Attacco alle password: ecco i consigli per metterle al sicuro

Gli attacchi di password cracking raggruppano tutte quelle tecniche che, spesso facendo leva sull'errore dell'utente, permettono di impossessarsi delle password della nostra attività digitale.

Due sono le tipologie di attacco maggiormente usate:

  • social engineering (ingegneria sociale): attraverso email di phishing mirate e dettagliate, si  convincono gli utenti a comunicare la propria password. Ha fatto notizia in Italia, l'attacco avvenuto a dicembre 2019, con il quale i cyber criminali sono riusciti a rubare gli stipendi e le tredicesime di un numero "mai confermato" di dipendenti della Pubblica Amministrazione;
  • credential stuffing: consiste nella violazione del database di un servizio contenente un gran numero di password utente che poi si provano su altri siti.
    Famoso è il caso di  LinkedIn: nel 2012 furono rubate circa 164 milioni di credenziali che poi vennero messe in vendita nel 2016.  Tra queste anche quella di Mark Zuckerberg che usava la stessa password di LinkedIn (“dadada”) anche sui suoi account Twitter e Pinterest.
    Gli stessi hacker (OurMine Team) violarono anche l’account Twitter di Jack Dorsey  (il fondatore di Twitter) e quelli Quora e Twitter di Sundar Pichai (CEO di Google).
    Incredibile: anche i personaggi ai vertici delle maggiori aziende della Silicon Valley riutilizzavano la stessa password per più account!

Nel dark web sono moltissimi i database di credenziali rubate attraverso gli innumerevoli data breach che si sono verificati negli scorsi anni, dei quali non sempre si è venuti a conoscenza.
Utilizzando questi file vengono sferrati attacchi automatici con sistemi bot che utilizzano software specifici e permettono di provare le combinazioni di username e password.  Essendo poi così diffusa la pessima abitudine di riutilizzare le stesse password su servizi diversi, spesso questi tentativi di hackeraggio si concludono con successo.

Qualche consiglio per gestire tante password diverse

Si stima che ogni utente debba ormai gestire in media ca 100 password! Impresa difficile se si vuole contare solo sulla propria memoria.

Cosa fare allora?

  1. utilizziamo dei password manager: sono dei programmi o delle App che archiviano in modo sicuro e crittografato le credenziali (username e password);
  2. utilizziamo sempre delle  buone password: evitiamo assolutamente le cose più scontate (123456 .. ad esempio). Optiamo per parole lunghe (14 caratteri) utilizzando lettere, numeri e caratteri speciali.
  3. prediligiamo l' utilizzo di siti web/servizi  che hanno l’autenticazione a due fattori (2FA):  questi ci garantiscono maggiore protezione anche in caso di utilizzo di password deboli.
Hai qualche dubbio?
Un nuovo attacco informatico: il trojan URSNIF arriva via mail dai vostri contatti

“l’81% delle violazioni degli account sono realizzate con password rubate e/o password deboli - Verizon Data Breach Investigations Report 10a edizione

Fonte dei contenuti: Naked Security - Sophos Blog Italia.