Con la pandemia che ha visto esplodere gli acquisti online della GDO, toccando picchi di +80% rispetto allo scorso anno (fonte Nielsen), le registrazioni a piattaforme di entertainment (Netflix, Spotify, etc…), ma anche la richiesta di serivizi istituzionali digitali tramite SPID con un raddoppio delle identità digitali erogate rispetto allo scorso anno (fonte AGid) si intuisce come le password che gli italiani sono chiamati a gestire siano cresciute in maniera importante.
Ogni giorno di più dobbiamo destreggiarci fra decine di account di app, negozi online, social network e siti di vario genere, ognuno dei quali prevede un protocollo di sicurezza incentrato sulle password. Per questo dobbiamo ringraziare, specialmente nella giornata del World Password Day, Fernando Corbatò, professore emerito di informatica del Massachusetts Institute of Technology (Mit), ed il suo lavoro sul time-sharing che portò alla creazione del personal computer con relativa password di accesso, risalente al 1964. Difficile che il professore potesse all’epoca immaginare il numero di password che un giorno avremmo inserito in un dispositivo.
Proprio per amministrare e rendere sicure numerose credenziali che sono nati i “password manager”, programmi che permettono di memorizzare nomi utente, password, dati di carte di credito e altre informazioni sensibili proteggendo il tutto a loro volta con una password. Esistono ormai diversi software, gratuiti o a pagamento, che sono in grado di esaudire tutte le necessità degli utenti. Ciononostante, la propensione alla convenienza o la mancata conoscenza di questi tool portano la maggioranza degli utenti a salvare le credenziali direttamente nel browser usufruendo dei password manager integrati.
Questi sistemi sono affetti da problematiche di sicurezza che consentono ad un cyber criminale di attingere direttamente dalla workstation di un singolo utente, sfruttando le password usate per i social media e/o altre credenziali memorizzate sul dispositivo.
Ma quali sono i principali attacchi per sottrarre le password e in quali modi è possibile difendersi?
Panda Security ha voluto descrivere le diverse modalità in cui un cybercriminale può rubare o scoprire una password, oltre a consigliarvi quale strategia difensiva attuare per prevenirli.
Password alfanumeriche – Attacchi di “forza bruta”
Esistono software che testano migliaia di combinazioni diverse per indovinare una password alfanumerica. Dal momento che sono alfanumeriche le password più utilizzate e le più facili da scoprire (la più diffusa è ancora “123456”), gli attacchi di “forza bruta” rappresentano un metodo tuttora efficace per impossessarsi di informazioni personali. Non solo elementari serie numeriche ma anche date di nascita sono facilmente smascherabili. I software di ricerca delle password come Brutus, RainbowCrack e Wfuzz e possono essere reperiti gratuitamente dalla rete.
Ovviamente password lunghe e complesse costringono gli hacker ad impiegare altri metodi.
Attacchi “a dizionario”
I software di attacco “a dizionario” utilizzano un elenco prestabilito di termini, provando varie combinazioni e variazioni delle parole. Gli elenchi spesso vengono arricchiti con password rubate, reperite tramite il deep web, e non utilizzate per attaccare ma per determinare le password più utilizzate. Approfittano della prevedibilità umana per restringere le ricerche e indirizzare più precisamente i loro attacchi.
Questa pratica è diffusa anche tra aziende legali che acquistano password rubate per cercare di proteggere le informazioni dei propri clienti.
Sono, inoltre, consultabili online dei database che valutano l’efficacia delle password confrontandole con una “lista nera” di password non accettabili.
Attacchi mediante monitoraggio del Wi-Fi
Una rete Wi-Fi pubblica potrebbe fare da tramite per un cybercriminale nel rubare delle credenziali. Esistono dei software in grado di segnalare uno o più utenti connessi ad un Wi-Fi pubblico, l’hacker così può intercettare password, comunicazioni e i dati trasmessi.
Attacchi di phishing
L’utilizzo di e-mail e siti web fraudolenti per rubare le password forse è la forma più nota di attacco.
La maggior parte dei phishing consiste nell’invio di un’e-mail che sembra provenire da un’organizzazione reale e legittima, ad esempio una banca, una piattaforma online o un ente pubblico. Queste e-mail contengono un allegato da scaricare o un link a un sito web falso in cui viene richiesto di eseguire l’accesso con le proprie credenziali così da poterle rubare.
Queste sono solamente alcune delle tipologie più frequenti di attacco.
Per la gestione e la sicurezza delle proprie credenziali, Panda security consiglia l’utilizzo di Password Manager dedicati. I password manager dedicati sono una buona opzione se si parla di uso personale e possono aiutare a migliorare la sicurezza dei dispositivi e delle informazioni digitali. Questi consentono di salvare, generare e aggiornare tutte le password in una posizione crittografata protetta da un’unica password primaria (o da altri metodi: file key o altro ancora). Inoltre, non essendo esposti direttamente alla rete, sono molto più difficili da raggiungere da attacchi esterni.
Queste risorse sono molto utilizzate da utenti privati e/o aziende anche se, come la maggior parte delle tecnologie, non garantiscono la totale prevenzione da rischi: rappresentano, però, sicuramente la migliore soluzione di difesa esistente.