L’uso di password è ormai una necessaria consuetudine a cui ci siamo dovuti abituare, e spesso si viene infastiditi quanto i sistemi chiedono il cambio, motivandolo come procedura di sempre maggior sicurezza.

Ma pochi sanno che sono almeno dieci miliardi le password rubate e finite online in un maxi-archivio illegale conosciuto come BreachForum: un forum di pirati informatici che in anni di violazioni dei sistemi ha raccolto, appunto oltre 10 miliardi delle nostre password in un enorme sistema che non smette mai di incrementarsi.

Il sistema illegale del «credential stuffing»

Con questa tecnica si possono utilizzare i dati contenuti in un enorme database, scoperto recentemente da vari ricercatori, al fine di utilizzarli sulle più disparate piattaforme, attraverso i cosiddetti attacchi di brute-force.

I pirati informatici utilizzano il sistema del credential stuffing contenente i database delle password e possono prendere di mira di mira un po’ tutti: social network, istituti di credito, app di pagamento, siti di investimento finanziario, e tanto altro, e tutto il sistema illegale viene gestito automaticamente tramite specifici software sviluppati ad hoc per questa attività illecita.

Questa tecnica trova terreno fertile quando un utente utilizza la stessa password e il medesimo username su più servizi, rendendo quindi più vulnerabili i nostri sistemi. I più indifesi risultano proprio gli utenti comuni, da una parte per mera ingenuità, dall’altra a causa di poca esperienza o scarse conoscenze informatiche.

Questo fa nascere l’esigenza di proteggersi dai tentativi di violazione delle nostre password, iniziando ad aggiornare periodicamente le password ed abilitare l’autenticazione a due fattori, cosa ultimamente sempre più comune e creare anche magari password più complesse e quindi più difficili da hackerare.

Chi sta violando le password nel mondo informatico

Cybernews, società composta da ricercatori esperti in sicurezza informatica, ha scoperto un enorme database con circa 10 miliardi di password univoche, raccolte nel corso di oltre venti anni di attacchi informatici.

I ricercatori esperti in sicurezza la definiscono come la più grande raccolta di pw rubate ad utenti in ogni parte del globo, ed hanno anche scoperto il nome del cybercriminale che si fa chiamare “ObamaCare“: quando lo hanno individuato nel suo database erano presenti oltre otto miliardi di credenziali alle quali se ne sono aggiunte recentemente un altro miliardo e mezzo inserito da un altro pirata chiamato “RockYou2024”, anch’esso intercettato su BreachForums.

Le password sono state hackerate ad utenti di tutto il mondo: fatto di una gravità enorme e, come è oramai acclarato, i ricercatori possono solo arrivare a scoprire questi pirati informatici e successivamente creare software sempre più potenti per contrastarli.

E’ chiaro che una grossa fetta di responsabilità della nostra sicurezza informatica risiede nelle nostre mani, e dovremmo aumentare l’attenzione pesando la scelta di credenziali complesse quando operiamo sul web.

Ma come possiamo capire se la nostra password è stata piratata?

Ma quali sono i rischi che corriamo se scopriamo che la nostra password è stata violata? Come possiamo capirlo e come possiamo proteggerci da questi attacchi?

Nel web si trovano molte risorse per proteggere le password.

Vi sono anche possibilità gratuite o a costi irrisori. Tra i più noti c’è Have I’ve been pwned? che tradotto significa Sono stato hackerato?

Sito gestito da Troy Hunt, già Microsoft Regional Director, è una importante risorsa gratuita che consente agli utenti di verificare se il proprio indirizzo e-mail, la propria password o il numero di telefono sia presente nei database dei pirati informatici e raccolti in seguito alle violazioni effettuate.

L’uso è semplice: dopo esserci registrati, basta incollare password, indirizzo o altre informazioni nella stringa di ricerca per scoprire nel giro di poco, se le nostre credenziali sono state sottratte. Ma come accennato se ne possono trovare vari, come ad esempio il sito chiamato Has your password leaked? e tanti altri.

Cosa fare se la nostra password è stata violata

Ma cosa dobbiamo fare se scopriamo che una nostra password è stata piratata e quindi rubata?

Considerato che una volta che la nostra pw è stata rubata non possiamo fare molto, il primo consiglio è quello di non farsi prendere dal panico e rimanere freddi, e subito dopo cambiare la password attivando, se il sistema lo permette, l’autenticazione a due fattori: con questa tipologia di password l’accesso nei nostri account avviene solamente dopo aver digitato un codice univoco (quindi valido solo per il singolo accesso) che viene inviato dal gestore via sms, WhatsApp oppure tramite app quali Authenticator, o Password Manager ed altri.

La regola base consiste nel non comunicare ad alcuno tali codici, in quanto se andassero in mano a malintenzionati si correrebbe il rischio di riconsegnare il controllo dei nostri dati, password e file alla mercé dei malviventi.