Password rubati: Come scoprire se qualcuno ha ottenuto i tuoi dati

Forse pensi che se usi password forti e uniche, sei al sicuro. Ma internet funziona in modo diverso da come la maggior parte delle persone immagina. Praticamente ogni settimana appare una nuova fuga di dati che rende pubbliche le credenziali di accesso da servizi compromessi. Questi di solito finiscono in vasti database di password rubate che circolano liberamente tra gli attaccanti e gli utenti comuni. Non è un errore umano, bensì un problema dei siti web e delle applicazioni compromessi dove ci registriamo.

Basta che una di queste venga compromessa, e le tue credenziali potrebbero comparire in luoghi dove non dovrebbero. Ed è per questo che ha senso fare un controllo regolare della password. Ti aiuta a scoprire se le tue informazioni non sono tra le password rubate e ti permette di agire prima che conseguenze peggiori si verifichino.

Nell'articolo spiegheremo perché non basta avere solo una password forte, come funzionano i database di dati rubati, come controllare in sicurezza i propri account e come proteggersi per il futuro.

Perché non basta solo una password forte

Una password forte è un ottimo inizio, ma non copre tutto da sola. Gli attaccanti ottengono le credenziali non tanto indovinando le password, quanto sfruttando i servizi compromessi. Quando i dati da un servizio vengono rubati, parte di queste informazioni finiscono tra le password rubate e continuano a circolare nella rete.

Il problema si amplifica perché questi file vengono combinati e venduti. Gli attaccanti li confrontano con altre fughe, cercano corrispondenze e testano automaticamente le combinazioni nome più password su centinaia di siti. Questa tattica è chiamata dagli esperti di sicurezza credential stuffing e funziona perché le persone continuano a ripetere le password o a modificare leggermente una combinazione base.

Ne deriva una semplice regola: la forza della password non garantisce la sicurezza se è già stata scoperta altrove. Per questo è necessario fare controlli regolari per scoprire se le tue credenziali vengono vendute o circolano nei database di fughe. Questa informazione ti permette di agire prima per prevenire ulteriori danni.

Come funzionano i database di password rubate

Quando si verifica una fuga di dati da un servizio, gli attaccanti spesso combinano i dati con altre fughe di dati creando ampi database. Contengono miliardi di e-mail, nomi utente e versioni criptate delle password di diversi anni. Spesso si tratta di una combinazione di molte piccole fughe che nel tempo si fondono in un unico grande file.

Per orientarsi in tale quantità di dati, i record sono etichettati in base alla fonte e alla data del leak. Gli attaccanti usano questi file per test di login massicci e automatizzati, provando progressivamente i set e-mail più password su centinaia o migliaia di siti. Se usi la stessa password su diversi siti, una sola corrispondenza riuscita spesso basta affinché l'attaccante possa accedere anche ad altri tuoi account.

Ma anche gli esperti di sicurezza lavorano con database simili. Utilizzano impronte matematiche delle password che consentono di confrontare i dati senza che nessuno veda il loro reale contenuto. Grazie a questo è possibile creare strumenti sicuri che aiutano gli utenti a scoprire se le loro informazioni sono state rubate senza rischiare di essere abusate.

Come effettuare un controllo sicuro delle password

Se vuoi scoprire se i tuoi dati sono mai stati rubati, il modo più affidabile è utilizzare il servizio Have I Been Pwned. È uno dei progetti più affidabili nel campo della sicurezza online e raccoglie i dati da migliaia di leak verificati.

L'uso è semplice. Apri il sito haveibeenpwned.com, inserisci la tua e-mail e conferma la ricerca. Entro pochi secondi verrà visualizzato il risultato. Se il sistema non trova alcuna corrispondenza, vedrai un messaggio verde che dice che il tuo account non è stato registrato in nessuna fuga di dati conosciuta. Al contrario, se trova una corrispondenza, vedrai un elenco dei servizi interessati dalla fuga e la data approssimativa in cui è avvenuta. Puoi anche iscriverti per ricevere notifiche che ti informano di nuovi incidenti.

Altre opzioni sono strumenti integrati nei browser internet. Google Chrome offre il servizio Password Checkup, Mozilla Firefox utilizza il sistema Firefox Monitor, e Microsoft Edge include Password Monitor. Tutte queste funzioni possono monitorare automaticamente le password salvate e avvisarti se appaiono tra le password rubate. Il vantaggio è che il controllo avviene all'interno del browser e non necessita di essere avviato manualmente.

