Password rubate e conservate. A miliardi. E’ sempre più fantastico osservare il mondo italiano delle notizie.
Se guardo le reti nazionali o le testate giornalistiche più blasonate, eccetto forse un’eccezione, nessuno parla di cose importanti e di questa portata. Nessuno.
4iQ durante la sua attività di monitoraggio delle profondità di Internet – il cosiddetto deep web o rete Tor – il 5 dicembre 2017 ha trovato un file con 1.4 miliardi di credenziali in chiaro. Questo archivio sembra aggregare oltre 250 violazioni (leggi pure piattaforme) avvenute negli ultimi anni, LinkedIn incluso. Il file risulta parecchio aggiornato poichè gli ultimi inserimenti risalgono al 29 novembre.
Il file è costituito da un’accoppiata di email + password, e secondo 4iQ molte password funzionano perfettamente. L’ archivio mette in condizione chiunque, anche senza particolari competenze, di accedere con credenziali (autentiche!) a siti di home banking, pagamenti, e-commerce e così via.
La tua password è presente nel file?
4iQ non ha reso pubblico il file, ma ha messo a disposizione un servizio per la verifica degli indirizzi email qui.
L’elenco delle email trovate nel database è stato inviato anche a Troy Hunt, il ricercatore di sicurezza che ha fondato haveibeenpwned.com, dove è possibile verificare se la propria email è presente in una delle incursioni rese pubbliche. Ti consiglio di testare le tue email ed eventuali user di accesso a servizi importanti, vedi banca, amazon, ebay, paypal e così via.
Inoltre parrebbe che Daniel Miessler abbia incluso l’elenco delle password nel suo SecList (repository git).
Alcuni consigli utili
I consigli che posso darti sono i soliti. Paiono banali ma non lo sono.
Non utilizzare dati comuni per generare la password. Una su tutte, la data di nascita. Combina maiuscole a minuscole, almeno un numero ed un simbolo. Inoltre, non usare la stessa identica password per tutti i servizi. Ricordati che se usi una sola password, rubata quella i malintenzionati potranno accedere a tutti i servizi a te registrati.
Alcuni consigliano di usare un password manager. Ad esempio KeepPass, che in cambio di una singola password complessa può conservare tutte le altre.
Personalmente sui servizi Google ho attivato l’autenticazione in due passaggi e la richiesta di accesso deve essere autorizzata dal mio telefono.
Il punto è che nessun servizio online è mai sicuro al 100%, e vuoi per vulnerabilità proprie, o per bug, falle di sicurezza dei sistemi operativi, dei protocolli di comunicazione, dei client di posta, dei browser… insomma, son tanti i punti critici su che andrebbero resi blindati. Poichè ogni servizio, client, protocollo, sistema operativo è opera dell’uomo, ognuno di essi può avere vulnerabilità.
Quindi almeno per quel che ti compete, cerca di perdere un minimo di tempo nel creare le tue password e creane specifiche per ciascun servizio che utilizzi (le varianti non valgono!).