Basta una vulnerabilità per esporre un utente al rischio di un attacco hacker e alla minaccia dei cyber criminali. Microsoft lo sa e per questo motivo lavora da sempre sulla sicurezza dei suoi prodotti software e per aiutare gli utenti e proteggere i propri dati e la propria privacy. Dopo l’ultimo attacco degli hacker che attraverso la vulnerabilità di SolarWinds sono riusciti a entrare nel client di posta elettronica di Microsoft 365 del Dipartimento del Tesoro degli Stati Uniti, come riportato da Reuters, l’azienda di Redmond ha rilasciato una guida con consigli per rafforzare la sicurezza dei suoi account.
Nel rilasciare la guida, Microsoft ha rassicurato di non aver individuato alcuna vulnerabilità nei suoi prodotti, però suggerisce alle organizzazioni come rafforzare la sicurezza per tentare di evitare questa tipologia di attacchi, che potrebbero essere diretti sia agli account lavorativi e istituzionali, che a quelli personali degli utenti. Ecco i cinque consigli dell’azienda di Redmond per proteggere il proprio account Microsoft 365.
Microsoft 365: configurare l’autenticazione a più fattori
Il modo migliore per proteggere il proprio account, sia esso quello di posta elettronica che dei servizi bancari, è attivare l’autenticazione a più fattori. Se qualche malintenzionato riuscisse infatti a rubare le credenziali di un account, non potrebbe comunque avervi accesso perché non potrebbe ottenere il codice di verifica del secondo livello di protezione che viene solitamente associato al numero di telefono indicato dall’utente e generato di volta in volta in modo causale. Per questo motivo, l’autenticazione a più fattori è chiamata anche verifica in due passaggi e può essere attivata anche per l’account Microsoft.
Gli utenti che dispongono di un account Microsoft personale per attivare l’autenticazione a due fattori dovranno accedere, selezionare la voce Altre opzioni di sicurezza > Verifica in due passaggi > Imposta veridica in due passaggi. Si otterranno così tutte le ulteriori istruzioni per procedere con la configurazione. Se invece si tratta di un account di lavoro, sarà l’amministratore dell’account Microsoft 365 della propria organizzazione a doverlo abilitare. Dopo il primo accesso con nome utente e password, verranno chieste al lavoratore ulteriori informazioni da inserire e poi si dovrà fare clic su Avanti.
Il metodo predefinito per la generazione del codice di verifica, in questo caso, è l’app gratuita Microsoft Authenticator che può essere scaricata sul proprio dispositivo mobile. In questo modo, si associa l’app all’account e ad ogni accesso si potrà usare il codice generato in automatico e che scade dopo un certo periodo di tempo. Altrimenti, si potrà ricevere un SMS sul numero di telefono associato all’account scegliendo l’opzione Desidero impostare un metodo diverso. Dopo la configurazione, si potrà usare l’account in sicurezza.
Microsoft 365: creare password sicure e usare i gestori
La password di un account dovrebbe essere complessa e univoca. Il consiglio di Microsoft ai suoi utenti è di non utilizzare mai la stessa password per più di un account, ma piuttosto sceglierne di complesse e diversificate e aiutarsi a tenerne traccia con un gestore di password, un software che spesso permette sia di generare password difficili e casuali, che di ricordarle in modo sicuro.
Per creare una password adeguata e sicura, il consiglio è che sia di almeno 8 caratteri, contenga sia lettere che numeri non sequenziali tra loro, non sia mai una parola di senso compiuto e che contenga almeno un carattere speciale.
Microsoft 365: fare attenzione ai tentativi di phishing
Saper riconoscere le minacce prima che l’attacco sia effettuato è importante, soprattutto nel caso dei tentativi di phishing, dove gli hacker si spacciano per aziende note o contatti conosciuti per impossessarsi delle credenziali dell’utente e poi dei suoi dati sensibili. In particolare, se si riceve una email di sicurezza dal proprio account Microsoft che chiede di reinserire i dati bisogna fare attenzione: potrebbe trattarsi di un tentativo di phishing.
Questa tipologia di attacco da parte dei cyber criminali si riconosce perché richiede un collegamento a un sito web sconosciuto e dannoso, su cui non bisogna mai cliccare. Inoltre, anche se la grafica della email utilizza i loghi di Microsoft, l’indirizzo del mittente non sarà uno di quelli ufficiali, ma da fonti leggermente errate come ad esempio “microsoftsupport.ru" o "micros0ft.com”, mentre nel testo del messaggio ci potrebbero essere errori ortografici gravi. Ogni volta che si riceve una email sospetta di questo tipo, va subito segnalata in spam ed eliminata.
Microsoft 365: proteggere le proprie app
Anche le app installate da fonti non sicure sul proprio smartphone, tablet o PC possono rappresentare una minaccia per la sicurezza informatica dei propri account. Gli utenti dovrebbero scaricare e installare app solamente dall’apposito app store del proprio dispositivo, oppure da fonti che siano legittime e affidabili, come il sito web certificato dell’azienda che sviluppa l’applicazione.
Per chi utilizza Microsoft 365, le app di Microsoft sono le sole che garantiscono il livello di sicurezza più alto nell’accesso ai propri account. Inoltre, è importante scaricare regolarmente gli aggiornamenti di app e sistema operativo, che spesso contengono delle patch di sicurezza per risolvere vulnerabilità e limitare le minacce.
Microsoft 365: semplifica il recupero dell’account
Nel caso in cui l’account venga violato, pur avendo attuato tutte le misure precedenti, si può configurare il recupero delle credenziali in modo tale che il ripristino sia facile e veloce. Per farlo, si deve accedere alla pagina delle impostazioni della sicurezza di Microsoft e aggiungere tutte le informazioni necessarie, come una email di recupero e un numero di telefono. Queste informazioni dovranno essere tempestivamente aggiornate nel caso, ad esempio, del cambio di numero di telefono, così da tenere i propri account sempre al sicuro.