Cosa fare se l’e-mail è finita in un data breach?

Molte persone usano i loro indirizzi e-mail e un solo piccolo set di password (addirittura anche solo una password) per accedere ai propri account online. Sfortunatamente, questo significa che qualsiasi hacker con il tuo indirizzo e-mail ha già la metà dei tuoi dati di accesso.

La maggior parte delle persone ricicla vecchie password.

Questo significa che nel caso in cui alcuni dei tuoi dati finiscano in un Data Breach (attacco intenzionale per forzare un database o un intero sito per estrarne dati sensibili) o in un Data Leak (esposizione di dati riservati per un errore umano o procedurale), potrebbero vedersi compromessi molti dei propri account on line, anche ipoteticamente tutti.

Se fai parte di quelle persone che usano solo una selezione di password diverse, in base a una sorta di tema oppure cambiando solo l’ordine di alcuni elementi, un malintenzionato potrebbe combinare la conoscenza di una sola delle tue password con un attacco di Brute Force o delle tecniche di ingegneria sociale per scoprire più facilmente le tue altre password.

Come fare a sapere se qualcuno ha trafugato il tuo indirizzo e-mail?

Per poter monitorare la situazione ci viene in soccorso Troy Hunt. E’ un noto esperto di sicurezza informatica che ha creato il sito HIBP Have I Been Pwned? (traducibile in: Sono stato Investito?).

Il sito HIBP permette di sapere, gratuitamente, se il proprio indirizzo e-mail è stato compromesso in una fuga di dati. Non solo: indica anche quale azienda ha fatto trapelare i tuoi dati.

L’uso è semplice: basta andare su HIBP, inserire la propria mail e vedere il risultato. HIBP non include solo e-mail ma anche altri dati personali che sono stati esposti o trafugati sul web.

Ciò che potresti scoprire potrebbe davvero sorprenderti.

data breachMolte volte le password sono al sicuro ma altre informazioni e dati personali (nome, giorno di nascita, sesso, luogo di residenza) sono trapelate da diverse società di aggregazione di dati di marketing.

Gli hacker, per rendere il crack degli account molto più veloce, fanno uso di molti tipi di dati personali. Combinano database contenenti password note con i dati in cui vengono in possesso.

Controlla alcune delle tue e-mail sul sito HIBP, è probabile che almeno una di esse sia stata coinvolta in una perdita di dati. Anche se le tue password non sono state rivelate.

Sul sito HIBP c’è anche un controllo password per scoprire se una determinata password è arrivata ad essere di pubblico dominio. Puoi quindi fare il controllo direttamente sulle tue password.

Il sito utilizza dei codici hash per mantenere anonima la tua password e non la memorizza.

Se vuoi puoi anche iscriverti gratuitamente a Have I Been Pwned e, in tal modo, verrai avvisato di future fughe di dati che coinvolgono i tuoi indirizzi e-mail.

Cosa fare se trovi il tuo indirizzo in una fuga di dati?

Ci sono un paio di azioni che puoi intraprendere se alcune delle tue mail sono finite in un Data Breach.

1.Cambia le tue password

Dopo aver verificato la presenza di violazioni negli indirizzi e-mail, il passaggio successivo consiste nel modificare tutte le password correlate a quell’email con una più complessa. Scegliere password complicate e univoche può essere di difficile realizzazione per alcune persone. Che ci si creda o meno una stringa di lettere, numeri e simboli può essere altrettanto facile da decifrare per una macchina, come qualsiasi altra password.

Purtroppo, siamo indotti a pensare che bastano azioni semplici, come cambiare alcune lettere con dei numeri o aggiungere un simbolo prima o dopo una parola per essere al sicuro. Purtroppo non è così.

Queste combinazioni diventano di difficile memorizzazione per l’utente ma sono ancora troppo semplici da violare per un software apposito.

Al posto di una sola parola con qualche carattere speciale opta invece per una password fatta di termini non correlati tra loro. Otterrai un risultato di facile memorizzazione, è vero, ma anche difficile da hackerare.

Se la tua password risulta essere stata trafugata, ciò non indica necessariamente che sia stata accoppiata con il tuo indirizzo e-mail. Molto più probabilmente significa che la tua password sia in un database insieme ad altre password confermate. Un programma cracker le utilizzerà per primo quando proverà un attacco di brute force sul tuo account.

Se per caso hai una password compromessa con un’e-mail trafugata di un account senza autenticazione a più fattori allora, probabilmente, hai consegnato a chiunque con quei due database l’accesso completo all’account.

2. Utilizza un gestore password.

Naturalmente, con tutte queste password univoche, potresti avere delle difficoltà di memorizzazione o, banalmente, potresti pensare di scriverle tutte da qualche parte.

Se vuoi mantenere al sicuro il tuo nuovo set di password, considera l’utilizzo di un gestore di password (con una password sicura e unica che puoi ricordare facilmente). Esistono numerose opzioni, molte delle quali gratuite, che ti aiuteranno a in questo compito.

Ci sono diversi di questi software che possono esserti utili. Tra i più apprezzati sul mercato si trovano LastPass e Dashlane entrambi con ottime recensioni. Se prendi sul serio la tua sicurezza online, vale la pena di investire qualche euro per una versione premium. Sono relativamente economici e includono funzionalità importanti come la sincronizzazione tra dispositivi e l’autenticazione multi-fattore avanzata.


 

Condividi il contenuto su...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Pin on Pinterest
Pinterest
Share on LinkedIn
Linkedin
Email this to someone
email
Print this page
Print