Mi hanno rubato la password?

La mia password è stata rubata? E che ne è della mia email, del mio numero di telefono e dei miei dati personali? Nel 2021 è uno dei nostri incubi peggiori, soprattutto perché non sempre dipende da noi. Il sistema prevede due attori: l’utente – voi – e la piattaforma. Nessuno di questi due soggetti è perfetto e il pericolo è dietro l’angolo. A dimostrarlo è il recente furto dati di Facebook, che ha “perso” 533 milioni di dati, 35 dei quali appartenenti ad utenti italiani. Un evento che spinto le persone a capire come muoversi. Insomma, se Facebook non mi avvisa di essere stato vittima della violazione, posso scoprirlo ugualmente? La risposta è sì. Cerchiamo di capire come.

haveibeenpwned: pochi minuti per scoprirlo

haveibeenpwned è il sito web più famoso quando si tratta di scoprire se email e numeri di telefoni sono finiti nel dark web. Questo non significa automaticamente che la vostra password sia stata rubata ma ci arriveremo.
Partiamo dall’inizio.

Have I Been Pwned? è un’espressione gergale che significa, a grandi linee, “sono stato compromesso?”. Il sito nasce da un’idea di Troy Hunt, Regional Director di Microsoft, deciso a fornire un servizio al pubblico in un momento storico che vede crescere costantemente il numero di furti dati ai danni di aziende e consumatori.

Il funzionamento teorico è abbastanza semplice: ogni volta che qualche dato rubato finisce online, Troy se li procura e li carica sul suo database. Questo consente al suo motore di ricerca di associare la email e numeri di telefono così da capire se sono nel maxi-contenitore di Troy e a quale violazione sono associati.

Facciamo un esempio semplice.
Andate su haveibeenpwned.com, inserite l’indirizzo email e cliccate su pwned?. Il sito vi dirà se la mail è sicura o se è compromessa. In questo caso avrete una lista (ci auguriamo molto breve) di servizi, a cui è associata la vostra email, a cui hanno sottratto i dati negli ultimi anni.

Per ognuno di essi viene indicato quando è successo, come è accaduto e quali dati sono stati rubati. Non sempre le password sono fra questi ma in ogni caso dovrebbe suonare un campanello d’allarme nella vostra testa.

BreachAlarm: l’alternativa meno nota

Haveibeenpwned non è l’unico sito web che può tornarvi utile. Una possibile alternativa è BreachAlarm. Il funzionamento “interno” è molto simile: vengono presi i dati online e inseriti in una database usato come base di un piccolo motore di ricerca.

Fin qui sembra molto simile alla creazione di Troy Hunter ma ci sono delle differenze. Prima di tutto non è lo spunto di un singolo ma di Avalanche Technology Group, una società australiana specializzata in sicurezza informatica.
In secondo luogo il sito richiede l’inserimento di un sito web e poi vi segnala se c’è almeno una password associata a quell’account che è stata diffuso sul web.

Volete saperne di più? Dovrete crearvi un account. BreachAlarm infatti nasce per notificare in tempo reale (o quasi) la violazione dei dati. Il servizio, nella sua versione base, è gratuito e prevede l’inivio di email in caso che però non includono i dettagli del data breach. Per coprire più indirizzi e ricevere un report completo dovrete spendere dai 10 ai 30$ l’anno.

Password rubata: e adesso?

Cosa succede se usando uno dei due servizi scoprite di avere qualche account compromesso? La soluzione immediata è il cambio della password, con qualcosa di sicuro e molto diverso da quanto usato in precedenza. Ricordatevi poi di non usare informazioni personali per creare la vostra password perché se hanno sottratto alla piattaforma anche informazioni differenti, come professione, stato civile, musica preferita e affini, rendete agli hacker il compito facile. Optate per qualcosa di difficile.
Se non sapete da dove iniziare, è il momento di usare un password manager. Esistono infatti programmi che conservano per voi le password e ne generano di sicure al posto vostro. Potete approfondire l’argomento leggendo qui il nostro articolo dedicato.

Il secondo step è l’attivazione dell’autenticazione in due fattori. Da qualche anno infatti diverse aziende, tra cui Google, Facebook, Adobe e Amazon, prevedono due “password” per accedere al proprio account. La prima è quella che avete scelto voi (o il vostro gestore di password), la seconda è un codice che può essere inviato via email o SMS o generato tramite un’applicazione aggiuntiva. Non è abitualmente una funzione che viene attivata automaticamente, dovete farlo voi.
Sappiate che fa davvero la differenza. In caso di furto delle credenziali infatti l’hacker di turno non riuscirà ad accedere all’account senza il codice aggiuntivo, normalmente legato al proprio smartphone.

Ricapitolando, in caso di password rubata:

• cambiatela immediatamente;
• generatene una forte, usando possibilmente un password manager;
• abilitate l’autenticazione in due fattori (cosa che può essere fatta anche preventivamente).

Sto regalando i miei dati?

Haveibeenpwned e BreachAlarm offrono un servizio molto utile ma cosa fanno dei miei dati? Niente di preoccupante.

Haveibeenpwned non registra email e numeri di telefono utilizzati per controllare l’eventuale esposizione alle violazioni online. Non tiene in memoria nemmeno le password associate ai dati rubati, ma solo email e servizio associato. Questo per prevenire furti dati all’interno del sito stesso.

BreachAlarm non registra le vostre email per il check gratuito sul loro sito. La tiene in memoria solo se vi iscrivete al servizio di monitoraggio, che sia quello base, a costo zero, o quello a pagamento. Non vengono inoltre conservate nel database le password violate.

State pensando di iscrivervi? Sappiate che il servizio è ottimo, sicuro e utile ma non è l’unica alternativa. Alcuni antivirus – come Bitdefender – o password manager – come Dashlane – monitorano il dark web per voi. Potrebbe essere un’ottima occasione per proteggervi a 360° utilizzando un solo servizio.

Rimani aggiornato seguendoci su Google News!

Seguici!