In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni
      1. Aiello del Friuli
      2. Amaro
      3. Ampezzo
      4. Andreis
      5. Aquileia
      6. Arba
      7. Arta Terme
      8. Artegna
      9. Arzene
      10. Attimis
      11. Aviano
      12. Azzano Decimo
      1. Bagnaria d'Arsa
      2. Barcis
      3. Basiliano
      4. Bertiolo
      5. Bicinicco
      6. Bordano
      7. Brugnera
      8. Budoia
      9. Buia
      10. Buttrio
      1. Camino al Tagliamento
      2. Campoformido
      3. Campolongo al Torre
      4. Caneva
      5. Carlino
      6. Casarsa della Delizia
      7. Cassacco
      8. Castelnovo del Friuli
      9. Castions di Strada
      10. Cavasso Nuovo
      11. Cavazzo Carnico
      12. Cercivento
      13. Cervignano del Friuli
      14. Chions
      15. Chiopris-Viscone
      16. Chiusaforte
      17. Cimolais
      18. Cividale del Friuli
      19. Claut
      20. Clauzetto
      21. Codroipo
      22. Colloredo di Monte Albano
      23. Comeglians
      24. Cordenons
      25. Cordovado
      26. Corno di Rosazzo
      27. Coseano
      1. Dignano
      2. Dogna
      3. Drenchia
      4. Enemonzo
      5. Erto e Casso
      1. Faedis
      2. Fagagna
      3. Fanna
      4. Fiume Veneto
      5. Fiumicello
      6. Flaibano
      7. Fontanafredda
      8. Forgaria nel Friuli
      9. Forni Avoltri
      10. Forni di Sopra
      11. Forni di Sotto
      12. Frisanco
      1. Gemona del Friuli
      2. Gonars
      3. Grimacco
      1. Latisana
      2. Lauco
      3. Lestizza
      4. Lignano Sabbiadoro
      5. Ligosullo
      6. Lusevera
      1. Magnano in Riviera
      2. Majano
      3. Malborghetto Valbruna
      4. Maniago
      5. Manzano
      6. Marano Lagunare
      7. Martignacco
      8. Meduno
      9. Mereto di Tomba
      10. Moggio Udinese
      11. Moimacco
      12. Montenars
      13. Montereale Valcellina
      14. Morsano al Tagliamento
      15. Mortegliano
      16. Moruzzo
      17. Muzzana del Turgnano
      1. Nimis
      1. Osoppo
      2. Ovaro
      1. Pagnacco
      2. Palazzolo dello Stella
      3. Palmanova
      4. Paluzza
      5. Pasian di Prato
      6. Pasiano di Pordenone
      7. Paularo
      8. Pavia di Udine
      9. Pinzano al Tagliamento
      10. Pocenia
      11. Polcenigo
      12. Pontebba
      13. Porcia
      14. Pordenone
      15. Porpetto
      16. Povoletto
      17. Pozzuolo del Friuli
      18. Pradamano
      19. Prata di Pordenone
      20. Prato Carnico
      21. Pravisdomini
      22. Precenicco
      23. Premariacco
      24. Preone
      25. Prepotto
      26. Pulfero
      1. Ragogna
      2. Ravascletto
      3. Raveo
      4. Reana del Rojale
      5. Remanzacco
      6. Resia
      7. Resiutta
      8. Rigolato
      9. Rive d'Arcano
      10. Rivignano
      11. Ronchis
      12. Roveredo in Piano
      13. Ruda
      1. Sacile
      2. San Daniele del Friuli
      3. San Giorgio della Richinvelda
      4. San Giorgio di Nogaro
      5. San Giovanni al Natisone
      6. San Leonardo
      7. San Martino al Tagliamento
      8. San Pietro al Natisone
      9. San Quirino
      10. San Vito al Tagliamento
      11. San Vito al Torre
      12. San Vito di Fagagna
      13. Santa Maria La Longa
      14. Sauris
      15. Savogna
      16. Sedegliano
      17. Sequals
      18. Sesto al Reghena
      19. Socchieve
      20. Spilimbergo
      21. Stregna
      22. Sutrio
      1. Taipana
      2. Talmassons
      3. Tapogliano
      4. Tarcento
      5. Tarvisio
      6. Tavagnacco
      7. Teor
      8. Terzo d'Aquileia
      9. Tolmezzo
      10. Torreano
      11. Torviscosa
      12. Tramonti di Sopra
      13. Tramonti di Sotto
      14. Trasaghis
      15. Travesio
      16. Treppo Carnico
      17. Treppo Grande
      18. Tricesimo
      19. Trivignano Udinese
      1. Udine
      1. Vajont
      2. Valvasone
      3. Varmo
      4. Venzone
      5. Verzegnis
      6. Villa Santina
      7. Villa Vicentina
      8. Visco
      9. Vito d'Asio
      10. Vivaro
      1. Zoppola
      2. Zuglio
Approfondimento

