skip to main | skip to sidebar
15 commenti

Ecco perché si raccomanda di usare password differenti

Uno degli errori più comuni nella sicurezza informatica è usare la stessa password dappertutto, nella convinzione che se è sufficientemente complicata non verrà indovinata da nessuno.

Il difetto fatale di questo approccio è che se viene violato uno qualsiasi dei siti nei quali abbiamo usato quella password, i criminali informatici hanno in mano le chiavi di tutti i siti e servizi che usiamo: social network, mail, negozi online, account nelle reti di gioco, eccetera.

Usare la stessa password dappertutto, insomma, è come dare una copia delle proprie chiavi di casa a tutti i negozianti che incontriamo e sperare che tutti, dal primo all’ultimo, le custodiscano con cura perfetta e nessuno se le faccia rubare da un malintenzionato.

Purtroppo non tutti i negozianti custodiscono in modo assolutamente sicuro le password dei clienti. Un caso concreto viene segnalato dalla Centrale d’annuncio e d‘analisi per la sicurezza dell’informazione svizzera (MELANI), che pochi giorni fa ha annunciato che sono stati trafugati i dati d’accesso di circa 70.000 utenti di un noto sito svizzero di vendita di DVD. Secondo HaveIbeenPwned, le password erano custodite in chiaro: l’equivalente informatico di lasciare le chiavi di casa sotto lo zerbino.

Chiunque abbia usato altrove la password che ha usato su quel sito deve presumere che la sua password non sia più un segreto e farebbe quindi bene a cambiarla dappertutto. MELANI ha messo a disposizione un minisito, Checktool.ch, nel quale si può immettere il proprio indirizzo di mail (non la password!) per sapere se si è coinvolti in questo furto di massa.

È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare.

E già che siete in ballo a cambiare le password, attivate la verifica in due passaggi o l’autenticazione a due fattori presente in quasi tutti i siti importanti: fa da ulteriore protezione contro i furti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (15)
"È importante ricordare che i ladri di password rubano i dati di chiunque e che quindi non bisogna pensare “io non sono nessuno, a chi vuoi che interessi la mia password?”, come purtroppo sento spesso obiettare."

A parte l'utilizzo di carte di credito e un eventuale furto di identità, quali interessi hanno a rubare i dati dell'uomo qualunque?
Davide,

A parte l'utilizzo di carte di credito e un eventuale furto di identità, quali interessi hanno a rubare i dati dell'uomo qualunque?

Dammi una scansione della tua carta d'identità e te lo dimostro :-)
Dai, te la mando :D
Comunque, seriamente, io cosa potrei farmene dei tuoi dati, escludendo operazioni bancarie? Potrei fare un bonifico verso un conto non rintracciabile, ma o lo fai in banca, e quindi suppongo che controllino la tua identità fisicamente, o lo fai online, e quindi avresti bisogno delle credenziali di accesso al sito della banca e immagino qualche codice di sicurezza.

A parte quello? Se io decidessi di spacciarmi per te, che hai una certa notorietà, potrei pubblicare qualcosa a nome tuo e dare un colpo alla tua carriera. Lo facessi con il fruttivendolo del paese, cosa potrei fare usando il suo nome?
Paolo, la carta d'identità di @Davide prendila da noisigroup...

Combatto continuamente con utenti che non capiscono l'importanza FONDAMENTALE di differenziare le password, è molto complicato farlo capire... quando entrano su Facebook, tutti mettono la propria mail con la password della mail stessa e non capiscono che POSSONO e DEVONO differenziare l'accesso alla posta con l'accesso a Facebook e quando ho tempo, lo facciamo assieme mettendo una password complessa E UNICA almeno per la mail... :-/ #tristezzeinformatiche
Comunque la mia carta di identità la trovi su https://noisigroup.com/uploadtmp :D

(scusa l'inside joke :D )
Un esempio banale di utilizzo di dati altrui per una truffa: metto in vendita qualcosa su un sito di annunci, ad esempio una macchina fotografica professionale o un oggetto ambito dai collezionisti, diciamo dal valore di un migliaio di euro (abbastanza elevato da giustificare la truffa ma non troppo da mettere in allarme gli eventuali acquirenti).
Però lo faccio a nome di "Davide Bellone" :-) e per tranquillizzare l'acquirente, che prima di mandarmi 1000 euro vuole garanzie, gli mando una copia del documento. L'acquirente controlla e vede che il documento corrisponde effettivamente ad una persona esistente, che risulta nell'elenco telefonico all'indirizzo presente sul documento.
Mi faccio mandare i soldi e poi sparisco.

A questo punto Davide Bellone ha i suoi problemi a dimostrare che lui non c'entra nulla con la truffa, mentre io mi godo i miei 1000 euro e sono pronto a truffare il prossimo.
Ho fatto il penultimo rinnovo della RCA con la compagnia Conte.it , l'anno successivo non ricordavo la password (capita, per i siti che si vedono una volta e mai più), seguo quindi la procedura per il recupero. Eccola lì: una bella email con la password in chiaro!

