Questa password è comparsa in una fuga di dati

La sicurezza è una cosa seria e spesso tendiamo a sottovalutare l’importanza di avere una parola chiave e un codice segreto sicuri, ed altri sistemi di sicurezza che aggiungono verifiche aggiuntive nel caso le nostre credenziali vengano compromesse.

Il messaggio che cita questa password è comparsa in una fuga di dati sicuramente ti sarà comparso sotto forma di notifica sul tuo smartphone, sul tuo iPhone, sul tuo browser ad esempio su Chrome, oppure avrai ricevuto questo messaggio tramite email.

Gli avvisi che ricevi riguardanti questo problema, ed inviati da google, da apple e da altri indirizzi sicuri, sono da prendere in seria considerazione. Negli anni, in particolare negli ultimi, sono stati riportati diversi attacchi da parte di gruppi hackers più o meno famosi.

Questi attacchi mirano sempre a sottrarre più dati possibili come numeri di telefono, indirizzi email, credenziali d’accesso tra cui le password. C’è da puntualizzare qui, che spesso le parole chiave sono poco sicure.

Cos’è una fuga di dati

I tuoi dati in mano ad altri, in mano a persone che non ne hanno il diritto. I tuoi dati e i dati di altri  utenti, clienti, persone, entità giuridiche, sono mantenute all’interno di server sicuri. Purtroppo però, anche se per questi sistemi vengono adottati dei sistemi di sicurezza sempre aggiornati, si possono verificare delle falle, degli errori o bug, o una banale negligenza.

Sono proprio questi errori che permettono d’avere una via di accesso dall’esterno a gruppi ben organizzati di persone il cui fine è rubare i dati per rivenderli, per ricattare in cambio di un compenso, ed anche per altri motivi.

Sono eventi rari, ma si verificano anche se non basta solo una via d’accesso all’interno della rete dell’azienda che detiene i dati per poterli poi rubare. Entrare in una rete interna è solo il primo passo, poi ci sono da bypassare altri tipi di controlli che vengono messi in atto anche all’interno della rete.

Questi sistemi non difendono i server solo da chi tenta di entrare, ma anche da chi è dentro. Per questo solo poche persone o gruppi al mondo riescono a creare un evento eclatante come una fuga di dati.

I casi più recenti fanno riferimento ai famigerati ransomware, che altro non sono che software malevoli che criptano i tuoi dati, e ti permettono solo di riaverli a fronte del pagamento di un riscatto. Per questi e altri malware simili ti consiglio di utilizzare sempre un antivirus come Bitdefender internet securit.

Come scoprire se la propria password è compromessa

Prima di tutto e prima di arrivare a questo punto, ti consiglio in primis di creare una password sicura, quindi almeno 8 caratteri tra cui una lettera maiuscola, un simbolo speciale ed un numero.

Questa è già una minima base di partenza, ma parliamo seriamente, anche se una parola chiave di 16 o 20 caratteri tra numeri, simboli e lettere, od addirittura utilizzando frasi complete, sia comunque esposta agli attacchi informatici da parte di hackers, almeno possono far desistere qualche hater dal cercare di rubarti ad esempio l’account facebook.

Un errore che poi fanno in molti, un po’ tutti diciamo, è considerare sempre sicura la propria password. Cosa voglio dire? Che anche il tempo ha la sua funzione, è cambiare non dico tutte le settimane ma almeno una volta al mese la parola chiave, è il minimo.

Finito il pippone, ti rispondo subito dicendoti che ci sono dei sistemi di notifica che ti permettono di essere aggiornato se la tua password è comparsa in qualche lista, pubblicata a seguito di una nota di avviso riguardante una fuga di dati. Te ne accorgi e lo scopri perché puoi ricevere un messaggio come il seguente “questa password è comparsa in una fuga”.

Ti parlo ad esempio dei data breaches come successo alla ben nota Equifax (dette anche falle di sicurezza). La “triste” verità è che fermare la fuga di dati è impossibile, però ci sono strumenti per prevenirle e contromisure in caso di compromissione delle credenziali e dei dati stessi.

Nel caso Equifax ed in altri casi analoghi, i nostri dati sono sotto la custodia dei provider dei nostri servizi più utilizzati, e spesso anche sotto aziende terze che non conosciamo. Cambiare spesso password e attivare i sistemi a doppia autenticazione, già ti tutela da eventi che non dipendono da te.

Quando invece tenere al sicuro i tuoi dati dipende direttamente da te, i sistemi che ti notificano il cosiddetto data o security breach li hai già sotto mano, perché sono inclusi nelle impostazioni dei sistemi operativi più noti ed aggiornati.

