Il 17 gennaio il ricercatore informatico Troy Hunt ha annunciato di aver scoperto la così detta Collection#1, un elenco di 773 milioni di mail e 22 milioni di password esposti, utilizzati come credenziali di registrazione a numerosi siti.
Giova precisare che con il termine ‘esposti’ non si deve intendere necessariamente violati (anche perché non è dato sapere se indirizzi e password sono stati trafugati congiuntamente e quindi siano abbinati). Tuttavia è possibile che chi ha effettuato il furto dei dati informatici possa risalire o sia risalito ai siti internet nei quali tali password o indirizzi e-mail vengono usati come credenziali d’accesso.
Per verificare immediatamente e gratuitamente se il proprio indirizzo di posta elettronica o le proprie password sono stati violati, si segnala la seguente pagina web a cui è possibile collegarsi: https://haveibeenpwned.com (per l’indirizzo e-mail) o https://haveibeenpwned.com/Passwords (per le password di accesso a qualsiasi sistema). Inserendo la propria password o il proprio indirizzo di posta elettronica il sistema ci indicherà se tali dati sono a rischio (in questo caso apparirà una schermata rossa), oppure si tratta di dati sicuri (la schermata in questo caso risulterà verde).
Qualora si verifichi la prima situazione è dunque importante modificare immediatamente la propria password di accesso all’indirizzo di posta elettronica o a qualsiasi altro sito.
Ma come possiamo essere certi che questa o in generale le password che scegliamo quando ci registriamo ad un sito internet siano sicure?
Innanzitutto è utile precisare che più una password è lunga più è difficile da individuare per un potenziale hacker. Inoltre vanno assolutamente evitati i nomi di familiari, animali o qualsiasi elemento che sia facilmente reperibile visualizzando i profili dei nostri social. E’ preferibile che la parola sia composta non solo da lettere e numeri, ma anche da simboli speciali (quali ad esempio %, £, $, &) e alternando le lettere minuscole a quelle maiuscole, meglio se inserite al centro della parola piuttosto che agli estremi. Infine può essere utile utilizzare password diverse per ciascun sito o social a cui abbiamo accesso (soprattutto se si tratta di siti particolarmente a rischio come quello della banca): in questo modo se uno di essi verrà violato non correremo il rischio che anche gli altri subiscano la stessa sorte.
Giova a questo punto precisare che, una volta impostata la password, questa non dovrebbe in alcun modo essere copiata o memorizzata né su post-it o promemoria attaccati alla tastiera o allo schermo del computer né tanto meno su un file word contenuto nello stesso dispositivo da cui accediamo a internet. Se il timore è quello di scordarsi le password di accesso ai diversi siti, il consiglio è quello di servirsi di applicazioni particolari definite password manager. Queste applicazioni ci consentono infatti di memorizzare tutte le nostre password in modo sicuro e per accedervi sarà sufficiente memorizzare una sola password (ovviamente creata seguendo le indicazioni di cui sopra!). Spesso le stesse applicazioni consentono anche di creare password complesse al posto nostro e addirittura provvedono a compilare automaticamente i campi utente e password senza che sia necessario digitarli sulla tastiera (funzione assai utile per arginare la minaccia dei malware noti come keylogger, che spiano ciò che scriviamo con la tastiera).
Tra i password manager più famosi si annoverano OnePassword, LastPass o Dashlane, ma ce ne sono moltissimi tra cui scegliere. Inoltre, anche i produttori di antivirus forniscono questo prodotto, a volte in forma gratuita e a volte come parte del software di sicurezza a pagamento, per cui non è escluso che il nostro pc sia già fornito di questo servizio senza che ne siamo a conoscenza.
Si segnala infine che, per rendere ancora più sicuro l’accesso ai nostri account personali, molti siti tra cui anche Twitter e Facebook permettono all’utente di utilizzare, modificando le impostazioni, un sistema di autenticazione doppia. Si tratta di un sistema che aggiunge un ulteriore elemento al classico binomio utente e password. Dopo aver effettuato l’accesso sarà infatti necessario aggiungere un codice ottenuto dallo smartphone tramite l’invio di un SMS, oppure tramite l’uso di un’applicazione apposita come per esempio Google Authenticator. Tra le due la seconda è comunque più sicura in quanto l’SMS può essere intercettato ingannando il sistema.