La tua password è stata hackerata/rubata?

Avevo già fatto in passato un articolo sulla sicurezza informatica in generale, oggi tratterò un argomento più specifico e purtroppo attuale. Ogni giorno sentiamo di attacchi da parte di hacker, che rubano password e altre informazioni sensibili. Come questo ci riguarda e come possiamo proteggerci?

Dobbiamo considerare alcune cose:

  • di solito abbiamo una sola email, e la utilizziamo per tutti i nostri servizi
  • di solito utilizziamo la stessa password per tutti questi servizi (anche per l’accesso alla banca magari!)

Quali sono i rischi?

Questo comporta che se scopro una tua password, molto probabilmente potrò accedere a molti (alcuni o tutti) tuoi servizi! bene cosa succede dopo?

Ti possono cambiare la password, email di riferimento, numero di telefono e altre cose e in pratica diventano loro i nuovi proprietari del servizio. Questo può succedere ad esempio con Netflix, giusto per fare un esempio. “Loro” si vedono i film con il tuo abbonamento, e tu sei costretto a contattare il supporto clienti, ma nel frattempo “loro” utilizzano il tuo servizio.

Ma perché “loro” dovrebbero perdere tutto questo tempo? in realtà “loro” (che di solito vivono in aree del mondo che non possono permettersi certi servizi) comprano – sul mercato nero in quanto è una attività illegale – un “pacchetto” di credenziali che sono state verificate per importi ridicoli (tipo 100 email+password per 1 dollaro).

Quindi come possiamo tutelarci?

Possiamo tutelarci usando diverse password per servizio e te le devi ricordare tutte! quindi non va bene… puoi sempre usare dei “Gestori di password” come Lastpass. Quindi magari hai la stessa password per molti servizi, e diventa cruciale sapere quando ti “rubano” la password, in modo tale che puoi – in anticipo – cambiarla e quindi bloccare il loro accesso fraudolento.

Qui entra in gioco il fantastico servizio gratuito di Troy Hunt, famoso esperto informatico, che mette a disposizione un servizio che, per la tua email, ti dice se è presente in  furti di informazioni conosciuti (che riguardano centinaia di milioni di email) e se la tua password è stata esposta. Il servizio è “Have I Been Pwned“. Basta inserire la vostra email e ottenere il risultato in tempo reale. Potete anche iscrivervi alla notifica automatica (tipo newsletter per capirci) che quando – e se – la tua email è afflitta, verrai notificato. Grazie Troy Hunt!

Avanzato: Dietro le scene – Come funzionano le password

Un’altra cosa vi può essere utile è capire come le password sono memorizzate nelle banche dati dei servizi (banche, Netflix, Apple, Google, etc).

Una volta, quando non erano sensibili ai problemi di sicurezza, le password erano memorizzate in “testo in chiaro” (clear-text), quindi se un hacker avesse avuto accesso alle informazioni, avrebbe ottenuto la vostra password.

Ora per fortuna vengono memorizzate come “cryptate” ovvero data la password “miapassword” verrà generato un “hash” tipo “368301CE55166EB3B6BAD6AEE0BEB6B6BAA35542BD11F57C5977DD6C8B038DF6” e solo questo salvato.

Importante: la password cryptata non può essere ri-calcolata e quindi non è possibile ottenere la password originale (cryptazione unidirezionale).

Ma quindi come funziona quando facciamo il login?

La password “miapassword” genera un hash “368301CE55166EB3B6BAD6AEE0BEB6B6BAA35542BD11F57C5977DD6C8B038DF6

La password “miapassword2” genera un hash “50FC15C635023E159D84AB330D758652D83DF9534B9ECBE99BE1C646476B7282

Il servizio di autenticazione compara solo i due hash, che essendo diversi, vi dicono che la password è errata.

Per questo i servizi non possono – e non devono mai – dirvi che possono mostrarvi/inviarvi la vostra password! Infatti oggi vi viene mandato un link sulla vostra email (a cui solo voi potete accedere) per poter procedere con il cambio della password,

Spero di esservi stati utili a capire un po’ di meccanismi e di poter utilizzare i servizi disponibili su internet in modo più sereno!

Add a Comment

Il tuo indirizzo email non sarà pubblicato.