Tenere aggiornati i sistemi operativi con gli ultimi update di sicurezza e con le più recenti versioni. Apple ad esempio permette di scaricare le note o aggiornamenti di sicurezza, anche se non si aggiorna completamente il sistema operativo, in modo così da restare protetto anche se non hai l’ultima versione di iOS.

Gli update ti permettono di mantenere un buon livello di sicurezza contro attacchi diretti tramite internet ed anche dalla rete wifi (specialmente se ti connetti a reti wifi aperte, senza utilizzare una VPN), ed allo stesso tempo effettuano controlli esterni per capire se qualche tua credenziale sia stata compromessa.

Se questo avviene, se questi sistemi trovano la tua password pubblicata su internet o su un riscontro in cui vi sono quelle maggiormente utilizzate, ti invitano tramite una push a cambiare subito la tua parola chiave con una nuova, diversa e complessa.

Avvisi su iPhone e Mac

Da iOS 14 e iPadOS 14, lo strumento di sicurezza “portachiavi” di Apple ha iniziato a tenere traccia delle violazioni, ti avvisa con una notifica in caso la tua password sia stata oggetto di un attacco hacker.

Il portachiavi tiene aggiornate le tue password e le informazioni sulle tue carte di credito, che possono essere utilizzate solo dai dispositivi che tu hai autorizzato. Questi dati sono criptati, nemmeno Apple li può vedere, e sono considerati sicuri.

Questo strumento ti sconsiglia di utilizzare la stessa parola chiave per più dispositivi e account. Avendo la funzione di password manager, riconosce differenti credenziali di login e ti permette di diversificare le parole di accesso.

Apple ha iniziato a catalogare le liste delle credenziali compromesse, e gli eventi in cui hacker o gruppi di hackers sono stati coinvolti. Tutto quello che viene pubblicato nei forum di hacking ed anche su internet pubblicamente, è tracciato e memorizzato dalla mela.

Quando tra queste liste e cataloghi viene riscontrata una corrispondenza con i tuoi dati, ad esempio la password, ti viene subito inviata una notifica di avviso sul display del tuo iPhone, del tuo iPad e del tuo Mac.

Mac OS Monterey riprende quanto fatto da iOS e iPadOS 14, ti dà la possibilità di controllare e rivedere le password che utilizzi per i diversi account, ed in più ricevi anche dei suggerimenti per la tua sicurezza.

Nelle versioni precedenti di macOS, il sistema di protezione delle password potevi trovarlo in Safari, ma il passaggio e l’integrazione nelle Preferenze di Sistema ha dato la possibilità di utilizzare questo strumento anche a chi utilizza browser diversi da Safari.

Se accanto all’immagine dell’account, nelle impostazioni, ti dovesse apparire un punto esclamativo, questo indicherebbe la compromissione della tua password, rilevata in una fuga di dati.

Devi, in questa eventualità, modificare le password non sicure o compromesse. Se ne inserisci una troppo semplice, vieni avvisato dal sistema di renderla più complessa. Dalle preferenze di sistema, poi tap su password, puoi anche importare ed esportare le tue password in formato CSV, per poterle utilizzare anche su altri dispositivi e con altri password manager.

Se su i siti web, che normalmente visiti, ti viene richiesta l’autenticazione a due fattori, puoi utilizzare il sistema di autenticazione integrato di iOS, iPadOS e Monterey. Devi solo specificare quale codice di accesso o QR code utilizzare automaticamente su una determinata pagina web. Il codice sarà fornito automaticamente al sito che richiede l’autenticazione a doppio fattore.

Notifiche da Google e Smartphone Android

Google Security Check creato ed integrato Mountain View per verificare, è il sistema di monitoraggio e verifica dati personali, tra cui email e credenziali di vario genere, inseriti all’interno di vari siti utilizzando il motore di ricerca della grande G.

Ogni volta che accedi ad un servizio e salvi il dati di accesso nel tuo account, essi non solo si memorizzano nel tuo profilo, ma vengono periodicamente monitorate. Se questa password è comparsa in una fuga di dati, stai tranquillo che verrai avvisato.

Analogamente a quanto predisposto da Apple, infatti, anche Google effettua un costante tracking delle credenziali, trafugate e pubblicate nelle rinomate liste o cataloghi nei canali hacker e nelle note pubbliche.

Le notifiche sono inviate da Google tramite email, dove viene fortemente consigliato di modificare alcune password, quelle segnalate, che non sono più sicure perché compromesse.

In aggiunta, la grande G effettua controlli in real time, e a tempo debito ti avverte se i tuoi account salvati siano stati le “vittime” di una fuga di dati come il furto delle credenziali d’accesso ad un sito da te utilizzato.

