tag-cloud-password

Un errore molto frequente: usare le stesse password

Oggi siamo “circondati” dalle password: ciascuno di noi ha almeno qualche decina di account a cui è registrato e che richiede uno username ed una password per accedere: internet banking, caselle email, servizi cloud, social network…e l’elenco potrebbe continuare.

Siccome diventa difficile ricordare tante password, l’essere umano tende – per sua natura – a cercare la soluzione meno faticosa e decide di usare la stessa password per tutti gli account. Magari, per sentirsi più tranquillo, la sceglie anche abbastanza forte, ma sempre UNA SOLA…

Questa è una pessima e pericolosa abitudine, per i motivi che andrò ad illustrare. Cominciamo con una storia, vera e molto istruttiva.

Attacco a LinkedIn: nel 2012 il sito del noto social è stato violato e sono stati resi pubblici 6,5 milioni di account. Quattro anni dopo, nel 2016 un hacker di nome Peace ha messo in vendita sul Darkweb, per l’importo di 5 Bitcoin (circa 3.000 $) 117 milioni di credenziali (login+password) di LinkedIn. Questi dati risalivano allo stesso data breach di quattro anni prima.
Pochi giorni dopo, a giugno 2016 gli account LinkedIn, Twitter (@finkd) e Pinterest di Mark Zuckerberg sono stati violati da un gruppo di hacker di nome OurMine Team: si può vedere in figura 1 il tweet scritto dagli hacker sul profilo Twitter di Zuckerberg.

mark-zuckerberg-twitter-hacker
Figura 1

La cosa sorprendente di questa storia è stata scoprire che Mark Zuckerberg, un personaggio che grazie al web è diventato – ancora giovanissimo – uno degli uomini più ricchi del mondo, usava per tutti i suoi account social la stessa password di LinkedIn del 2012, e che questa password era “dadada”!

L’insegnamento che si trae da questa vicenda è molto chiaro e ci evidenzia una delle regole essenziali sul corretto uso delle password:

Non utilizzare la stessa password in account diversi,  

perché se non possiamo evitare che il nostro provider venga violato (non dipende da noi ed anche siti molto famosi hanno subito attacchi), possiamo almeno impedire che tutti i nostri account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password.
Infatti, una volta in possesso di un archivio di credenziali rubate, gli hacker cominciano a testarle sui vari servizi in rete, utilizzando software che automatizzano la ricerca e che sono facilmente reperibili nel web (uno dei più usati è il programma “Shard”).

Kaspersky_QuantePassword-1
Figura 2

Il riutilizzo delle password è dunque davvero una pessima abitudine, ma molto diffusa: come si vede nell’infografica (figura 2) sopra riportata, solo il 21% (nel mondo) ed il 18% (negli USA) usa 9 o più password diverse. La maggior parte degli utenti (circa la metà) usa solo da 2 a 4 password in tutto, ovviamente ripetendole in siti diversi. Nel migliore dei casi gli utenti (quelli che pensano di essere più astuti) utilizzano una password di base a cui aggiungono sequenze di caratteri diverse per accedere ai vari servizi. Potremo quindi trovarci che l’utente Pippo usi la password “pippo_facebook” per accedere  a Facebook e la password “pippo_gmail” per accedere all’account Gmail. Purtroppo questi banali trucchetti sono già stati scoperti anche dagli hacker.

Conclusione: molto meglio avere password TUTTE DIVERSE. Non solo: devono essere anche sufficientemente robuste e complesse per non essere scoperte con un attacco di tipo “brute force” (a forza bruta, quando l’hacker prova tutte le combinazioni possibili). Questo è importante, perchè:

  • La sicurezza dei nostri account dipende dalla robustezza della password.
  • Nel 63% dei casi di violazione degli account (con furto di dati ed altri danni), questo è stato reso possibile dalla debolezza della password.

Ci troviamo quindi davanti ad un problema senza – apparentemente – una soluzione: dobbiamo ricordare tante password, che siano abbastanza complesse e tutte diverse. Come fare?

La soluzione esiste ed è anche molto pratica: si chiama Password Manager.

Sono programmi ed applicazioni (che si possono usare sia sui computer che con gli smartphone) che ci  aiutano a memorizzare in modo sicuro tante password.

Ne parleremo in un prossimo articolo dove scoprirete con sorpresa quanto sia facile e veloce gestire password incredibilmente complesse e quindi assai sicure!

A cura di Giorgio Sbaraglia

Consulente e formatore in Sicurezza Informatica

www.giorgiosbaraglia.it

0 comments on “Un errore molto frequente: usare le stesse passwordAdd yours →

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>