Uno degli errori più comuni che si commettono nella gestione delle proprie password è quello di utilizzare la medesima password in molti siti diversi.
Ricordare password complesse, con il solo aiuto della memoria, non è semplice. Quindi la maggior parte di noi preferisce utilizzare la STESSA PASSWORD (magari anche abbastanza forte) in un gran numero di servizi sul web.
Questa è una pessima e pericolosa abitudine, per i motivi che andrò ad illustrare. Cominciamo con una storia, vera e molto istruttiva.
Attacco a LinkedIn: nel 2012 il sito del noto social è stato violato e sono stati resi pubblici 6,5 milioni di account. Quattro anni dopo, nel 2016 un hacker di nome Peace ha messo in vendita sul Darkweb, per l’importo di 5 Bitcoin (circa 3.000 $) 117 milioni di credenziali (login+password) di LinkedIn. Questi dati risalivano allo stesso data breach di quattro anni prima.
Pochi giorni dopo, a giugno 2016 gli account LinkedIn, Twitter (@finkd) e Pinterest di Mark Zuckerberg sono stati violati da un gruppo di hacker di nome OurMine Team: si può vedere qui sotto il tweet scritto dagli hacker sul profilo Twitter di Zuckerberg.
La cosa più sorprendente di tutta la vicenda è stata scoprire che Mark Zuckerberg, un personaggio che grazie al web è diventato ad appena trent’anni uno degli uomini più ricchi del mondo, usava per tutti i suoi account social la stessa password di LinkedIn del 2012, e che questa password era “dadada”!
Negli stessi giorni, i medesimi hackers OurMine Team hanno violato l’account Twitter di Jack Dorsey (@Jack): “Hey, its OurMine, we are testing your security” e quello Quora e Twitter di Sundar Pichai (CEO Google). Anche in questi casi la violazioni degli account è stata possibile perché gli utenti (non persone qualunque, ma esponenti di spicco della Silicon Valley!) utilizzavano la STESSA PASSWORD sui diversi account social.
L’insegnamento che si trae da questo episodio è molto chiaro e ci evidenzia una delle regole essenziali sul corretto uso delle password: Non utilizzare la stessa password in account diversi, perché se non possiamo evitare che il nostro provider venga violato (non dipende da noi ed anche siti molto famosi hanno subito attacchi), possiamo almeno impedire che tutti i nostri account vengano hackerati in un colpo solo a causa dell’utilizzo di una sola password.
Infatti, una volta in possesso di un archivio di credenziali rubate, gli hacker cominciano a testarle sui vari servizi in rete, un’operazione proficua, ma molto lunga. Ora è possibile velocizzare il processo di verifica utilizzando Shard, uno strumento a riga di comando che è stato sviluppato per consentire agli utenti di testare se una password che utilizzano per un sito è utilizzata per accedere ad alcuni dei servizi più popolari, tra cui Facebook, LinkedIn, Reddit, Twitter o Instagram. Il codice del tool Shard è disponibile su GitHub.
Il riutilizzo delle password è davvero una pessima abitudine, ma molto diffusa: come si vede nell’infografica sopra riportata, solo il 21% (nel mondo) ed il 18% (negli USA) usa 9 o più password diverse. La maggior parte degli utenti (circa la metà) usa solo da 2 a 4 password in tutto, ovviamente ripetendole in siti diversi. Nel migliore dei casi gli utenti utilizzano una password di base cui aggiungono specifiche sequenze di caratteri per accedere ai vari servizi. Potremo quindi trovarci che l’utente Pippo usi la password “pippo01” per accedere al servizio A e la password “pippo02” per accedere al servizio B. Piccole modifiche al codice di Shard potrebbero consentire al tool di rilevare in maniera semplice questo genere di password, e siate certi che i cybercriminali apporteranno tali migliorie all’algoritmo di calcolo.
Oggi l’unica potenziale limitazione del tool è il numero di tentativi da un singolo indirizzo IP, limitazione che può essere facilmente superata da un attaccante in possesso di una botnet.
Conclusione: molto meglio avere password TUTTE DIVERSE. E come fare allora a ricordarle tutte? Usando un Password Manager