Benvenuti alla puntata numero 68 di Cronache Digitali, dove vi racconto cosa succede nel mondo del cyber crime (ma non solo) per trovare spunti interessanti di riflessione.

Come sempre, potete ascoltare questa puntata anche in Podcast, cliccando qui!

🙏
Questo blog ed il podcast, sono gratuiti ed "indipendenti", ovvero senza alcuna sponsorizzazione e vengono realizzati nel mio tempo libero. Se vuoi sostenermi in questo progetto divulgativo, con un piccolo contributo (quasi simbolico!) puoi farlo iscrivendoti ad un piano a pagamento, che tra l'altro puoi annullare quando vuoi (e comunque riceverai sempre gli aggiornamenti!)

Questa settimana la puntata è dedicata al World Password Day: un momento simbolico, giovedì 5 Maggio scorso, che ha l'obiettivo di sensibilizzare le persone sull'importanza delle password.

Partiamo dalla fine: proprio ieri, sul noto forum BreachForum - luogo dove i criminali informatici annunciano gli attacchi portati a termine, cercano affiliati e mettono in vendita informazioni sensibili - è comparso un messaggio che riguarda uno dei più famosi club calcistici italiani: la Juventus.

il messaggio comparso su BF

La notizia viene diffusa su Twitter da Claudio Sono, sempre attento nel monitorare le attività dei cyber criminali:

Quanto afferma l'autore del post sul forum è decisamente grave dal punto di vista della sicurezza, se confermato.

In sostanza, dice di essere in possesso delle email e password di 164 dipendenti di un database afferente alla squadra torinese, oltre che 5 credenziali di accesso da amministratore.

Al momento non ci sono comunicati della società in merito. Prendo questo caso ragionare sul tema delle password.

Oggi, tutto quanto è digitale è protetto da una password o un codice di accesso. Il problema è che spesso, per pigrizia, cerchiamo di utilizzare password semplici così le ricordiamo meglio.

Questi sono gli errori più comuni che facciamo quando si parla di password:

  • Usiamo una password composta da un nome + numero + simbolo speciale
  • Usiamo la stessa password in almeno due applicazioni
  • Non cambiamo le password dopo un determinato tempo
  • Registriamo le nostre password su un file Excel o su una nota, magari salvando il tutto sulla scrivania o su una cartella del PC
  • Non abbiamo abilitato l'autenticazione a due fattori

Se ti ritrovi tra questi esempi, è giunto il momento di trovare una soluzione, perché il furto delle password espone la persona e le aziende a rischi altissimi.

Come nel caso della Juventus appena citato, se fosse confermato, il criminale informatico avrebbe accesso ad una serie di sistemi che potrebbero mettere in difficoltà la propria vittima, potenzialmente creando danni enormi.

Pensiamo a tutte le password che utilizziamo per lavoro e che quindi afferiscono a sistemi aziendali: VPN, gestionali, sistemi per le presenze e via dicendo.

Le password così dette deboli possono essere scoperte con un mix tra attacchi brute force e social engineering.

Ricordo che uno dei modi più semplici per scoprire una password è... chiederla.

Quali soluzioni adottare?

Si tratta di adottare procedure che cerchino di minimizzare il fattore umano. Prima di pensare a strumenti dedicati è fondamentale capire come il processo di gestione della password è stato disegnato.

Poi si valutano le soluzioni, che possono comprendere anche strumenti ad hoc per aiutarci.

Uno dei temi in qualche modo più "discussi" è quello dell'utilizzo delle così dette passphrase: in sostanza sono delle vere e proprie frasi composte da parole scelte a caso, in ordine casuale.

rotondo-presidente-facile-panino-colorante-micio

Il vantaggio di questo sistema è che questo tipo di password diventa inattaccabile con sistemi di "forza bruta". Anche la memorizzazione diventa più semplice, ma su questo punto io ritengo comunque necessario uno strumento tecnico (password manager) che svolga l'attività di registrazione della password.

Il nostro cervello è certamente una delle macchine più potenti al mondo, ma oggi è poco allenato per memorizzare molte lunghe frasi differenti tra loro.

Il mercato degli accessi (e quindi, delle password).

Per rafforzare ulteriormente il concetto di quanto debbano essere protette le nostre password, ritornando al "caso Juve", voglio sottolineare come oggi nel mondo del cyber crime esistano nuovi criminali che svolgono proprio una attività specifica: la vendita di accessi compromessi.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi