Come gli hacker ci rubano le password. I consigli degli esperti
Avete paura che qualcuno vi possa rubare la password? Scoprite come avvengono i furti di password e come è possibile difendersi dai cracker

Il più delle volte non ci si rende neanche conto di quello che è successo. Anche perché la colpa non è quasi mai del singolo utente. I furti di password sono diventati un po’ lo spauracchio di chi, per un motivo o per un altro, si trova a essere registrato in uno degli innumerevoli servizi web. Che si tratti di posta elettronica, di ecommerce di servizi di cloud storage o un social network, poco importa: a leggere la cronaca cybercriminale nessuno sembra potersi dire al sicuro. Ma, come già detto, nella stragrande maggioranza dei casi, gli utenti hanno ben poche colpe di quanto accade: i cracker (un pirata informatico, detto anche black hat hacker, che ha come unico scopo quello di entrare nei sistemi informatici di altre persone oppure organizzazioni per trarne vantaggio personale) puntano i database delle aziende anziché i singoli account web.

Anche se la retorica cinematografica ci ha fatto credere che i furti di password (e i cybercrimini in generale) siano delle operazioni pericolosissime, all’insegna della suspense e dell’avventura, la realtà è ben altra cosa. Pur mantenendo un alto profilo di rischio, rubare password non è così avventuroso come si può pensare. Solitamente, infatti, si tratta di un lavoro “dall’interno”: un dipendente, magari corrotto da un’organizzazione criminale, esporta le tabelle del database contenente le informazioni delle credenziali e le fornisce successivamente al “committente”. In altre occasioni, invece, ci si trova di fronte a operazioni di social engineering (“ingegneria sociale” in italiano) dirette nei confronti degli amministratori di rete e dei sistemisti con lo scopo di impadronirsi delle loro chiavi d’accesso ai sistemi informatici dell’azienda e poter agire indisturbati. Altre volte ancora, invece, i cracker puntano a sfruttare falle e bug presenti nei sistemi di difesa informatica delle società, così da potersi introdurre “autonomamente” nei server e rubare password e altri dati sensibili.

Nel caso non ci sia un committente ben preciso, le password trafugate possono essere messe in vendita sul dark web. Approfittando dell’anonimato garantito dalla “parte oscura” del web, infatti, sarà possibile trovare acquirenti disposti a pagare anche diverse migliaia di euro per mettere le mani su database contenenti decine di migliaia di credenziali. Capita spesso, comunque, che dopo qualche tempo dalla compravendita, i cracker decidano di disfarsi del database, rendendolo pubblicamente accessibile sempre sulle pagine del dark web: in questo modo provano a sviare le attenzioni di possibili investigatori e far sì che il furto di password diventi, di lì a breve, di dominio pubblico.

Vi è giunta notizia che un portale web cui siete iscritti ha subito un furto password e volete sapere se anche voi siete finiti nel calderone del dark web? Grazie al portale Have I been pwned potrete togliervi ogni dubbio. Basta inserire il nome utente o l’indirizzo di posta elettronica utilizzato solitamente sul web per scoprire se il proprio account è stato compromesso e hackerato.

Va detto che, in caso di furto di credenziali, il cybercriminale non ottiene mai (o quasi) le informazioni sotto forma di “testo semplice”. Le aziende informatiche, soprattutto quelle di grandi e grandissime dimensioni solitamente oggetto degli attacchi hacker, conservano le credenziali degli utenti sotto forma di stringa di caratteri (apparentemente) casuali e incomprensibile. Si tratta di una metodologia di protezione delle informazioni molto avanzata: anziché salvare nel database nome utente e password, si archivia una sua “copia” debitamente alterata tramite un algoritmo crittografico.

È il cosiddetto algoritmo di hash, una formula matematica che modifica la password archiviata nei database dell’azienda in modo che solo il legittimo proprietario la conosca. Il funzionamento di questo algoritmo crittografico è semplice, almeno in apparenza: non appena si crea un nuovo profilo online e si sceglie una password sicura, i sistemi di sicurezza informatica entrano in azione e ne alterano la forma applicando l’hash. Si tratta di una formula matematica “a senso unico”, e prevede che alcune informazioni siano perse “per strada” nel corso della trasformazione. Ciò impedisce qualunque tentativo di risalire all’originale ripercorrendo “all’indietro” tutti i passaggi: una volta creato l’hash, insomma, è teoricamente impossibile comprendere quale è stato il punto di partenza dell’intero percorso (ossia, la password scelta dall’utente). Per rendere ancora più complesso e difficile il lavoro dei cracker, i migliori algoritmi di hash oggi in circolazione aggiungono una porzione di informazione casuale alla password: se la chiave d’accesso scelta dall’utente è la classica “12345678”, l’algoritmo crittografico agisce invece sulla stringa “12345678lkyes” (tanto per fare un esempio a caso). L’hash così creato sarà utilizzato dai sistemi dell’azienda ogni volta che un utente effettuerà il login: la verifica della sua identità avviene confrontando l’hash archiviato nel database con quello corrispondente alla password appena utilizzata.