Nelle impostazioni del tuo smartphone android, gestore delle password, puoi scegliere il tuo account gmail su cui vuoi effettuare dei controlli. Selezionato l’account hai la possibilità di controllare se le tue password siano state compromesse.

Tap su controlla password, verifica la tua identità ad esempio con l’impronta digitale del blocco schermo, e Google ti darà i seguenti risultati: quante password sono state compromesse; quante sono state riutilizzate; e quanti account sono a rischio, perchè hai utilizzato parole chiave inefficaci o troppo semplici.

Nella pagina precedente invece hai il pieno controllo di tutti i siti web a cui ti colleghi con un login, puoi sito per sito controllare quali siano le credenziali ed anche modificarle. Non è complicato e rende sicuro tutto quello che fai online.

Avviso dal password manager

Quando ricevi un avviso dal tuo password manager, non necessariamente un malintenzionato è entrato nel tuo account, oppure è in grado di accedervi. La segnalazione riguarda la “comparsa” di una password che utilizzi, in una nota o elenco in cui sono contenute altre password (di solito milioni se non di più). 

Devi però considerare che quando una una fuga di dati viene resa pubblica, l’evento si è già verificato. Nell’immediato è possibile che non succeda nulla, ma con il passare del tempo, data la vulnerabilità della tua parola chiave, qualcuno potrebbe decidere di tentare l’accesso.

Cosa fare? Il prima possibile modificare le proprie credenziali e rendere sicuri i propri account e dispositivi, attivando anche sistemi di sicurezza aggiuntivi. 

Esiste un quarto modo: haveibeenpwned

Haveibeenpwned è un sito web molto semplice, devi solo utilizzare la pagina principale. Collegati al sito ed inserisci una email o un numero di telefono per sapere se siano stati violati.

In questo caso il riscontro viene fatto dal database di haveibeenpwned. Se l’esito è in verde, ti dirà che non ci sono state violazioni passate o recenti. Se l’avviso è rosso, saranno visualizzate un totale di violazioni riscontrate.

In questo ultimo caso sai già cosa devi fare, proteggere i tuoi dati. Anche qui ti rinnovo il consiglio di abilitare sempre il controllo a due fattori, non appena crei un account ed anche per quelli che già hai aperto.

Abilitare un secondo step di verifica che sia tramite un sms telefonico o tramite un authenticator protegge il tuo account dalla modifica, il controllo e dalla perdita di dati, anche se un individuo abbia hackerato le tue credenziali.

Dopo il login, si troverà impossibilitato a fare altro, perché il sistema di sicurezza rileverà un dispositivo e un browser non autorizzati, richiedendo tramite notifica push di autorizzare o meno l’accesso.

In quel momento saprai che qualcuno sta cercando di accedere alla tua email ad esempio, potrai quindi negare l’autorizzazione, entrare nel tuo indirizzo di posta e modificare di nuovo la password.

Cosa fare quando la password è stata rubata

Andiamo subito al punto: cambiare subito la password se è possibile accedere all’account o al dispositivo. Se ti è stata rubata la parola chiave, dovresti avere dei metodi di recupero del tuo account. Così puoi attivare il reset o recupero della password a seconda della gravità della situazione.

Di frequente vengono richiesti metodi alternativi per il recupero delle credenziali rubate, come ad esempio una email di backup o email alternativa, ti vengono fatte delle domande a cui solo tu puoi rispondere impostando delle risposte segrete.

Se puoi recuperare il tuo account, devi necessariamente creare una password diversa e complessa rispetto alla precedente, assicurarti di impostare o reimpostare l’autenticazione a due fattori tramite sms o authenticator che hai installato sul tuo smartphone.

Un’altra cosa che devi fare assolutamente è controllare tutti gli account dei vari servizi che usi, e che utilizzano l’email compromessa, non siano stati compromessi a loro volta. Su quest’ultimo punto devi sapere che utilizzare la stessa password per più servizi e account è altamente sconsigliato.

La sicurezza dei tuoi dati personali, lavorativi e bancari non deve essere a repentaglio. Utilizza sempre password diverse per servizi e account diversi, e non usare mai la stessa password più di una volta.

Capisco che così facendo avrai diverse parole chiave da ricordare, una per ogni servizio o account, per questo ci sono applicazioni per la gestione password e come farla, come ad esempio i password manager.

In breve

Prima o poi capita a tutti di ricevere una segnalazione, una notifica push o una email, dove viene avvisato di una possibile fuga di dati o password compromessa.

Se avrai attivato tutti i sistemi di sicurezza di cui ti ho parlato, e avrai rispettato tutte le regole da seguire per la creazione e l’aggiornamento delle tue password, la tua corrispondenza ed i tuoi dati personali, lavorativi e bancari, saranno più difficili o addirittura saranno impossibili da raggiungere da parte degli hacker.