Per info aggiornate sul data breach (violazione dati) del 15.01.2019 cliccare qui.
Abbiamo spesso parlato di password, della loro importanza, di come crearle per renderle meno semplici da intuire o trovare attraverso un attacco, per esempio, di Brute Force; ma, non sempre questo basta.
Il Brute Force e gli attacchi a dizionario, infatti, utilizzano sia vari tentativi di combinazioni alfanumerice ed alfasimboliche che, però, necessitano del tempo sia, ed è questo che ci interessa qui, dei database di con diverse liste contenenti varie chiavi d’accesso. Queste password, tendenzialmente, vengono ottenute da attacchi informatici mirati alla collezione dei dati di piattaforme digitali e dei loro relativi archivi e, conseguentemente, rese pubbliche. Cosa significa questo? Che, magari, anche se la nostra password era, per esempio, di trentadue caratteri alfasimbolico e numerici, essendo stato rubato l’archivio in cui era presente, ormai non sarà più effettiva e dovremo cambiarla. Ma noi poveri mortali come facciamo a sapere se la nostra password è stata rubata da una data piattaforma? Semplice, spesso, le compagnie sono le prime ad avvertirci, via e-mail, di modificare la nostra password in seguito ad un attacco subito. Per esempio, nel 2015, la piattaforma di Twich – come azione preventiva – non solo aveva informato tutti i propri utenti dell’accaduto via e-mail, ma aveva anche resettato tutte le password obbligando ognuno a modificare la propria, disconnesso i vari account dalle altre piattaforme e scritto un post sul proprio blog.
La lista di piattaforme che hanno subito un breach, ovvero una violazione, relativa agli archivi degli account ospitati è lunghissima e possiamo darle un’occhiata a questo link. Ma se siamo pigri e vogliamo controllare solamente ed esclusivamente le pagine che utilizziamo noi stessi come, per esempio, la piattaforma che ospita la nostra e-mail basterà accedere a questo sito https://haveibeenpwned.com/ ed inserire il nostro indirizzo e-mail oppure il nostro nickname (nome utente) nella sezione apposita. Il sito Have I Been Pwned (il cui titolo tradotto in italiano potrebbe suonare come un “Sono stato fregato?”) è stato creato proprio per permettere a qualsiasi utente di controllare se i propri dati sono o meno stati messi in pericolo.
Nel caso la piattaforma su cui il nostro account è ospitato sia stata in qualche modo attaccata perdendo possibilmente i nostri dati, o password, o altro il sito in questione cce lo segnala specificando anche quando questo sia avvenuto e come. Qui, per esempio, come mostrato dall’immagine sottostante, abbiamo un’e-mail ospitata da Yahoo, Myspace e Tumblr. Scrollando vedremo che nel 2008, 360 milioni di account Myspace sono stati esposti ad un attacco e pubblicati (nomi utenti, password e indirizzi e-mail); gli stessi nel 2016 sono stati anche messi in vendita sul dark market di “Real Deal”. Mentre, nel 2013 è stata la volta di Tumblr dove 65 milioni di account (nomi utenti e password) sono stati esposti a loro volta e venduti anche loro nel dark market.
Inoltre, da non molto tempo è stata inserita una nuova opzione per poter controllare anche le proprie password https://haveibeenpwned.com/Passwords: logicamente, viene calorosamente sconsigliato di comunicare a terzi la suddette o di inserire chiavi che stiamo effettivamente usando. Qui, sarà possibile anche scaricare la lista delle password esposte ad internet per poter personalmente controllarlo senza usufruire del servizio on-line.
Questo servizio, come fa notare il suo creatore Troy Hunt, è stato creato per permettere a quegli utenti un tantino troppo pigri di controllare le loro password e vedere se, effettivamente, sono semplici come sembrano. Per esempio, se inseriamo qualcosa come: q1w2e3r4t5y6u7i8o9p0 oppure come p@55w0rd, ci comparirà l’avviso che effettivamente la nostra password tanto furba non era o che, comunque, è apparsa il qualche violazione di dati e che, quindi, se la stiamo ancora usando sarà meglio modificarla.
Ci sono anche servizi offerti da altre piattaforme come quella di Kasperky che ci permette di calcolare la forza della nostra password a questo link: https://password.kaspersky.com/it/, ma personalmente pensiamo il sistema di Troy Hunt si riveli maggiormente utile anche grazie alle ulteriori informazioni che fornisce al proprio utente.