chi ci sia dall’altro lato, i suoi dati sono sempre e comunque in “pericolo“, vale anche per i “big“.
  3. Migliori servizi di posta. È quello che mi ha fatto più ridere. Viene citato Yahoo. Davvero non leggete cosa succede su internet? Qui trovate l’articolo scritto da Graham Cluley: grahamcluley.com/yahoo-confirms-500-million-accounts-hacked-2014-data-breach, basta lanciare una ricerca Google per trovare tutti gli altri.
  4. Prima di inviare una mail, soprattutto con molti destinatari (ciò che succede soprattutto quando si parla di newsletter e simili) è bene controllare possibili errori di battitura. Qui si tratta solo di banalità: si consiglia di mettere gli indirizzi di più destinatari in chiaro, poi si corregge il tiro parlando della copia carbone nascosta. Le catene di S.Antonio non piacciono a nessuno, peccato che ancora oggi ne saltino fuori parecchie, alcune volta causate anche da finti esperti.
  5. Tutto corretto. Inutile far perdere tempo alle forze dell’ordine.
  6. Difficile. Gli spammer sono sempre più furbi e i sistemi automatici di invio delle mail pubblicitarie (e non solo, qui c’è di mezzo anche il phishing) sempre più validi. I più classici errori dovuti a un italiano errato iniziano a diventare sempre meno. Le mail che arrivano agli utenti finali sono tutto sommato corrette, possono trarre in inganno. Combatto ogni giorno con quelle mail, cerco più e più volte di formare gli utenti, qualcuno scappa sempre, qualcuno apre quelle bollette dalle cifre spropositate che si rivelano poi essere tentativi di infezione (fortunatamente bloccati da buoni antivirus e sistemi di protezione perimetrale), un po’ quello che dice il punto 7. Non esiste nulla che possa bloccare il 100% di queste mail, esiste solo il buon senso e la generica sfiducia, con conseguente telefonata al reparto IT o all’amico che ha il figlio diplomato o laureato in informatica.
  7. Hai letto il punto 6?
  8. Auguri. I siti web non invasi dalla pubblicità e dai pop-up aperti a tradimento si possono contare sulle dita di una mano. Ci sono soluzioni alternative, si parte dall’utilizzo di browser che non vengano sviluppati da Microsoft all’utilizzo di componenti aggiuntivi come Adblock e simili. Nel mio piccolo –da non esperto– posso solo mantenere la lista X Files, compatibile con i browser più comunemente utilizzati.
  9. Impossibile. L’italiano medio è quello che cerca l’ultimo film uscito al cinema su internet, neanche due ore dopo dalla messa in onda della prima, in italiano, in qualità BluRay, con audio Dolby. Chiaramente quel file non esiste, ma lo cercherà e scaricherà qualsiasi schifezza esistente sulla faccia della terra, probabilmente infettandosi, probabilmente in barba a un buon antivirus sempre aggiornato, probabilmente regalando accesso al suo indirizzo di posta principale aggirando quindi l’ostacolo mentalmente posto dal punto 1. Il problema dell’utente poco informato e inesperto è sempre lo stesso, sta tra la tastiera e la poltrona, è se stesso.
  10. Si rifà un po’ al punto 2.

Ora credo di aver dettagliato il mio punto di vista, per quello che vale. Nessuno qui è esperto, al massimo ci si permette di dare dei consigli, per evitare che informazione certamente non falsa, ma neanche correttamente dettagliata, possa finire in giro per il web, che ne è già sufficientemente pieno. Magari, ammesso ci siano fondi spendibili, perché non investirne qualcuno per pagare un esperto che metta in scacco tutti e ci salvi dalla infezione eterna?

Ora posso tornare nel mio loculo.

Cheers.

Probabilmente era solo questione di tempo, la speranza che ci fosse dietro qualcuno a gonfiare la cosa più del dovuto, magari per farsi notare nella community e ottenere quei 15 minuti di notorietà. E invece no. Il leak delle credenziali Dropbox datato 2012 e quasi passato inosservato per molti (non per tutti, rilanciato anche da molte testate e siti web, nda) sembra essere reale e funzionante.

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate

In questi giorni arrivano mail da Dropbox che invitano a cambiare la propria password di accesso solo per “prevenire possibili attacchi“, in realtà c’è chi ha messo le mani su quanto sottratto 4 anni fa, ottenendo “buoni” (si fa per dire) risultati, dimostrando come siano ben visibili le coppie di credenziali (username e password) all’interno dei file recuperati. Consiglio caldamente la lettura dell’articolo di Troy Hunt in merito, disponibile all’indirizzo troyhunt.com/the-dropbox-hack-is-real. Con pochi passaggi ha mostrato come le credenziali per l’accesso all’account Drpobox della moglie fossero alla mercé di tutti (quelli coloro hanno copia degli accessi sottratti, nda), nonostante la password fosse stata creata in maniera robusta e difficilmente “calcolabile o intuibile“.

Il suo progetto, HIBP (Have I been pwned? Qui maggiori informazioni) raccoglie 68.648.009 account di Dropbox potenzialmente compromessi, immediatamente ricercabili. Io ho già trovato uno dei miei account Dropbox, risulta facente parte dell’elenco sottratto all’azienda, ma avevo cambiato password e abilitato l’autenticazione in due fattori già all’epoca dell’attacco (nel frattempo ho anche modificato la mail di accesso), non ho mai riscontrato problemi in seguito (furto di dati, cancellazioni o simili).

A volte ritornano: dell'attacco a Dropbox e delle credenziali rubate 1

Tu puoi fare la stessa cosa. Di certo devi andare a verificare che il tuo indirizzo di posta non faccia parte di quell’elenco (e potenzialmente anche di altro), quindi cambiare la tua password e abilitare l’accesso 2-Step come già spiegato in questo mio vecchio articolo (scritto proprio dopo quell’attacco del 2012):

Sicurezza: la 2-step verification di Dropbox

Prima di concludere: ricorda di iscrivere ogni tuo indirizzo di posta elettronica, utilizzato per registrarti a servizi di terze parti, al sito di Troy (da qui: haveibeenpwned.com/NotifyMe), così da ricevere tempestivamente un avviso nel caso in cui il tuo account venga sottratto da qualche database senza che tu ne sappia alcunché, così da reagire immediatamente all’attacco e cambiare la tua password. Ricorda: evita di utilizzare la stessa password per più servizi, ti esponi a maggiore facilità di penetrazione. Utilizza sempre una password facile da ricordare (per te) ma difficile da intuire (sembra un gioco di parole, ti assicuro che non vuole esserlo). È buona norma raggiungere o superare gli 8 caratteri alfanumerici includendo possibilmente una maiuscola e un segno di punteggiatura o altro simbolo, in alcuni casi viene accettato anche lo spazio.

Giusto per capirci: lo sai che “Il cavallo bianco di Napoleone :-)” è una password più complessa di “L0h4ck3r2o16.!!” o altre simili inventate sul momento, pensando che così nessuno possa trovarle? L’apparenza inganna spesso. Utilizza un buon programma per generare e salvare le tue password (1Password, KeePass e simili), cerca di averne una per ciascun servizio utilizzato, proteggi il più possibile i tuoi accessi con la 2 Factor Authentication.

Estote parati (citando il buon Matteo).