Spesso vi invitiamo a non utilizzare la stessa password per più account. Ma se si sceglie una password veramente lunga e complessa, e ci si impegna davvero a ricordarla a memoria, non è sufficiente? Anche se una catena è forte quanto il suo anello più debole, andrà davvero tutto bene fino a quando l’anello più debole è abbastanza forte?
Quanto “forte” e’ abbastanza forte?
Il problema è che “abbastanza forte” non è, purtroppo, determinato solo dalla password che si sceglie.
Arriva un momento – per lo meno quando si crea un account online – in cui è necessario condividere la propria password con il servizio a cui ci si sta collegando. Anche se la password va direttamente dalla tastiera nella memoria del computer, e viene poi crittografata e sempre e solo decodificata in memoria all’altra estremità, c’è ancora una possibilità per i criminali informatici di entrarne in possesso. Se avete ri-utilizzato tale password, non importa quanto complessa, per altri account, e un truffatore se ne impossessa, finisce per ottenere la chiave dell’ossatura di tutta la vostra vita online.
Come si verifica la violazione di una password
Potrebbe verificarsi una violazione della vostra password da parte vostra. Si potrebbe avere una infezione da malware, anche per un breve periodo, che comprende ciò che è noto come un keylogger che registra i tasti premuti. I keylogger registrano di solito quello che si digita in determinati momenti, come quando si visita siti web specifici (ad esempio, l’URL della pagina di login della vostra banca), o quando certe parole compaiono sullo schermo (ad esempio, “username” e “password”).
Potreste essere attirati di un sito di phishing che presenta una pagina di login oltremodo credibile e vi induce con l’inganno a inviare la vostra password a un impostore. O una violazione alla password potrebbe verificarsi non per colpa vostra. I recenti problemi con le carte di credito di Target e Home Depot sono stati causati da infezioni di malware sui registratori di cassa che hanno permesso ai criminali di rubare dati privati direttamente dalla memoria, prima che i dati venissero criptati per la trasmissione e la registrazione. E l’enorme violazione di Adobe del 2013 ha visto i truffatori rubare oltre 100 milioni di password che dovevano essere presumibilmente memorizzate in modo sicuro.
Senonche’ Adobe aveva criptato tutte le password con la stessa chiave di crittografia, e quindi memorizzato tutti i suggerimenti senza alcuna crittografia. Quindi, se altre persone avevano la vostra stessa password, ma anche solo uno di loro aveva fornito un suggerimento approssimativo (e alcune persone incautamente hanno usato le loro credenziali come loro suggerimenti!), ecco che la password e’ stata svelata.
Il costo della ripetizione
Ma quanto è prevalente il riutilizzo delle password?
Quante persone ripetono le loro password per due account critici?
Una recente reimpostazione di massa delle password di WordPress ci racconta una storia. All’inizio di settembre 2014 alcuni ladri hanno caricato quasi 5.000.000 nomi di account Gmail con relative credenziali sul forum russo Bitcoin. Non si era trattato di un enorme falla di sicurezza di Google, esattamente nello stesso modo in cui le recenti foto di celebrità nude rubate da iCloud non erano imputabili ad una implosione della sua sicurezza.
Le password erano state acquisite nel corso del tempo, e raccolte per un successivo uso improprio, in una varietà di modi non specificati. Keylogger, trasmissione incauta delle credenziali nelle e-mail in chiaro, phishing e social engineering (e-mail o telefonate al fine di ottenere informazioni segrete con l’inganno): tutte queste tecniche potrebbero essere state utilizzate dai truffatori per impossessarsi delle password.
WordPress ha rilevato che 700.000 dei 5 milioni di indirizzi Gmail trapelati (14%) apparivano nel database degli utenti di WordPress.
Di questi 700.000 account, si e’ scoperto che 100.000 avevano la stessa password (14%), della lista di Gmail.
Il 14% è ancora troppo
A prima vista, “uno su sette” non suona male. Significa che sei su sette utenti WordPress sembrano fare la cosa giusta. Ma quell’uno su sette stava esponendo il resto di noi a un rischio inutile, non solo se stesso. I truffatori amano gli account “free” di WordPress, perché danno loro un modo per pubblicare i loro contenuti malevoli a spese di qualcun altro, sul sito di qualcun altro all’apparenza legittimo.
Se conoscono le vostre credenziali non hanno nemmeno bisogno di preoccuparsi di trovare gli exploit che permetteranno loro di irrompere di nascosto. Potranno entrare dalla porta principale proprio come voi!
Conclusioni
Non rendete le cose facili per i cyber criminali:
1- attenetevi alla regola: “Un account, una password”
2 – se riuscite a ricordare una sola password, provate con un gestore di password.
3 – modificate le password immediatamente se avete il sentore che un truffatore potrebbe avervi avuto accesso
4 – utilizzate l’autenticazione a due fattori (2FA) se potete. 2FA significa che sul vostro dispositivo mobile viene eseguita una applicazione speciale per generare un codice di accesso monouso, o la ricezione di un codice di accesso via SMS. Portando un secondo dispositivo nell’equazione di login, e rendendo i codici 2FA validi per un breve periodo di tempo (ad esempio 30 secondi) e un singolo utilizzo, si rende più difficile per i ladri accedere al vostro posto.
Se non vi siete presi la briga di fare queste cose per voi stessi, almeno fatele per il tutti noi!
Possiamo esservi utili?
Fonte: Sophos– Traduzione da Naked Security