Teoria e pratica, però, spesso e volentieri non coincidono. Soprattutto quando si ha a che fare con questioni legate alla sicurezza informatica. Infatti, se i cybercriminali hanno un particolare interesse nel decifrare le password “mascherate” con un algoritmo di hash, possono provare a decifrare la stringa mettendo in atto alcune tecniche di ingegneria inversa. Due le strade perseguibili: l’utilizzo delle rainbow tables (letteralmente “tavole arcobaleno”) oppure attacchi forza bruta.

La prima delle due tecniche si basa sulla cattiva abitudine degli utenti di utilizzare (quasi) sempre password estremamente semplici. Sfruttando statistiche del settore, i pirati informatici realizzano una sorta di dizionario delle password più utilizzate e applicano gli algoritmi di hash maggiormente diffusi: ottengono così le rainbow tables, una lunghissima tabella contenente l’elenco delle password e la stringa hash corrispondente. Sfruttando queste tabelle, i cybercriminali possono verificare se ci siano corrispondenze tra le password rubate e quelle delle rainbow tables: sarà così possibile individuare l’algoritmo utilizzato dal gestore dei servizi web e sfruttarlo in una lunga operazione di ingegneria inversa.

Gli attacchi forza bruta, invece, sfruttano decine e decine di computer (nella gran parte dei casi delle botnet) per studiare gli hash presenti nei database di password rubate e cercare delle affinità o dei temi ricorrenti. Utilizzando la capacità di calcolo di migliaia e migliaia di compuer, i cybercriminali possono anche avere successo e riuscire a “rompere” l’algoritmo crittografico e trovare la chiave per decriptare facilmente l’intero database.

Anche se il singolo utente può far poco per impedire ai cracker di entrare in possesso dei database societari, alcuni suggerimenti possono aiutare a minimizzare i rischi connessi al furto di password.
- Non cadere nella trappola del phishing. Uno dei metodi maggiormente utilizzati dai cracker per rubare password è il phishing. Sapere come riconoscere un’email phishing, dunque, può essere di grande importanza per evitare di cadere nella trappola dei criminali informatici e rivelare loro quali siano le nostre credenziali reali
- Utilizzare password differenti per ogni account. Per minimizzare gli effetti del furto password è buona norma utilizzare una chiave d’accesso differente per ogni account web che si “possiede”. In questo modo, anche se si dovesse essere tra le vittime dei cybercriminali, si eviterà di dare loro accesso anche ad altri profili
- Abilitare l’autenticazione a due passaggi. Attivare la verifica a due passaggi è tra le migliori impostazioni di sicurezza esistenti per proteggere la propria identità online. Sistemi come Password Sicura di Libero Mail, infatti, richiedono l’inserimento di un secondo codice numerico (oltre alla password) per poter entrare all’interno del proprio account: in questo modo si avrà la certezza che nessuno potrà accedere al nostro profilo
- Non utilizzare siti poco sicuri. Prima di effettuare il login, guardatevi un po’ “attorno” e verificate che il portale che state utilizzando rispetti tutti i canoni di sicurezza standard. Fondamentale, in questo senso, che il sito web utilizzi il protocollo HTTPS (riconoscibile dall’icona a forma di lucchetto chiuso in alto a sinistra, nella barra degli indirizzi del browser): ciò vuol dire che le credenziali saranno crittografate prima di essere inviate e, anche in caso di attacco man in the middle, saranno di fatto inutilizzabili

Cliccando sui link che seguono, invece, potrete scoprire suggerimenti, alcuni più tecnici altri più alla portata di tutti, riguardanti la sicurezza informatica e scoprire le tipologie di attacchi più comuni: dagli attacchi DDoS al phishing, passando per le botnet.
- Proteggere la privacy e dati personali, i consigli dell'esperto
- Sei consigli per mettere al sicuro la vostra piccola o media impresa
- Dieci consigli per non cadere nella trappola di una e-mail phishing
- Come proteggere la tua mail con Password Sicura: cos’è e come funziona
- Salvarsi dagli hacker: 5 errori da non commettere
- Allarme virus, trojan e ransomware, la guida per difendersi
- Cosa sono i ransomware e come si diffonde il contagio
- Pericolo ransomware: come difendersi con buone pratiche e antivirus
- Dilemma ransomware: è possibile fermare il “virus del riscatto”?
- Attacco ransomware: piccole e medie imprese in pericolo
- Cosa sono gli attacchi DDoS, come nascono e come difendersi
- Cos’è il phishing? Una pericolosa truffa: ecco come non abboccare
- Privacy online: ecco come salvaguardare i nostri dati personali
- Come creare una password forte per proteggere l’identità online
- Addio ai furti di password, ecco la verifica in due passaggi
- I migliori password manager per mettere al sicuro i propri dati