Faccio notare che la mia password non dovrebbero conoscerla neanche loro e che non dovrebbe essere memorizzata in chiaro.
La risposta è stata questa:
vogliamo rassicurarla sul fatto che gestiamo le password, e più in generale i dati personali dei nostri clienti, nel rispetto degli attuali obblighi di legge e che il nostro Data Base è protetto da misure poste a presidio della sua sicurezza

Non so quali siano gli obblighi di legge, ma la cosa mi ha lasciato alquanto perplesso.
Io aggiungerei: "Non aspettatevi che l'impiegato dall'altro lato esegua tutte le verifiche del caso su ogni pratica."

Così come può capitare di ordinare 2 pizze ed una bottiglia da litro di coca-cola e veder arrivare il fattorino senza la coca-cola*, così può capitare che un impiegato decida di controllare 4 applicazioni su 5, se un'applicazione fasulla è nel quinto che non viene verificato, passerà come valida. Ovviamente le conseguenze, in caso di furto d'identità, saranno molto più gravi che il ricevere la coca-cola 45 minuti in ritardo o il vedersi scalare/restituire il prezzo della bottiglia

*Se volete aprire un esercizio che consegna la pappa a domicilio, dovrete affidare la responsabilità di questo ad una sola figura. Qualcuno l'affida ai fattorini, qualcuno l'affida agli spedizionieri.
Ancora password in chiaro?!?! Ma ragazzi ma questo vuol dire davvero che il sistema è stato progettato da "mio nipote che col PC ci sa fare". Sono allibito. L'unica volta che è ho messo una password in chiaro nel database è stato 10 anni fa, avevo 17 anni e stavo facendo la prima prova per imparare sql, php e compagnia bella. Ovviamente lavoravo in locale.
contekofflo, grazie. Ora mi è chiaro! :)
Ciao Paolo, giusto un anno fa inseristi fra i buoni propositi per l'anno nuovo quello di usare un password manager.
Siccome era una cosa alla quale pensavo da parecchio tempo, colsi la palla al balzo e mi decisi ad acquistarne uno.
Dopo un anno posso dire che è di una comodità impagabile: con un'unica password ho a disposizione tutte le altre, su tutti i miei dispositivi e il generatore crea facilmente password complicate e diverse per ogni sito.
Addio foglietti, file nascosti, password dimenticate!
Sapiens

Ancora password in chiaro?!?! Ma ragazzi ma questo vuol dire davvero che il sistema è stato progettato da "mio nipote che col PC ci sa fare". Sono allibito.

Non necessariamente, è il cliente che decide. Tecnicamente potrei essere già nonna, eppure continuo a fare manutenzione su un vecchio ecommerce (un po' vintage, ma per il resto funziona bene) in cui da sempre le password sono salvate in chiaro.

L'unica volta che è ho messo una password in chiaro nel database è stato 10 anni fa, avevo 17 anni e stavo facendo la prima prova per imparare sql, php e compagnia bella.

Buon per te, proprio qualche settimana fa ho inviato l'ennesima email in cui con tanto di spiegone cercavo di sensibilizzare il cliente sui potenziali problemi e sul fatto che salvare gli hash invece delle password sia pratica comune e di semplice implementazione. La risposta finale è stata che "la cosa lo preoccupa un po'. E' proprio il caso [di fare la modifica]?" Il cruccio è quello di non poter rimandare tramite email la password al cliente che l'ha dimenticata, ma attivare il solito meccanismo di invio di una nuova password generata casualmente (cosa che scoccerebbe assai il cliente). Così siam messi... e per esperienza ritengo che questa situazione non sia un caso isolato.
Mi ricordo che qualche tempo fa ero finito, con il mio indirizzo e-mail, in una megalista di password rubate, con una password che secondo loro era la mia password gmail (come se tutti usassero solo gmail come indirizzo e-mail), solo perché la avevano trafugata da un sitarello a cui mi ero iscritto per prova. Peccato che io uso sempre password diverse, e quella che mi avevano fregato era inutile per ogni altro sito cui mi connetto...
Qualcuno sa (Attivissimo?) cosa accade quando accedo ad un servizio con account Google o Facebook? Condivido con loro la mia pwd Google?
Raffaele Romano,

Qualcuno sa (Attivissimo?) cosa accade quando accedo ad un servizio con account Google o Facebook? Condivido con loro la mia pwd Google?

Non ho studiato approfonditamente la materia, ma mi risulta che non condividi la tua password con un servizio di terzi. Però dai al servizio di terzi il permesso di leggere i tuoi dati nel social network: quali dati, di preciso, dipende da come è impostato l'accesso.