Come scoprire se la propria password è stata rubata
Un esperto di sicurezza informatica ha messo a disposizione degli utenti un archivio che raccoglie le password trafugate in attacchi precedenti.
Scegliere una password sicura non è sempre così facile e il rischio che le credenziali finiscano nelle mani degli hacker è concreto ed è anche molto alto. Non sempre le vittime si accorgono, però, di aver subito una violazione. C’è un modo, comunque, per scoprire se la propria password è stata rubata.
Il merito va a Troy Hunt, un esperto in sicurezza informatica. Il suo nome è legato soprattutto a Have I beeen Pwned, un sito internet che permette agli utenti di verificare se il proprio indirizzo email è stato compromesso o finito in un attacco hacker. Il ricercatore ha aggiunto un nuovo servizio, con cui è possibile visualizzare centinaia di milioni di password. Il tool , infatti, contiene un enorme database, composto dalle password violate da precedenti attacchi. Per controllare se la chiave di accesso è finita nell’archivio pubblicato in Have I beeen Pwned, è sufficiente collegarsi al sito e inserire la password.
Un archivio da 847 milioni di password
In realtà, l’intento del servizio è anche un altro. L’obiettivo principale, infatti, è quello di fornire alle aziende, così come ai singoli utenti, uno strumento attraverso cui controllare se la password scelta sia sicura. Utilizzare credenziali già usate da altre persone e violate dagli hacker, infatti, è molto pericoloso. Soprattutto se la password è impiegata in più account. Gli hacker, infatti, potrebbero accedere rapidamente a più profili.
L’archivio, come detto, contiene molte password. Troy Hunt ha spiegato in un articolo sul suo blog, dal titolo “Introducing 306 Million Freely Downloadable Pwned Password”, i motivi della creazione del servizio Pwned Password, che negli anni ha raggiunto un database sempre più grande.
Nel febbraio 2018 è stata rilasciata la versione 2 del servizio, contenente oltre mezzo miliardo di password, ciascuna accompagnata dal numero di volte in cui è stata esposta.
Nel luglio 2018, la versione 3 ha aggiunto ulteriori 16 milioni di password. La versione 4, lanciata nel gennaio 2019, è coincisa con la scoperta dell’archivio “Collection #1” che conteneva 773 milioni di password rubate.
La versione 5, rilasciata nel luglio 2019, ha portato il totale a 555 milioni di password esposte. Nel giugno 2020, la versione 6 ha incrementato il totale a quasi 573 milioni. La versione 7, aggiornata a novembre 2020, ha fatto salire il numero complessivo a oltre 613 milioni. Infine, la versione 8 del dicembre 2021 ha raggiunto 847.223.402 password, con un incremento del 38% rispetto alla versione precedente.
L’intero set di password può essere scaricato gratuitamente dal sito ufficiale del servizio.
Utilizzando Pwned Passwords, è possibile verificare quante volte una determinata password è stata compromessa nei data breach. Ad esempio, digitando “123456” (la password più comune al mondo), si scopre che appare ben 42.542.807 volte nel database.
Come proteggersi
Nel caso in cui la vostra password sia finita nell’archivio pubblicato da Have I beeen Pwned, la prima mossa da mettere in pratica è cambiarla immediatamente, scegliendo una chiave più complessa e difficile da individuare.
E non solo. Gli hacker si impossessano delle password utilizzando diversi e a volte semplici stratagemmi. Per esempio, inviando email phishing. Evitate anche di condividere le credenziali di accesso tramite internet.
Non scaricate programmi da piattaforme non sicure: potrebbero contenere un malware. Non inserite, poi, i vostri dati in siti internet sprovvisti del protocollo di sicurezza https, poiché le comunicazioni potrebbero essere intercettate dai cybercriminali.
