passwords, Kennwörter, Mots de passe, Password

Le password dei (non) ricchi e famosi

La maggior parte di noi ama avere qualcosa in comune con i personaggi ricchi e famosi: conoscenze, capi di abbigliamento, viaggi in destinazioni esotiche e password.

Ok, forse non l’ultimo punto.

Ebbene sì, è successo per davvero: sia io che il sig. Zuckerberg siamo stati vittima della violazione di LinkedIn del 2012. E l’attacco degli account Twitter e Pinterest del fondatore di Facebook il mese scorso indica che una violazione di anni fa costituisce ancora oggi un grave problema di sicurezza.

I fatti contano, così come le password

LinkedIn, la rete di social media incentrata sul mondo del lavoro, stimava 6,5 milioni di password violate nel 2012. A parte alcune cause legali contro la piattaforma social da parte di utenti con account premium, non è però accaduto molto a quel tempo. Tuttavia, quella storia e la perdita di dati non sono finite. Oggi si ritiene che la violazione comprendesse 167 milioni di account, praticamente tutti i membri di LinkedIn di allora. E quel che è peggio, per 117 milioni di questi erano disponibili sia la password che l’indirizzo email.

Questa primavera alcuni hacker dotati di spirito imprenditoriale hanno messo in vendita la lista completa per appena 5 bitcoin (all’circa 2.500 euro). Il mese scorso LinkedIn ha risposto inviando a tutti gli utenti (come il sottoscritto) che non avevano modificato la password dal 2012 la seguente comunicazione:

LinkedIn password change notific

Questa notifica ha costretto me e presumibilmente anche il sig. Zuckerberg a cambiare la password di LinkedIn. Fatto. Festa finita per gli hacker, giusto?   Niente di più sbagliato.

Ricicla le bottiglie di birra, non le password

Riciclare è una cosa splendida per l’ambiente, ma catastrofica per la gestione delle password. L’utilizzo della stessa password o di password simili per diversi account online è la ricetta per il disastro, come evidenziato dal caso Zuckerberg.

I suoi account Twitter e Pinterest sono stati attaccati dal gruppo di cyber-criminali Our Mine Team. La presunta password dell’account di LinkedIn di Zuckerberg pare fosse la complessissima “dadada”: una banale sequenza di sei caratteri, tutti in minuscolo.

News of the password hack

Il nostro principale punto debole è che, proprio come il sig. Zuckerberg, siamo esseri abitudinari: riutilizziamo spesso le stesse password e, cosa ancor più interessante, riutilizziamo pezzi di password in diversi siti. La vecchia lista dei dati di LinkedIn è stata la chiave usata dagli hacker per scoprire e sfruttare questo comportamento.

Il data dump di un uomo, un tesoro per gli hacker

Non appena diventata di dominio pubblico, la lista è stata esaminata da analisti legittimi  e dai cyber-criminali per scovare indizi relativi alla scelta delle password. In particolare, la lista è stata analizzata per individuare tendenze in termini di lunghezza delle password, scelta dei caratteri alfanumerici e utilizzo delle lettere maiuscole. Per cominciare, la password utilizzata da ben 1.135.936 utenti LinkedIn è stata la semplice sequenza “123456”. E non sono i soli!

Grazie al suo collegamento con Facebook, il sig. Zuckerberg è nel mirino degli hacker più di quanto possa esserlo io. Una volta che i cyber-criminali sono riusciti a scoprire che la password dell’account LinkedIn di Zuckerberg era “dadada”, possiamo immaginare che abbiano tentato di utilizzarla anche per gli altri social media. Qualora questo non abbia funzionato avranno molto probabilmente analizzato la password nei suoi singoli elementi e cercato di individuare eventuali tendenze facendo i successivi tentativi con password come “eqeqeq” o “fsfsfs”.

Anche se non ti chiami Mark Zuckerberg, le tue password e i tuoi account possono essere attaccati. In caso di violazione della protezione, cambia la tua password, ma non riciclare altre password o riutilizzarne dei pezzi. Usa la verifica in due fasi.  E ricorda: la password violata è radioattiva e ha un’emivita molto lunga, non toccarla mai più!

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.