Cosa fare quando vengono rubate per davvero 1,2 miliardi di password?

La fuga di dati sta ormai diventando una consuetudine; può accadere ovunque e ogni giorno. È qualcosa che non si può prevenire, ma si possono comunque contenere i danni.

Password

Il New York Times ha pubblicato oggi una notizia su un gruppo di cybercriminali che avrebbe rubato oltre un miliardo di password e di accoppiate username/indirizzo email da svariati siti Internet. Si tratta di un furto senza precedenti nella storia di Internet; tuttavia, non sono ancora stati diffusi i dettagli, per questo motivo la comunità degli esperti di sicurezza informatica è ancora un po’ scettica riguardo questa notizia. Innanzitutto, non sono stati indicati i siti colpiti da questo attacco e poi mancano anche dettagli tecnici, ovvero gli esperti vorrebbero sapere se le password fossero protette da hash oppure no. In ogni caso, l’utente vuole soltanto sapere quando intervenire per evitare problemi e cosa fare in concreto.

I principali provider non stanno inviando e-mail in cui viene chiesto all’utente di modificare la propria password in seguito a questa notizia, il che starebbe a indicare che non ci dovrebbero essere state gravi conseguenze. Tuttavia, la compagnia Hold Security che ha divulgato questa ricerca sostiene che le vittime principali sono state le compagnie più piccole; ovvero si tratta di aziende che spesso non seguono rigidi protocolli di sicurezza e dalle quali gli utenti non si aspettano certo messaggi che li inciti a cambiare la password.

Per contenere i danni è necessario utilizzare una password diversa per ogni account in possesso.

In ogni caso, questa notizia rappresenta una buona occasione per l’utente di riorganizzare l’intero sistema delle proprie password, razionalizzandolo.

“Il consumatore on può far nulla nel caso di fuga di dati di un provider, ma può contenere i danni utilizzando una password diversa per ogni account in possesso”, ci spiega David Emm, Senior Security Researcher  di Kaspersky Lab per il Regno Unito.

Si tratta di un’abitudine assolutamente fondamentale. Qualsiasi password può essere rubata sia dal computer dell’utente (con un keylogger, ad esempio) sia dal provider online. Per questo è necessario accertarsi che una password non apra le porte ad altri account importanti. Sappiamo che è complicato ricordare a memoria un numero importante di password, per questo consigliamo l’uso dei password manager; inoltre, ogni password deve essere sufficientemente robusta (si può provarne l’efficacia con il nostro password checker gratuito).

Per quanto riguarda gli account di primaria importanza (sito di home banking, Gmail etc.), consigliamo l’uso di misure di protezione aggiuntive. Questo genere di siti normalmente sono dotati del sistema di verifica in due passaggi che rende inutilizzabili ai ladri le sole password.

Consigli