Collection #1, il database delle email violate è un’occasione per ripensare le buone abitudini

AutenticazioneSicurezza

Dopo la diffusione del database Collection #1, il servizio HaveIbeenpwned.com per verificare le violazioni sta raccogliendo un grande successo. L’evento critico dovrebbe portare a cambiare le cattive abitudini

Collection #1 è la raccolta di oltre 770 milioni tra email e password, generata nel tempo raccogliendo i dati di una serie di successive violazioni da migliaia di fonti diverse.

In questi giorni è balzata agli onori della cronaca in abbinamento con il servizio HaveIbeenpwned.com che consente a chiunque gratuitamente di verificare se la propria email, o la propria password, o entrambe sono state violate o fanno parte del patrimonio a disposizione degli hacker. Il pericolo è presto spiegato.

Attraverso la pubblicazione di Collection #1 gli hacker malintenzionati possono tranquillamente incrociare email e password violate o semplicemente le password utilizzate sui diversi siti con un account email per prendere il controllo dei diversi servizi sottoscritti dall’ignaro utente.

Lo spiegano bene anche gli esperti Kaspersky: la cosa più preoccupante è che tutti questi dati, ottenuti attraverso varie violazioni, possono essere facilmente trasformati in un unico elenco di indirizzi email e password. Tutto quello che i cybercriminali avrebbero bisogno di fare, quindi, è creare un software piuttosto semplice e verificare così l’effettivo funzionamento di quelle stesse password.

Le conseguenze di un accesso indesiderato ad un account compromesso possono essere di vario tipo: si va dal phishing, conveniente dal punto di vista pratico – visto che i criminali informatici potrebbero inviare automaticamente email malevole a tutto l’elenco dei contatti di una determinata vittima – fino ad attacchi mirati per il furto delle identità digitali, la sottrazione di denaro o la compromissione dei dati sui social network.

Cosa insegna Collection #1

Al di là del servizio HaveIbeenpwned.com, che in questi giorni fa registrare il suo record storico di visite ed è collegato in modo intelligente (furbo oseremmo dire) anche a 1Password proprio per passare a un sistema intelligente di gestione delle password, Collection #1 deve comunque portare sostanzialmente a un cambiamento radicale su due comportamenti.

Il primo è sottovalutare l’importanza della creazione di password robuste e il secondo è fare in modo che le password siano diverse per ogni sito, qualsiasi sia la sua importanza (finance o non finance etc.etc.) questo perché anche una password robusta ma utilizzata su diversi servizi perde subito la sua funzione principale che è quella di proteggere gli accessi.

Le conseguenze sono presto dette: si va dal phishing (la minaccia più economica ed a basso rischio per chi attacca – basta l’indirizzo email) e si arriva ad attacchi mirati per il furto delle identità digitali, la sottrazione di denaro o la compromissione dei dati sui social network.

Il nostro consiglio è di verificare la violazione o meno del proprio account (cioè se l’indirizzo di posta è finito negli elenchi Collection #1 che non vuol dire che gli hacker possiedano già anche la password per accedervi), verificare di conseguenza la violazione delle vostre password, e provvedere subito alla relativa sostituzione.

Have I been pwned? Come verificare un’eventuale violazione di email e password secondo il database dopo la pubblicazione del DB Collection #1

Per quanto riguarda le aziende le soluzioni sono sicuramente più complesse ma di sicuro la responsabilizzazione delle singole risorse è il primo passaggio e nell’era dell’IT liquida, di sicuro la gestione delle password in modo intelligente dovrebbe essere il primo passaggio.

Il sito HaveIbeenpwned.com è considerato affidabile, in ogni caso possiamo di sicuro esprimere qualche riserva anche sul fatto che la stessa procedura di verifica appena suggerita, su un sito che non fosse del tutto tale, non sarebbe proprio da seguire, agli attaccanti basterebbe poco, anzi nulla, per entrare in possesso in un istante di user id e password senza colpo ferire. Così, pensiamo anche che servizi come 1Password, Keeper, LastPass, RoboForm, LogMe, DashLane, Zoho Vault e via dicendo (abbiamo espressamente citato quelli che Silicon ritiene i migliori) nel tempo diventeranno obiettivi primari per gli attaccanti, e per questo sarà interessante vedere come evolveranno i loro sistemi di protezione, oltre l’autenticazione a due fattori.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore