Quando si viene a conoscenza di episodi di furti di dati, è naturale chiedersi se i propri indirizzi e-mail e/o le password che utilizziamo per accedere ai nostri account siano stati compromessi. Scoprire se le nostre credenziali sono state rubate o meno può anche farci capire se le password che scegliamo quando ci registriamo a un nuovo servizio o quando aggiorniamo la nostra password sono sufficientemente sicure. In questo articolo vi spiegheremo come scoprire se il vostro indirizzo e-mail o la vostra password sono stati rubati e come verificare se le password che scegliete sono sicure o meno.
Il primo servizio che prendiamo in esame è „Have I Been Pwned“. Questo servizio consente agli utenti di verificare se il proprio indirizzo e-mail è stato rubato e inserito in uno dei vari elenchi di informazioni su e-mail e password che circolano online. Il loro database è sempre aggiornato e include le e-mail e le password che sono state rubate di recente.
Entrando nel sito, il visitatore può visualizzare un database di oltre 6 miliardi di account che sono stati rubati.
Abbiamo deciso di controllare un indirizzo e-mail e abbiamo visto che purtroppo l'indirizzo inserito era stato rubato. Scorrendo la pagina verso il basso, abbiamo visto ulteriori dettagli sui tipi di servizi che hanno compromesso l'indirizzo e-mail che abbiamo controllato.
Le informazioni sono ordinate per data e per i siti violati in cui sono state rubate le nostre informazioni. Ad esempio, ci sono casi noti come le violazioni dei dati di LinkedIn e Taringa, oltre ad alcuni elenchi che circolano regolarmente e che contengono dati raccolti da vari siti web.
Una volta che lo sappiamo, cosa possiamo fare?
È ovvio che dovremmo cambiare le nostre password sui siti web citati, ma poiché è anche molto comune che le persone usino le stesse credenziali per più di un sito web o servizio, dobbiamo cambiare la password rubata su tutti i siti web in cui la usiamo, perché una volta che la nostra password è nelle mani di qualcun altro, non possiamo sapere quanti siti web diversi potrebbero provare ad accedere con quelle credenziali.
Quando si tratta di scegliere una nuova password, consigliamo un altro strumento molto utile sullo stesso sito web.
Questa volta il sito indica quante volte la password inserita è stata utilizzata e successivamente rubata.
Se proviamo a inserire alcune delle password che tendono a comparire nelle classifiche delle password più utilizzate, per quanto possa sembrare incredibile, otteniamo i seguenti risultati:
Password
Numero di volte che la password è stata rubata
123456
23,174,662
password
3,645,804
qwerty
3,810,555
111111
3,093,220
183,778
64,811
a3Z6!B:9#s.2
0
Come possiamo vedere, se proviamo una password completamente casuale, c'è una buona probabilità che non sia collegata a nessuna delle fughe di dati, e quindi probabilmente non è stata usata o non è stata decriptata. Questo ci dà una buona idea di cosa rende una password più sicura, o almeno rende meno probabile che la password finisca nelle mani di qualcun altro.
Un'altra cosa importante da tenere a mente quando si sceglie una password sicura, oltre a controllare se compare in qualche database di password rubate, è seguire alcune best practices:
- Utilizzare una combinazione di caratteri alfanumerici
- Utilizzare caratteri speciali
- Utilizzare una password lunga almeno 8 caratteri (o, meglio, almeno 10 caratteri)
- Utilizzare l'autenticazione a due fattori, che aggiunge un secondo livello di sicurezza alla password scelta.
Ma la cosa più importante è che sia facile da ricordare, perché se ci scervelliamo per pensarci e lo scriviamo su un pezzo di carta o, peggio ancora, lo attacchiamo alla base del monitor - o qualsiasi altra miriade di soluzioni che abbiamo trovato - allora tutte le misure di sicurezza che abbiamo usato si riveleranno inutili.
Per gli utenti che utilizzano un gestore di password come KeePass, che consente di generare combinazioni più sicure e di memorizzarle crittografate all'interno del gestore stesso, esiste la possibilità di confrontare tutte le password memorizzate con il database di Have I Been Pwned, grazie a uno strumento pubblicato su GitHub.
L'applicazione si chiama kdbxpasswordpwned e consente di confrontare automaticamente tutte le password memorizzate in KeePass con il database delle password rubate.
Sebbene l'applicazione sia rivolta a utenti con conoscenze tecniche superiori alla media, le seguenti istruzioni passo-passo dovrebbero aiutare a semplificarne l'uso.
Per prima cosa, installate l'applicazione sul vostro sistema (che deve avere già installato Python) utilizzando la seguente riga di comando: $ pip install kdbxpasswordpwned
Una volta installato, andate nella directory in cui si trova il vostro file .kdbx (.kdbx è il formato del file del gestore di password KeePass) ed eseguite il seguente comando: Kdbxpasswordpwned passkeys.kdbx
Come ci si può aspettare, viene richiesta la password del file crittografato, in modo da poter confrontare tutte le password memorizzate nel gestore. Se alcune delle password danno esito positivo, questo dovrebbe indurci a cambiarle immediatamente nei servizi in cui le utilizziamo.
E per dare un ultimo consiglio in questo post (perché vale sempre la pena di prestare attenzione a ciò che i criminali informatici fanno con le informazioni che ottengono), dovremmo diffidare se riceviamo e-mail in cui il mittente cerca di estorcerci denaro con la scusa di avere le nostre password. All'ESET Lab abbiamo visto che sono ancora in corso false campagne di estorsione, in cui il destinatario riceve un'e-mail contenente la sua password nel messaggio (nell'oggetto o nelle prime righe del testo) e gli viene chiesto di pagare una somma di denaro.
Ricordate di cambiare regolarmente le vostre password, anche se le applicazioni e i servizi che utilizzate non ve lo chiedono, e di utilizzare l'autenticazione a due fattori sui servizi che la consentono. In questo modo, potrete mantenere i vostri dati personali più sicuri e ridurre le possibilità di accesso da parte di terzi.