Sappiamo tutti che perdere le proprie password metta a serio rischio la nostra identità digitale. Eppure, in pochi prestano davvero attenzione alla solidità delle proprie credenziali, mettendo a punto i necessari accorgimenti minimi. Tutto questo è perfettamente noto ai cybercriminali che, non a caso, tendono ad attaccare di continuo le nostre deboli difese. Spesso riuscendoci, come dimostra una storia che arriva dai meandri del profondo Deep Web e che promette di essere una delle più clamorose della storia. Come ha annunciato lo scorso 8 dicembre la società di intelligence 4iQ, su Torrent è stata condivisa una gigantesca base dati, ribattezzata Breach Compilation, che potenzialmente si appresta a essere la base dati più ampia mai divulgata. Si tratta di un archivio di oltre 40 GB, contenente 1,4 miliardi di credenziali, composte da indirizzi email e password, sul quale Yarix, la Cyber Division di Var Group sta compiendo in queste ore un lavoro di analisi. Innanzitutto occorre rilevare come la violazione sia quasi due volte maggiore rispetto alla precedente maggiore esposizione di password, l’elenco Exploit.in, che toccò quota 797 milioni di credenziali. A rendere prezioso questo leak cumulativo per i cybercriminali non è solo la mole dei dati, ma anche la loro organizzazione su oltre 1900 file e la presenza nel pacchetto di uno script di ricerca in grado di restituire in pochi secondi i dati associati ad una email o username.
cybercr
Il database contiene i dati di account Bitcoin, Pastebin, LinkedIn, MySpace, Netflix, YouPorn, Last.FM, Zoosk, Badoo, RedBox, e di giochi come Minecraft e Runescap. Dall’analisi sul dump compiuta dalla Cyber Division di Var Group nelle ultime ore emerge tuttavia, grazie anche alla collaborazione di alcuni utenti coinvolti, la presenza nel leak di password vecchie o mai impiegate dagli utenti, con conseguente possibilità di uso solo parziale da parte di un attaccante. Basi dati come questa tuttavia rappresentano un valido supporto per i criminali per attacchi a soggetti definiti, perché utili a fornire uno storico delle password impiegate da cui trarre indicazioni preziose per la realizzazione di dizionari di password, strutturati sul modello delle password impiegate dall’utente target. Quello che stupisce gli esperti di sicurezza che stanno indagando sul caso è che gli utenti, in buona parte, tendono a riutilizzare le stesse credenziali per accedere a più servizi. Password che, in buona parte dei casi sono estremamente fragili: in testa c’è la classica 123456, seguita da altrettanto strampalate credenziali come 123456789, password, password1, 123, eccc. Insomma, anche senza la divulgazione di Breach Compilation, per i cybercriminali sarebbe stato probabilmente un gioco da ragazzi bucare la maggioranza degli account.
I consigli per migliorare la sicurezza delle password
Vale quindi la pena elencare alcuni semplici consigli per aumentare la sicurezza delle proprie password.
1) Sarebbe utile non utilizzare mai nomi propri e altre combinazioni come, per esempio, 123457, oppure, drago, o ancora qwerty.
2) Non bisognerebbe usare mai parole straniere scritte con lettere italiane perché gli hacker dispongono di dizionari speciali con queste combinazioni.
3) La cosa migliore sarebbe quella di memorizzare una combinazione che abbia un significato personale in modo da garantirne la sicurezza.
4) Un buon metodo, per ricordare una password, è quello di digitarla sulla tastiera molte volte, almeno una dozzina, in modo da poterla memorizzare senza poi dimenticarla.
5) Una password dovrebbe essere composta sia da cifre che da simboli e dovrebbe contenere lettere sia maiuscole che minuscole.
6) Un suggerimento che può essere scontato è quello di non rivelare mai a nessuno la password.
7) Se il dispositivo viene utilizzato da diverse persone, anche in questo caso non si dovrebbe mai rivelare la password, è consigliabile, quindi, creare un account diverso per chi lo usa.
8) Un suggerimento importante è quello di usare una password dedicata per gli account più importanti come, per esempio, il conto bancario online; in questo modo i criminali informatici avrebbero più difficoltà a sottrarre le credenziali d’accesso da una banca, ma potrebbero farlo con più facilità da un sito di incontri che potrebbe essere meno protetto.
9) Per scongiurare la violazione da parte di un hacker del vostro account, sarebbe opportuno abilitare la verifica di due passaggi su tutti gli account importanti.
