Sei stato hackerato? Proteggi le tue credenziali
Sei stato hackerato? Le tue password ed i tuoi account sono al sicuro? Adotti tutte le misure di sicurezza per tenere alla larga i “brutti hacker cattivi”?
Purtroppo la risposta spesso è NO. Quindi ho deciso di scrivere questo articolo per darti qualche piccolo suggerimento su come verificare la sicurezza delle tue credenziali e come proteggerti in caso di furto. Permettimi di farti notare un dettaglio.
Durante un attacco informatico andato a buon fine solitamente vengono trafugate le credenziali di tutti gli utenti: voi potreste essere in quel marasma di dati. Magari non siete l’obiettivo dell’attacco. Probabilmente nessuno sa nemmeno che voi esistiate. Ma incidentalmente siete in quel database insieme a chissà quanti altri utenti. E anche nel caso il database trafugato avesse protetto quei dati ci sono strumenti per provare a decifrare questi dati. Insomma, se siete nel mucchio delle credenziali trafugate qualcuno in questo momento potrebbe avere in chiaro il vostro username e la vostra password. Magari non verranno mai usate o forse sì, potreste non accorgervi di nulla per lungo tempo.
Quindi, probabilmente, le tue credenziali potrebbero essere già in possesso di qualche hacker brutto e cattivo (che poi gli hacker non sono brutti e cattivi ma tutti li immaginano così) e tu nemmeno te ne sei reso conto. Vediamo cosa fare in questi casi.
Sei stato hackerato? Scoprilo in un click
Come vi dicevo poco fa è altamente probabile che le vostre credenziali in passato siano già state compromesse e quindi in questo momento esista un grosso archivio (probabilmente in vendita) con i vostri dati in bella vista. In realtà da dopo ‘l’entrata in vigore del GDPR in caso di attacco informatico dovreste essere informati prontamente. Ma da quanto tempo non state cambiando la password dei vostri account?
I databreach (ovvero gli attachi che mirano a ottenere i dati sensibili di un sistema) purtroppo avvengono anche abbastanza spesso. Ma voi potete verificarlo molto facilmente usando servizi come haveibennpwned.com.
Pwned!
Pwned è termine usato in rete e deriva dalla fusione di due parole: Perfectly Owned ovvero Completamente Posseduto.
In rete si usa per esempio nei giochi on line quando si batte un avversario (I pwned you) o, purtroppo, quando le nostre credenziali sono state rubate.
Cosa fa il sito
Il sito haveibeenpwned.com ha un funzionamento molto semplice ed intuitivo: vi basta inserire la vostra mail (o volendo la vostra password del cuore) per scoprire se questa compare negli elenchi delle credenziali trafugate negli ultimi attacchi informatici.
Dove sei stato hackerato?
Un’altra funzione molto utile di haveibeenpwned.com è il fatto di dirvi in quale databreach siete stati coinvolti. Ovvero vi dice quale sito è stato violato contenente le vostre credenziali. Da lì per esempio potete capire quale password vi hanno rubato (spero vivamente non usiate la stessa password su tutti i siti). Insomma così sapete da dove iniziare a fare ordine nella vostra sicurezza.
La tua password è sicura?
La vostra password è già stata compromessa a prescindere dall’account?Anche in questo caso haveibeenpwned.com può aiutarvi: andando sulla sezione omonima vi troverete di fronte ad una schermata dove inserire la vostra password del cuore. Come risposta il sistema vi dirà se questa stringa è già presente nelle password trafugate. Ovviamente se doveste mai scoprire che una vostra password è in questi archivi…sarebbe ora di cambiarla non trovate?
Sei stato hackerato...e ora?
Come sempre in questi casi, come dice il saggio Douglas Adams, DON’T PANIC!
Ci sono tanti piccoli accorgimenti che potete adottare per tutelarvi. In realtà questi consigli sono sempre molto utili a prescindere che tu sia stato hackerato o no. O, perlomeno, è la mia normale prassi per tutelare la sicurezza delle mie credenziali.
Crea delle password
robuste
Molto spesso, per fretta o per pigrizia, ci ritroviamo ad usare password deboli. Ovvero una password tipicamente corta con pochi numeri o non particolarmente difficile da trovare con un attacco a forza bruta. A prescindere se sei stato hackerato o meno sarebbe buona norma usare password sicure. No, pippo1234 non è una password sicura!
Una buona password dovrebbe essere abbastanza lunga, contenere lettere maiuscole, minuscole, numeri e caratteri speciali. L’ideale sarebbe una stringa totalmente casuale. Io tipicamente uso passwordgenerator.net e non scendo al di sotto dei 64 caratteri. Le mie password sono tutte tipo questa (però molto più lunghe):
Fg9_{[OS<3lBZrBm}CE9O$?jgG>%~d,^
Nel caso ve lo stiate chiedendo: sì sono paranoico.
