Come sapere se un hacker ha rubato la mia password

Sei proprio sicuro di non aver subito attacchi hacker e che le tue password siano segrete? Meglio verificare e… porre subito rimedio

Hacker, cyber crimini, black hat, violazioni informatiche. Oramai sei abituato a questi termini e sai sicuramente che a essi corrisponde concettualmente il mondo delle intrusioni informatiche, con le quali personaggi quasi mitologici riescono a rubare le password o inserirsi nei nostri siti e magari cancellarci le email. In realtà i danni di queste violazioni sono più gravi, soprattutto nell’era dell’Internet delle cose, con gli oggetti di uso comune, come televisori, frigoriferi, automobili collegati alla rete. Una password poco sicura consente a estranei di introdursi in casa e prendere il controllo di tali oggetti, spiarti e fare danni. L’Internet delle cose è una realtà consolidata e non riguarda solamente i piccoli oggetti; è molto recente la notizia che in un ospedale sono stati inseriti dei robot che si prendono cura dei pazienti; e anche l’industria 2.0 vede le macchine sostituirsi all’uomo. E che dire di treni e metropolitane controllati da computer? Scopriremo ora come verificare la sicurezza delle password e sapere se gli hacker hanno rubato le nostre password: primo step per una vita connessa e tranquilla.

Le password sono in chiaro in Collection#1

A metà Gennaio di quest’anno è stato pubblicato Collection#1, un archivio contenente milioni di indirizzi email e relative password di accesso. Da una stima effettuata sono state violate più di 700mila indirizzi email e ben 21 milioni di password, una violazione di portata colossale, la più grande dopo quella subita da Yahoo qualche anno fa. Questo elenco, oltre all’ovvio e più immediato danno di rendere pubblici i dati di accesso di milioni di account email, è uno strumento significativo per studiare le abitudini degli utenti per quanto riguarda la creazione di una password, con le combinazioni di caratteri speciali, il tipo di parole utilizzate, la lunghezza delle stesse password e così via.

Scopri se la tua password è stata hackerata

Partiamo da una domanda semplice: la password che usi per la casella email è unica o la utilizzi anche altrove? Spesso si fa l’errore di utilizzare una medesima password per tutto, e questo ci rende molto vulnerabili. Basta chiedersi come sia stato possibile riuscire a compilare un così grande elenco per capire la portata del problema della vulnerabilità. Probabilmente non è stato violato il servizio di posta di Google (per citare il più utilizzato), ma qualche forum (meno protetto) in cui ti sei iscritto chissà quando e chissà perché. Se la password che usi è la stessa per tutto, basta una leggerezza di questo tipo per dare accesso ai tuoi dati ad estranei, dalla posta alla banca per finire ai meno problematici social network (anche se è seccante quando ti accorgi che Facebook è stato violato, vero?).

Cosa fare se l’account è stato violato?

La prima azione che devi porre in essere è un controllo, per verificare se in questo famigerato elenco ci sia anche il tuo indirizzo di posta elettronica. Se il risultato è positivo, è necessario procedere ai passi successivi per attivare una maggiore protezione dei tuoi dati. Immediatamente è necessario un cambio password e poi, se sei uno di quelli che utilizza la stessa password ovunque, ti dovrai armare di pazienza e cambiarla, almeno per i siti “importanti”, che custodiscono dati sensibili, perché sono diventati tutti vulnerabili. Per completare, ti converrà attivare la notifica in caso di cambio password e anche la verifica in due passaggi. Infine, ma non meno importante, ti devi necessariamente abituare a utilizzare password diverse per ogni sito, per limitare i danni.

Come verificare una violazione

Iniziamo la verifica di questo archivio, per capire se anche il tuo indirizzo è in elenco. Per farlo, c’è un servizio che puoi utilizzare, disponibile sul sito Have I been pwned (Hibp). Hibp è uno strumento prezioso per controllare sia l’indirizzo email che la password, che ti può dire se la password che inserisci è stata violata da qualche parte in rete. L’interfaccia è molto intuitiva, basta inserire nel campo di ricerca l’indirizzo email da controllare e avviare la ricerca. Se il tuo indirizzo compare in qualche caso di violazione, il sito ti mostra un elenco con i dettagli e ti propone una linea di azione utile. L’indirizzo email di chi scrive per esempio è rimasto coinvolto in ben 4 violazioni, più precisamente è comparso, con tanto di password, in un forum russo nel 2014, in Collection#1 a Gennaio, in un archivio chiamato Exploit. In nel 2016 e infine nel 2018 ad Aprile in un altro archivio di indirizzi violati.

Come scegliere le password sicure

Have I been pwned, dopo aver svelato le violazioni subite e averti dato la possibilità di saperne di più, controllando la descrizione dei singoli accessi, ti offre anche delle soluzioni. Come prima cosa ti propone di andare su 1password.com e utilizzare il servizio di creazione password sicura (gratuito per i primi 30 giorni). Le password sicure sono quelle lunghe, con una combinazione casuale alfanumerica e di caratteri speciali e questo sito le genera in automatico per i diversi siti che indichiamo. In rete puoi trovare altri siti che ti offrono questo servizio gratuitamente, però 1password.com ha una marcia in più. Oltre al servizio di generazione password, questo ti permette di attivare la doppia autenticazione, che prevede l’inserimento anche di una password temporanea che ti sarà inviata di volta in volta e il servizio di notifica, in caso di un cambio password non autorizzato.

Come gestire le password nel modo migliore

La teoria sulle password, cioè che devono essere lunghe, con caratteri maiuscoli e minuscoli, numeri e caratteri speciali oramai la conosciamo tutti, ma continuiamo ad utilizzare parole segrete che riusciamo a memorizzare facilmente e soprattutto a non dimenticare. Con 1password.com il problema è risolto brillantemente. Grazie a questo sito avrai a disposizione uno spazio personale (lo puoi immaginare come una piccola cassaforte), dove sono ospitati tutti i tuoi dati di accesso. Quello che dovrai fare è ricordare una sola password, la chiave della tua cassaforte. 1password.com si preoccupa di custodire e proteggere la tua cassaforte, alla quale tu puoi accedere da qualunque device per collegarti ai siti in cui sei iscritto.

Il tool che ti avverte se una tua password è stata violata

Dopo l’uscita di Collection#1, che ha pubblicato indirizzi email e relative password di milioni di utenti, Google non ha perso tempo a fare la sua mossa, giacché il suo servizio di posta elettronica Gmail è tra i più utilizzati. Big G ha lanciato, una manciata di giorni fa, Password Checkup, una estensione di Google Chrome che trovi sullo Store di Chrome e che serve proprio a verificare la sicurezza della password. A differenza di Have I been pwned, l’estensione di Google rimane attiva, una volta istallata sul browser ed effettua il controllo in automatico, quando inserisci i dati di accesso a un qualunque sito. Se la password inserita risulta essere stata oggetto di violazione, Password Checkup ti avvisa e ti propone di cambiarla.