Chiunque desideri avere un maggior controllo sulle proprie credenziali di accesso può collegare un controllo simile a un gestore di password. Strumenti come 1Password, Dashlane o LastPass funzionano come una cassaforte personale che conserva tutte le password criptate e può completarli automaticamente. Consentono anche di generare nuove password, forti e uniche per ogni account, così non devi nemmeno ricordarle o conoscerle poiché le applicazioni le completano al posto tuo.

Funzioni come Watchtower in 1Password, Dark Web Monitoring in LastPass o Dark Web Insights in Dashlane utilizzano confronti crittografati con database di password rubate e ti avvisano se le tue informazioni appaiono in un nuovo leak. In questo modo hai il controllo di tutti i tuoi account in un unico posto e la certezza di poter rispondere immediatamente a un problema eventuale.

Quando scopri che le tue informazioni sono state compromesse

Scoprire che il tuo account è apparso in un database di password rubate non deve essere un motivo di panico. Significa che in passato è diventato parte di una fuga di dati, non necessariamente che qualcuno lo stia abusando in questo momento. È importante mantenere la calma e intraprendere rapidamente alcuni passi per minimizzare il rischio.

1. Cambia la password dell'account compromesso.

Utilizza una password completamente nuova e unica che non hai mai usato altrove. Se hai usato combinazioni simili su più servizi, cambiale anche loro. Così impedirai che le informazioni scoperte vengano sfruttate nuovamente.

2. Verifica i login recenti.

Controlla se qualcuno estraneo ha effettuato accessi al tuo account di recente. Gmail, Microsoft, Facebook e altri servizi consentono di visualizzare la cronologia degli accessi e dei dispositivi attivi. Se vedi qualcosa di sospetto, effettua il logout da tutte le sessioni e rientra con la nuova password.

3. Attiva l'autenticazione a due fattori.

Oltre alla password, sarà necessario inserire anche un secondo codice di verifica che riceverai tramite applicazione o telefono. Anche se qualcuno ha le tue credenziali, non potrà accedere al tuo account senza il secondo fattore. L'autenticazione a due fattori è oggi il modo più efficace per proteggersi anche in caso di ulteriori fughe di dati.

4. Controlla altri account.

Gli attaccanti often testano le stesse combinazioni e-mail e password su altri siti. Effettua un nuovo controllo delle password e assicurati che nessun altro account sia a rischio. Se usi un gestore di password, puoi gestire tutte le informazioni in un unico posto e ricevere avvisi per ogni nuovo leak.

5. Impara per il futuro.

Una fuga di dati non è la fine del mondo, ma un avvertimento. Rispondi rapidamente, monitora la sicurezza dei tuoi account e stabilisci un sistema che ti protegga anche la prossima volta.

Come proteggersi in futuro

La sicurezza informatica non è un'azione unica, ma piuttosto un'abitudine a lungo termine. Dopo un controllo della password, dovresti pensare anche a come prevenire situazioni simili in futuro. La base è avere il controllo sui propri account, curarli regolarmente e reagire prima che si verifichi un problema.

1. Dividi gli account per importanza.

Diversa importanza ha un'e-mail che usi per accedere ovunque e un account in un negozio online dove acquisti una volta all'anno. Per quelli più importanti usa credenziali uniche e l'autenticazione a due fattori.

2. Imposta i promemoria.

Così come cambi le password del Wi-Fi o il PIN della carta, è utile fare una rapida revisione degli account ogni tanto. Controlla se non utilizzi vecchie credenziali o simili e se il tuo gestore di password segnala avvisi di password rubate.

3. Fai attenzione a dove clicchi.

Le e-mail di phishing sono sempre più comuni. Non cliccare mai su link che richiedono il login, anche se sembrano affidabili. Accedi sempre manualmente tramite il sito ufficiale o l'applicazione.

4. Aggiorna i tuoi dispositivi e software.

Molti attacchi utilizzano vulnerabilità nei sistemi obsoleti. Gli aggiornamenti automatici sono un modo semplice per proteggersi senza sforzo.

5. Educa te stesso e gli altri.

Comportarsi in modo sicuro su internet dovrebbe essere naturale come chiudere a chiave la porta di casa. Condividi queste abitudini anche con chi ti circonda. Più persone le rispettano, minore è la possibilità che qualcuno accidentalmente contribuisca a una fuga di dati.

Controlla i tuoi account oggi stesso

Le fughe di dati sono una realtà dell'internet moderno. Non possono essere evitate completamente, ma puoi influenzare come ti colpiscono. Basta controllare i tuoi account di tanto in tanto, correggere i punti deboli e tenere traccia. Ogni passo così aumenta la possibilità che, anche se le tue informazioni venissero rubate, rimangano sotto il tuo controllo.