Giornata mondiale della password: cosa sono phishing, brute force e credential stuffing
Tecnologia
Mettere al sicuro i propri dati sensibili diventa sempre più importante, anche visti i numerosi tentativi di truffa che vengono messi in atto sul web. Anche per questo gli esperti invitano ad eseguire un check di tutte le proprie password e, magari, di renderle maggiormente efficaci. Ecco come e contro quali tentativi di raggiro informatico
Possono essere piuttosto semplici, oppure ancora strane e complesse. Servono, ormai, per tantissime situazioni e capita, a volte, di dimenticarsele creando non pochi disagi. Sono le password, parole, lettere o numeri che possono anche non avere un senso alcuno e che sono associate sempre di più alle nostre finanze, ai nostri dati sanitari o alle e-mail solo per citare alcuni esempi. E che sono al centro del World Password Day che ricorre proprio oggi, 1° maggio.
L’importanza delle chiavi crittografiche
La Giornata Mondiale delle Password, fondamentalmente, vuole mettere al centro dell’attenzione l'importanza di queste piccole chiavi crittografiche e il ruolo che svolgono nel garantire il controllo della nostra vita, anche considerando che i ladri di identità sono ovunque e queste rappresentano la nostra prima linea di difesa digitale. Dunque, in questa giornata, gli esperti informatici sollecitano le persone a fare un check di tutte le proprie password e, magari, di renderle maggiormente sicure, inventando magari frasi senza senso che però si riescono a ricordare, aggiungendo spazi, sostituendo le lettere con numeri e altri accorgimenti simili per creare qualcosa che nessuno, o quasi, potrà indovinare. Altri consigli? Meglio evitare nomi, date, anniversari, nomi di animali domestici, insomma tutte quelle password che troppo spesso sono facile preda di malintenzionati. Una ricerca di Business Insider, in questo senso, ha permesso di capire quanto siano vulnerabili gli account degli utenti e ha scoperto che 10.000 delle password più comuni consentono l'accesso al 98% di tutti gli account. In altre parole, la maggior parte delle persone utilizza le stesse password, senza mai cambiarle. Gli hacker professionisti lo sanno, ed è parte del motivo per cui hanno avuto così tanto successo negli ultimi anni. La Giornata Mondiale delle Password, quindi, è un tentativo di contrastare questo fenomeno ed è nata per lanciare un monito al mondo e per diffondere la consapevolezza che prendersi cura delle proprie password è fondamentale per proteggersi dal furto di identità.
L’autenticazione a due fattori
Gli organizzatori del World Password Day stanno anche promuovendo l'idea dell'autenticazione a due fattori: l'idea è quella di utilizzare due forme di sicurezza per aumentare le probabilità che sia tu a tentare di accedere al tuo account e non qualcun altro. L'autenticazione a due fattori può assumere diverse forme. Più comunemente, prevede l'utilizzo di una password normale e l'invio di un avviso al telefono per confermare se sei effettivamente tu ad accedere. In caso contrario, puoi rifiutare la richiesta di accesso e cambiare la password.
Approfondimento
Safer Internet Day 2025: cos'è e come scegliere le password più sicure
Il phishing
A questo proposito, utilizzare password sicure consente di proteggersi dai diversi tentativi di truffa in cui ci si può imbattere online. Tra questi c’è il phishing che, come spiega la Polizia Postale, “è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli”. Cosa succede, quindi? Attraverso una e-mail, solo apparentemente proveniente, ad esempio, da istituti finanziari o da siti web che richiedono l'accesso previa registrazione, vengono segnalati fantomatici problemi di registrazione o di altra natura, situazioni che impongono di fornire i propri dati riservati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, “è indicato un collegamento che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali”, viene spiegato ancora.
Cosa si intende per attacchi “Brute Force”
Gli attacchi denominati “Brute Force”, chiamati anche attacchi “forza bruta”, sono delle procedure messe in atto da cybercriminali per cercare di individuare una password o una chiave di sistema, sfruttando algoritmi e tecniche di cifratura. Si tratta di un metodo che procede per tentativi e che permette di provare tutte le possibili combinazioni di lettere, numeri e caratteri speciali esistenti, per arrivare a trovare quella corretta. Perché una violazione di questo tipo centri l’obiettivo, è importante che l’hacker che compie l’operazione sia piuttosto abile e abbia a disposizione strumenti validi e adeguati. Infine, è determinante la complessità della password: se questa è lunga, ben studiata e non banale, sarà molto più complesso individuarla rispetto a una combinazione comune e scontata. Una violazione di questo tipo è realmente pericolosa, visto che se va a buon fine consente di rubare password e dati importanti, come credenziali di accesso di social network, e-commerce, conti correnti e molto altro. Rendendoci vulnerabili ed esponendo dati sensibili e informazioni preziose. La regola numero uno per proteggersi da un attacco simile, dunque, è scegliere sempre una buona password, lunga almeno otto caratteri. Meglio usare lettere maiuscole e minuscole e optare sempre per qualche numero e carattere speciale. E, se non si hanno idee si può ricorrere ad un generatore di password, come Strong Password Generator, PC Tools Secure Password Generator e Password Savy. Inoltre, un buon espediente è cambiare regolarmente la password, magari ogni 2 o 3 mesi.
Il “credential stuffing”
Un altro termine può tornare utile parlando di questi argomenti, cioè quello di “credential stuffing”. Si tratta di una tecnica di attacco informatico che sfrutta sostanzialmente credenziali rubate per ottenere i privilegi di accesso a siti oppure a servizi sul web. Per gli esperti è una forma di aggressione informatica piuttosto articolata il cui autore, per decifrare i dati maggiormente sensibili, non si avvale del metodo “brute force”, bensì automatizza gli accessi per un numero elevato (da migliaia a milioni) di coppie di credenziali scoperte in precedenza. L’hacker, quindi, sfrutta un’abitudine errata da parte degli utenti, cioè quella di utilizzare più e più volte le stesse credenziali, tra username e password, per l’accesso a diversi portali, applicazioni e servizi web. E queste credenziali vengono utilizzate per ottenere l’accesso non autorizzato agli account degli utenti tramite richieste automatizzate. L’hacker, in sostanza, automatizza i login per un ampio numero di utenti. Lo scopo di questa pratica è riuscire a ottenere l’accesso ad altri dati presenti nell’account hackerato, tra cui, magari, anche il numero di carta di credito, l’indirizzo dell’utente, eventuali documenti memorizzati e i suoi contatti. Come difendersi? Il “credential stuffing” non ha come solo obiettivo quello di arrivare alla combinazione username-password, ma cerca di ottenere l’accesso ad altri dati sensibili contenuti negli account hackerati. Per fare prevenzione, diventa importante implementare molteplici livelli di sicurezza. Anche in questo caso meglio non utilizzare password univoche, ovvero non collegate a informazioni personali e, quindi, facilmente riconducibili all’utente, per ogni diverso servizio. E, come ulteriore misura di sicurezza, bisognerebbe abilitare sempre l’autenticazione a due fattori, misura preventiva per mezzo di cui il login non avviene solo con la password di accesso, ma anche con un ulteriore fattore di autenticazione, come un codice inviato sullo smartphone, ad esempio.
)
)
)
)
)