Perché usare la stessa password è pericoloso e 5 password manager per risolvere il problema

di Emanuele Capone
Perché usare la stessa password è pericoloso e 5 password manager per risolvere il problema
Un’analisi di Check Point Software ricorda l’importanza di usare credenziali diverse per siti diversi, che non è quello che fa il 60-80% delle persone. I nostri consigli per essere più sicuri online
Aggiornato 5 minuti di lettura

Apple ha pensato a un modo per fare a meno delle password: con l’arrivo dei nuovi sistemi operativi iOS 16 e macOS Ventura, gli iPhone, iPad e Mac possono fare da portachiavi per le credenziali di accesso a siti e piattaforme, senza la necessità di crearne di nuove per ognuno. Chissà che questo non contribuisca ad arrestare un fenomeno tanto diffuso quanto pericoloso, quello della stessa password usata per il collegamento a più servizi.

Secondo una ricerca di Google (questa, in pdf), circa il 65% delle persone riutilizza la medesima password su diverse piattaforme, magari per il profilo su Facebook, per quello su LinkedIn o per l’accesso al conto corrente online. Più di recente, un’analisi condotta da Bitwarden, uno fra i più diffusi servizi di gestione delle password, ha evidenziato che oltre l’80% dei suoi utenti fa più o meno la stessa cosa.

In generale, e come su Italian Tech abbiamo spiegato spesso, non creare nuove credenziali di accesso per ogni sito cui ci si deve registrare, preferendo invece la funzione Login con (appoggiarsi all’account di Gmail per creare un profilo su TikTok, per esempio), è sbagliato dal punto di vista della privacy e della tutela dei dati personali: facendo così, il sito cui ci si appoggia avrà accesso a molte più informazioni su di noi. Qui però il problema è un altro, ed è un problema di sicurezza.

Perché usare la stessa password è sbagliato

“Tendiamo a credere che quando un hacker ci sottrae le password, la peggiore delle ipotesi è che le informazioni vengano pubblicate e utilizzate nel Dark Web, ma il rischio non è solo questo - ci ha raccontato Marco Fanuli, security engineer team leader di Check Point Software - Quando si usa la stessa password per diversi servizi, il danno di un attacco informatico è potenzialmente più elevato, perché, anche violando un solo account, i criminali possono accedere a molteplici piattaforme e app. Ed è così che la vulnerabilità agli attacchi aumenta esponenzialmente”.

Non è difficile capire il perché: se la password usata per Facebook è la stessa di LinkedIn e dell’home banking, il furto della prima permetterà l’accesso anche agli altri servizi. Ma la questione è più complessa di così, perché ormai i criminali informatici hanno capito che questi nostri comportamenti sono un’opportunità da sfruttare, anche creando enormi database di credenziali rubate, che danno vita a un proficuo mercato nero: come spiegato da Check Point, gli hacker mettono insieme le cosiddette Combo List, elenchi lunghissimi di indirizzi mail e password che poi possono essere provati su più siti sino a trovare la combinazione gusta. La più grande Combo List di sempre, chiamata RockYou2021 e pubblicata sul Dark Web nel 2021, conteneva oltre 8 miliardi di set univoci di account e password.

Un esempio di Combo List che contiene oltre 25 milioni di possibili combinazioni
Un esempio di Combo List che contiene oltre 25 milioni di possibili combinazioni 

Cosa sono Brute Force Attack e Credential Stuffing

Ma come fanno i cybercriminali ad avere accesso a queste informazioni? Un po’ li aiutiamo noi, ma un po’ hanno sviluppato strumenti adatti allo scopo: “Noi continuiamo a sottolineare l’importanza della creazione delle password, che viene purtroppo ancora sottovalutata - ci ha ricordato Fanulli - C’è chi le fa troppo semplici, chi usa informazioni personali per crearle e appunto chi sceglie la stessa password per account diversi”. Questo è il nostro (involontario) contributo, ma gli strumenti quali sono? “Molti hanno questa immagine un po’ fantasiosa dell’hacker con carta e penna che prova tutte le combinazioni possibili finché non trova quella giusta - ci hanno detto ancora da Check Point - In realtà viene usata una tecnica chiamata Brute Force Attack, cioè viene usato un software che in poco tempo effettua un numero elevato di combinazioni, scovando in poche ore le password più semplici”.

E una volta trovate, che cosa se ne fanno? Che cosa se ne fa chi le compra online? Le usa per praticare quello che si chiama Credential Stuffing, un tipo di attacco informatico in cui gli aggressori usano le credenziali rubate, cioè appunto elenchi di username e password, per riempire (to stuff, in inglese) contemporaneamente le pagine di login di quanti più siti e app possibile, sino a trovare la combinazione giusta per accedere a caselle di posta elettronica, conti bancari, social media e account aziendali.