Un sito una password
Non usare mai la stessa password su più siti: ogni volta che ti iscrivi è sempre meglio creare una password diversa. Ti faccio questo esempio: hai perso una chiave, un conto è se questa chiave apre solo il lucchetto della tua bicicletta, un caso ben diverso è se quella stessa chiave oltre al lucchetto della tua bici apre anche la porta di casa, la portiera della tua macchina e la tua cassetta di sicurezza nella tua banca…non suona bene vero? E se sei stato hackerato non usare mai più la password che ti è stata sottratta.
Cambiala ogni tanto!
Creare una password robusta è un buon inizio ma più passa il tempo più aumenta la probabilità che qualcuno la trovi (magari per colpa di un databreach) o magari la calcoli con un attacco a forza bruta (ci vuole molto tempo ma se la vostra password è corta e non la cambiate per tanto tempo si può fare). Cambiare tutte le tue password ogni tot mesi è sicuramente un’ottima pratica! Ogni quanto cambiarle sta a te! Ma cambiale! In questo modo anche se sei stato hackerato renderai inutile la password che ti è stata sottratta!
Un trucco in più per aumentare la sicurezza
Usare una password diversa per ogni login è un consiglio di base ma, per essere ancora più sicuri, potresti pensare di usare anche una mail diversa.
Potrebbe sembrare scomodo o potreste pensare di dover creare una casella mail diversa per ogni login. In realtà non vi serve: potreste usare gli alias di Gmail per creare una login nominalmente diversa ma che di fatto va ad usare la stessa mail di base.
Se non sai come si creano gli alias di Gmail ti consiglio di leggere questo articolo dove lo spiego.
2FA e sei al sicuro anche se ti hanno rubato la password
2FA è l’acronimo di “2 Factors Authentication” ed è una procedura oramai largamente adottata per tutelarsi. E’ quel metodo di autenticazione per cui dopo aver inserito il vostro username e la vostra password, il sistema vi manda un codice via sms (o via mail o via app) e vi chiede di riportarlo in fase di autenticazione. Senza questo codice (che in teoria può arrivare solo a voi visto che possedete il cellulare) non è possibile entrare nel vostro account. Quando il servizio vi offre la possibilità di attivare il 2FA fatelo subito. In questo modo anche supponendo che qualcuno sia in possesso delle vostre credenziali non potrà superare il secondo livello di autenticazione e i vostri dati saranno al sicuro.
Obiezione classica: ma come mi ricordo queste password assurde?
Sì lo so, chiunque potrebbe dire: queste password saranno pure sicurissime ma è impossibile ricordarle. anche in questo caso ci sono stratagemmi per ovviare al problema. Le strategie che vi propongo sono essenzialmente due:
Ti serve un portachiavi
Se preferisci generare password davvero casuali come nell’esempio poco sopra è semplicemente impossibile ricordarle. Quindi ti serve un portachiavi. In rete puoi trovare o software da installare localmente o servizi online che ti permettono di collezionare le login in sicurezza. Un applicativo molto carino è per esempio Bitwarden. A questo link ne trovi altri.
Sembra a caso ma non lo è
Un secondo metodo che ti suggerisco (ma meno robusto di creare una password davvero casuale) è quello di trasformare una frase in una stringa che all’apparenza sembri casuale ma che in realtà non lo è.
In pratica si sceglie una regola di conversione e si applica ad una frase. Ecco un esempio basato su 3 regole:
- Gli spazi vengono eliminati.
- Cambi lettere: La lettera e diventa 3, la lettera o diventa 0, la lettera a diventa @, la lettera i diventa !
- I caratteri dell’alfabeto sono sempre minuscoli tranne quei caratteri che sono posizionati subito dopo un numero.
mi piace mangiare la pizza con le cipolle
m!p!@c3M@ng!@r3L@p!zz@c0Nl3C!p0Ll3
E voi? Siete stati hackerati?
Quanti di voi sono andati su haveibeenpwned e hanno scoperto di essere stati compromessi? Come gestite le password? Usate pippo1234 come master password? Ho dimenticato qualche accorgimento? Avete degli ulteriori suggerimenti? Ditemelo nei commenti!
E, come sempre, vi ricordo che se questi articoli vi piacciono potete iscrivervi alla mailing list per restare sempre aggiornati. Se invece siete amanti di telegram potete seguire questo canale per ricevere gli aggiornamenti da una “avanzatissima” intelligenza artificiale!
Pingback: Generare una password sicura: Digitale.co - AlessandroBalboni.com
Pingback: Un 2021 favoloso: grazie a tutti! - Alessandro Balboni
Pingback: Mi hanno (quasi) hackerato il profilo Instagram - Alessandro Balboni
Pingback: Google Authenticator: proteggi i tuoi account - Alessandro Balboni