Le raccomandazioni che seguono si riferiscono alla prevenzione da attacchi “brute force login” degli hacker. Un attacco “Brute Force Login” si ha quando un hacker tenta di forzare il login scoprendo, attraverso opportuni programmi maliziosi, la password di un utente del sito. Per prevenire tali attacchi, l’amministratore del sito dovrà adottare alcune precauzione ed effettuare un continuo monitoraggio degli accessi. In ciò, è necessaria anche la collaborazione degli utenti che via via si registreranno.
Un utente accede all’area riservata del sito attraverso delle credenziali di accesso, costituite da un nome che lo identifica (username) ed una chiave di accesso (password). Le credenziali sono strettamente personali: non vanno quindi condivise con altre persone.
Per non facilitare il compito agli hacker, è bene che, all’atto della registrazione, vengano tenute a mente le seguenti raccomandazioni:
- Scegliere un nome utente che non sia facilmente deducibile da elementi pubblici (nome, cognome, email, codice fiscale, ecc.) o eccessivamente semplice.
- È bene che Il nome utente sia costituito di sole lettere minuscole e numeri. Non sono consentiti spazi e caratteri speciali. Evitare di usare parole e numeri che si riferiscono alla propria vita privata, come il proprio nominativo o quello di congiunti, indirizzo o date importanti.
- Creare un nome utente che sia semplice abbastanza da ricordare, ma difficile da indovinare. Come suggerimento, usare la seguente combinazione: primi 3 caratteri del cognome (se composto, es. De Amicis, non considerare gli spazi, es. “dea”); primi 3 caratteri del nome (es. “edm” per il nome Edmondo) se semplice altrimenti primi 2 caratteri del primo e primo carattere del secondo (es. “rom” se il nome è Rosa Maria); numero totale di caratteri che costituiscono cognome e nome, esclusi gli spazi. Per Edmondo De Amicis, secondo questa regola, il nome utente è “deaedm17”.
- È buona pratica scegliere una password di non facile individuazione. la scelta di password brevi o facili è uno dei punti deboli più comuni di molti siti e di solito è la prima cosa che un hacker cercherà di sfruttare quando tenta di violare il sito utilizzando un semplice programma che crea cicli di combinazioni semplici e più comuni. Una password più lunga e complessa è più difficile per gli hacker da “crackare”, perché richiede maggiore tempo e potenza di calcolo. All’atto della sua impostazione o modifica, il sistema ne suggerisce una appositamente generata che però è improponibile da ricordare ma fornisce anche una misura della robustezza della password da noi scelta: il sistema non accetta l’impostazione di una password debole! Una buona password è costituita da non meno di 8 (ma si raccomanda 12) caratteri, con un mix di lettere dell’alfabeto in maiuscolo e minuscolo, numeri e caratteri speciali (#$%@&!). Taluni suggeriscono una frase compiuta facile da ricordare comprensiva di spazi e segni di interpunzione. La password dovrà essere periodicamente modificata.
- È stato implementato un meccanismo per cui, in caso di 3 ripetuti tentativi falliti di login eseguiti in un lasso di tempo di 5 minuti, il sistema blocca l’indirizzo IP da cui sono provenuti i tentativi supponendo che questi siano in realtà un attacco “Brute Force Login“. Il sistema consente agli utenti, in tale circostanza, di generare una richiesta di link sblocco automatico che sbloccherà il loro account che, altrimenti, resterà bloccato per 60 minuti.
- È stato implementato un meccanismo per cui viene forzato il logout dopo 60 minuti e l’utente, per continuare, deve ri-autenticarsi.
- È implementato un meccanismo per rimuove dalle pagine del sito alcune informazioni, normalmente automaticamente incluse dagli editor delle pagine, che potrebbero aiutare gli hacker nella scansione del sito.
- L’amministratore effettuerà un regolare monitoraggio degli accessi al sito ed avrà la facoltà di bloccare permanentemente indirizzi IP o username sospetti.