Marco Fanuli di Check Point Software
Marco Fanuli di Check Point Software  

Quanto vale la mia password?

Il punto è che appena i criminali informatici hanno compreso il grande potenziale commerciale delle password rubate, hanno iniziato a concentrare gli sforzi sull'hacking di siti e servizi magari non di grande valore da soli, ma redditizi grazie alle informazioni che contengono. E così intorno a queste operazioni è nato un business fiorente: secondo i dati di Check Point, le combo di credenziali più ricercate, quelle che magari consentono l’accesso completo a siti aziendali solitamente ben protetti, possono costare sino a 120mila dollari sul mercato nero, con un prezzo medio che si aggira intorno ai 3mila.

Ci sono anche casi in cui vengono cedute gratuitamente, alimentando un mercato che non conosce crisi: solo negli ultimi 6 mesi, in una delle principali bacheche in inglese sul Dark Web, sono stati aperti più di 3500 thread relativi a database rubati e più di 1500 sulle Combo List che includono account di posta elettronica e password. Considerando le possibili combinazioni, ciascuno di questi database può includere milioni di set di credenziali, se non addirittura centinaia di milioni.

La (possibile) soluzione: scegliere un password manager

Quello che possiamo fare noi per contrastare tutto questo è scegliere password sempre diverse per ogni sito su cui ci registriamo, sceglierle complesse e con pochi collegamenti a noi, a chi siamo, al lavoro che facciamo, alla mamma, il cane, il fidanzato e la data di nascita, e anche utilizzare un password manager per gestirle e non dimenticarle.

C’è anche la possibilità di affidarsi a quelle generate casualmente dai browser (come Chrome), che poi le memorizza per noi: può essere allettante, ma in caso di mancata sincronizzazione fra un dispositivo e l’altro, si rischia di restare senza possibilità di accesso. Ed è qui che risultano utili i password manager, siti e app in cui scrivere tutte le varie credenziali, associarle ai vari siti e proteggerle con una master password, l’unica parola chiave che andrà tenuta a mente. Come il foglietto di carta di una volta, ma senza i rischi del foglietto di carta di una volta.

Sul mercato ce ne sono molti, leggermente diversi e da scegliere in base a caratteristiche, capacità e costo. Oltre al fatto che possano essere usati per l’autocompletamento (scrivano le password al posto nostro sui vari siti) e abbiano una qualche forma di backup nel cloud, così da avere un ulteriore paracadute.

LastPass
Forse il più usato, è anche quello che è più facile da consigliare perché semplice da usare, è ricco di funzioni e offre l’autenticazione a due fattori. Va però considerato che la versione per computer è graficamente un po’ datata e che è stato violato sia nel 2015 sia nel 2022.

RememBear
Se non si è mai usato un password manager, questo può essere quello da cui partire, grazie a un’interfaccia curata e giocosa: le opzioni sono tante, anche senza pagare, e ha una procedura di recupero della master password relativamente semplice. Tuttavia, l’interazione con le altre app è limitata e non è prevista alcuna forma di crittografia.

Bitwarden
Anche questa app ha un piano gratuito decisamente completo, è disponibile per praticamente tutte le piattaforme e i browser più diffusi e supporta l'autenticazione a due fattori. Attenzione ai limiti di spazio di archiviazione imposti dai vari piani a pagamento, prima di sottoscriverli.

1Password
Decisamente una delle nostre preferite: si può avere per Windows, macOS, Linux, Android e iOS, funziona bene, ha l'autenticazione a due fattori, il backup su Dropbox e pure un servizio che segnala le password deboli e quelle che potrebbero essere state violate. Il piano gratuito consente di archiviare solo un numero limitato di password, ma più che sufficienti per un utente comune.

Keeper
Probabilmente il servizio più indicato per gli utenti professionali o comunque con esigenze fuori dall’ordinario: multipiattaforma, autenticazione a due fattori, cronologia delle password precedenti, un piano Famiglia che comprende 5 singole casseforti e in generale funziona davvero bene. Però, le possibilità offerte dalla versione gratuita sono un po’ poche.

Una buona idea è provarli e vedere quello che fa al caso proprio, un’altra è ricordarsi che nemmeno i password manager sono la soluzione definitiva, perché nemmeno loro sono inviolabili: come detto, LastPass è stata hackerata due volte e l’ultima volta (lo scorso agosto) sono stati messi a rischio i dati di 25 milioni di utenti. Come sempre, la soluzione definitiva è usare prudenza e buon senso. Che sono due cose che non si trovano in vendita sugli store online.

@capoema

Leggi anche

© Riproduzione riservata