Cerca nel blog

2019/03/08

Password svizzere rubate, che fare? Niente panico

Molti utenti si sono preoccupati per la notizia di un nuovo grande archivio di password rubate, denominato Collection #1-5, contenente “almeno 78 conti di parlamentari federali”, quelli di migliaia di impiegati della Confederazione e dei Cantoni, e circa 3 milioni di altri account svizzeri.

Ricevo da Michela una domanda: di recente ha controllato se i suoi indirizzi di mail sono su Haveibeenpwned.com e Breachalarm.com, siti che consentono di sapere se un indirizzo è stato incluso in uno di questi archivi e quindi potrebbe essere stato violato. Quanto sono attendibili questi siti?

I siti in sé sono attendibili e gestiti responsabilmente: ma si basano su dati prodotti da criminali informatici, che non hanno necessariamente una grande attendibilità. Questi criminali, infatti, mirano a far soldi vendendo archivi di milioni di indirizzi, per cui riempiono questi archivi con dati non sempre esatti.

Il fatto che fra gli account trovati in questi archivi ci siano quelli di parlamentari federali o di membri dell'esercito non vuol dire che queste persone si siano fatte rubare i dati o le credenziali di accesso. Vuol dire semplicemente che il loro indirizzo di mail è negli archivi.

Ma per i criminali è facile raccattare gli indirizzi di mail di funzionari pubblici, visto che sono pubblicati sui rispettivi siti istituzionali, e poi abbinarli a qualcosa che somigli a una password ma che non è affatto la vera password dell’account, per gonfiare il numero di credenziali presenti nell’archivio da vendere. Lo so perché un “furto” di password analogo l’ho subito anch’io, e la password che era abbinata al mio account non era mia e non lo era mai stata.

Vale tuttavia la pena di cogliere l’occasione per ripassare e magari migliorare le proprie regole di sicurezza informatica:

  • usando password lunghe
  • usando password differenti per ogni servizio
  • attivando l’autenticazione a due fattori
  • usando un password manager di buona reputazione per gestire tutte queste password

Nessun commento: