QUERTY
123456
……
Gli ultimi dati raccolti dal Cyber Osservatorio del CRIF (Centrale Rischi d’Intermediazione Finanziaria), la società privata che gestisce il SIC (Sistema d’Informazioni Creditizie e analizza le vulnerabilità degli utenti e delle aziende), non lasciano spazio a dubbi. L’Italia si aggiudica il preoccupante quinto posto a livello mondiale per casi di furti di password , ed un settimo posto non molto confortante per quello che riguarda il numero elevatissimo di indirizzi e di e mail compromesse; per quanto riguarda le frodi di carte di credito, si parla di un diciottesimo posto, sempre su scala globale.
Nei primi sei mesi del 2024, quasi il 37% degli utenti italiani ha ricevuto almeno un avviso di furto o di tentato furto dei propri dati dal dark web, e si è verificata un’impennata a dir poco preoccupante di sottrazione di dati legati alla combinazione di indirizzi fisici, indirizzi e-mail e di numeri di telefono.
Gli attacchi hacker sono sempre più sofisticati e mirati, non solo per le aziende ma anche per le persone fisiche, poiché sfruttando le vulnerabilità di una password debole, per loro è un gioco infiltrarsi nelle reti e nei domini, ovviamente a spese dei malcapitati.
Ora è necessario chiedersi quali siano i metodi con cui gli hacker prendano il controllo dei nostri account e come possiamo difenderci?
Partiamo dal fatto che gli utenti, spesso sottovalutano l’importanza della creazione di una password sicura, servono agli hacker le loro credenziali su un piatto d’oro e rimpiangendo amaramente dopo di non aver prestato abbastanza attenzione, trascurando la sicurezza.
Le principali tecniche di hacking per furto di password consistono in:
Attacchi brute force: Questo metodo prevede che un software all’avanguardia tenti tutte le combinazioni possibili di lettere, numeri e simboli fino a trovare la password corretta in pochissimo tempo.
Se una password è debole o facilmente indovinabile, per la vittima non c’è speranza.
Phishing e smishing: Con queste tecniche , l’attaccante può inviare un’email o un SMS ingannevole, spacciandosi per un’entità affidabile (ad esempio la banca o un servizio online) che spesso richiedono di cambiare le credenziali inserendo la password attraverso un link fraudolento e, quando clicca sul collegamento viene portata su un sito falso che sembra autentico, dove, raggirata inserisce la propria password, che finisce così nelle mani di chi non ha buone intenzioni, a volte lasciando nel dispositivo dell’ utente un malware, che ne prende il controllo e ne cripta i dati facendoli arrivare dritti a lui.
Dictionary Attacks: Qui l’hacker utilizza un elenco di parole comuni e varianti (ad esempio, provando ad indovinare password come “password123”, “qwerty”, nomi di animali, date di nascita) per indovinare la password. Molti utenti usano password prevedibili, e questo le rende veloci da indovinare e l’attacco avviene in maniera particolarmente efficace.
Tecniche di spionaggio: Gli hacker potrebbero spiare gli account delle vittime, risalendo ad informazioni come nome, cognome, anno di nascita, nome di animali e via dicendo.
Credential stuffing: In questo caso, l’hacker utilizza le combinazioni di email e password rubate da una precedente violazione di dati su un servizio per provare ad accedere ad altri account della vittima, che spesso riutilizza le stesse credenziali su più siti o piattaforme
Social engineering: Questa tecnica è fortemente manipolatoria e subdola e sfrutta la fiducia, ad esempio un hacker si finge di essere un supporto tecnico o un collega di lavoro e chiedendo direttamente le credenziali. avviene anche in siti ed app di incontri ai fini di ottenere la password.
Attacchi Man-in-the-middle (MITM): Se una connessione internet non è adeguatamente criptata, oppure, banalmente accedendo ad un Wi-Fi pubblico, un hacker può intercettare il traffico tra il dispositivo della vittima e il server a cui si sta connettendo consentendogli di accedere a dati e password in chiaro.
Attacchi di recupero dell’account: Gli hacker possono cercare di usare opzioni di recupero dell’account (come email o numero di telefono) per forzare la modifica della password. Fatto ciò riescono ad ottenere il controllo dell’ e mail del malcapitato o il numero di telefono,
Questi sono solamente gli attacchi più noti, ma non bisogna sottovalutare la creatività degli hacker unita a tecnologie e tecniche sempre più avanzate.
Il Primo passo fondamentale e basilare per prevenire gli attacchi è avere una password difficile da decifrare.
I metodi più semplici per la creazione autonoma di password sicure sono:
Password phrase: Una combinazione di più parole reali che mischiano lettere e numeri, ad esempio, nel caso in cui la password sia Pianoforte/chitarra Elettrica ,potrebbe diventare qualcosa come Pi4n0F0rt€//Ch1t4rr4€l€ttrik4
Oppure Il gatto del vicino si chiama Gigetto e fa le fusa! potrebbe diventare 11g4tt0DeLV1c1n0s1ch1aMaGig3tt03flfs!! e così via, frasi improbabili che solo noi conosciamo difficilmente arrivabili e senza alcuna apparente connessione con noi.
Possiamo anche optare per un generatore di password automatico: ci sono tantissime app differenti.
Sono delle stringhe di caratteri, lettere e numeri senza alcuna connessione logica, il che rende le password molto sicure, poiché non si basano su informazioni personali e la loro lunghezza è personalizzabile, come anche la quantità di lettere e numeri. L’unica cosa che bisogna fare è ricordarsi una password chiave, che rende tutte le password associate a vari siti e servizi immediatamente disponibili.
Alcune App di questo tipo sono:
- Dashlane Password Generator
- LastPass Password Generator
- Bitwarden Password Generator
- NordPass Password Generator
- Kaspersky Password Generator
- Keepass
Queste soluzioni permettono ad ogni utente di soddisfare qualsiasi tipo di esigenza in ambito di sicurezza. Infine le classiche raccomandazioni, che sono sempre attuali, come l’ aggiornamento regolare e la sicura e l’abilitazione dell’ Autenticazione a due fattori (2FA) che aggiunge un ulteriore scudo di sicurezza, essendo un ulteriore fattore di verifica della password, sia esso biometrico che un SMS o un e-mail.
- https://finanza.repubblica.it/
- Password Generator – Dashlane
- Generate secure passwords (lastpass.com)
- Free Password Generator | Create Strong Passwords and Passphrases | Bitwarden
- Generatore di password: password sicure e casuali | NordPass
- Kaspersky
- Download KeePass – free – latest version (softonic.com)
Commenti recenti