Come sapere se la tua password è stata rubata

By | Novembre 29, 2019
Come scoprire se la tua password è stata rubata

In seguito alla rivelazione che un elenco contenente milioni di nomi utente e password rubati era apparso online, ti diciamo alcuni modi diversi per scoprire se le tue credenziali sono state rubate in quella o in qualsiasi altra violazione della sicurezza.


A metà gennaio, il ricercatore Troy Hunt ha rivelato che un elenco stava fluttuando nello spazio di archiviazione del cloud MEGA e in diversi forum di hacking. Con il nome di Collection #1, contiene il più grande furto di password organizzato in un elenco fino ad oggi, che comprende oltre 700 milioni di indirizzi e-mail e oltre 20 milioni di password.

Ogni volta che sentiamo parlare di qualcosa del genere, è naturale chiedersi se i nostri indirizzi e-mail e / o le password che utilizziamo per accedere ai nostri account sono tra questi o se sono stati rubati come parte di una qualsiasi altra infiltrazione o violazione della sicurezza.

Scoprire se le nostre credenziali sono state rubate o meno può anche darci un’idea se le password che stiamo scegliendo quando ci registriamo ad un nuovo servizio o quando aggiorniamo la nostra password, sono sufficientemente sicure. In questo articolo ti diremo come scoprire se il tuo indirizzo email o password è stato rubato e per verificare se le password che stai scegliendo sono sicure o meno.

Il primo servizio che vedremo è Have I Been Pwned. Questo servizio consente agli utenti di verificare se il nostro indirizzo e-mail è stato rubato e incluso in uno dei vari elenchi di informazioni e-mail e password che circolano online. Inoltre, il loro database è molto aggiornato e include le e-mail e le password che sono state rubate di recente.

Entrando nel sito un visitatore sarà in grado di visualizzare un database di oltre 6 miliardi di account che sono stati rubati.

Abbiamo deciso di controllare un indirizzo e-mail e abbiamo visto che purtroppo l’indirizzo che abbiamo inserito era stato effettivamente rubato. Scorrendo la pagina verso il basso, abbiamo visto maggiori dettagli sui tipi di servizi che hanno compromesso l’indirizzo e-mail che abbiamo controllato.

Ad esempio, ci sono casi ben noti come le violazioni dei dati di LinkedIn e Taringa, nonché alcuni degli elenchi che fanno regolarmente il giro e contengono dati raccolti da vari siti Web.

Una volta che lo sappiamo, cosa possiamo fare?

Inutile dire che dovremmo cambiare le nostre password sui siti Web citati, ma poiché è anche molto comune per le persone utilizzare le stesse credenziali per più di un sito Web o servizio, dobbiamo cambiare la password rubata su tutti i siti Web che utilizziamo perché, una volta che la nostra password è nelle mani di qualcun altro, non possiamo sapere a quanti diversi siti Web potrebbero tentare di accedere con quelle credenziali.

Quando si tratta di scegliere una nuova password, si consiglia un altro strumento molto utile sullo stesso sito Web.

Questa volta, il sito Web indica quante volte la password inserita è stata utilizzata e successivamente rubata.

Se proviamo a inserire alcune delle password che tendono ad apparire nelle classifiche delle password più utilizzate, per quanto incredibile possa sembrare, otteniamo i seguenti risultati:

Parola d’ordineNumero di volte che è stato rubata
12345623.174.662
parola d’ordine3.645.804
QWERTY3.810.555
1111113.093.220
Google183.778
Facebook64.811
!A3Z6B:9#S.20

Come possiamo vedere, se proviamo una password completamente casuale, c’è una buona probabilità che non sia correlata a nessuna dei dati sottratti / persi e quindi probabilmente non è stata utilizzata o non è stata decrittografata. Questo ci dà una buona idea di ciò che rende sicura una password, o almeno meno probabile che finisca nelle mani di qualcun altro.

Leggi anche: Come migliorare la sicurezza di Windows 10?

Un’altra cosa importante da tenere a mente quando si sceglie una password sicura, oltre a controllare se appare in un database di password rubate, è seguire le buone pratiche.

  • Usa una combinazione di caratteri alfanumerici
  • Usa caratteri speciali
  • Dovrebbe essere lunga almeno 8 caratteri (e più di 10 ti daranno ancora più sicurezza contro un attacco di forza bruta)
  • Inoltre, considera l’utilizzo dell’autenticazione a due fattori, che aggiunge un secondo livello di sicurezza oltre alla password scelta.

Ma la cosa più importante è che sia facile da ricordare, se abbiamo problemi con il ricordare tutte le password, è meglio scriverla su un pezzo di carta o, meglio ancora, incollarla sotto il monitor— o nasconderla in una zona sicura, senno’ tutte le misure di sicurezza che abbiamo usato si dimostreranno inutili.

Per gli utenti che utilizzano un gestore di password come KeePass, che consente di generare combinazioni più sicure e di memorizzarle crittografate all’interno del gestore password stesso, esiste la possibilità di confrontare tutte le password memorizzate al suo interno con il database di Have I Been Pwned, grazie a uno strumento pubblicato su GitHub.

L’applicazione si chiama kdbxpasswordpwned e ti permette di confrontare automaticamente tutte le password che hai memorizzato in KeePass rispetto al database delle password rubate.

Sebbene l’applicazione sia rivolta a utenti con conoscenze tecniche superiori alla media, le seguenti istruzioni dettagliate dovrebbero contribuire a semplificarne l’utilizzo.

  • Innanzitutto, installa l’applicazione sul tuo sistema (che deve già aver installato Python) utilizzando la seguente riga di comando:

$ pip install kdbxpasswordpwned

  • Una volta installato, vai alla directory in cui si trova il tuo file .kdbx (.kdbx è il formato file per il gestore password KeePass) ed esegui il seguente comando:

Kdbxpasswordpwned passkeys.kdbx

Come ci si potrebbe aspettare, ti chiederà la password per il tuo file crittografato, quindi potrà quindi confrontare ciascuna delle password che hai memorizzato nel gestore. In questo esempio, possiamo vedere che due delle password di esempio che abbiamo memorizzato sono emerse come hit. Quindi, se queste fossero vere password, questo dovrebbe spingerci ad andare avanti e cambiarle immediatamente sui servizi in cui le usiamo.

E per dare un ultimo suggerimento in questo post (perché vale sempre la pena prestare attenzione a ciò che i criminali informatici fanno con le informazioni che ottengono), dovremmo essere cauti se riceviamo e-mail in cui il mittente cerca di estorcerci denaro perché hanno le nostre password.

Abbiamo notato ultimamente che sono ancora in corso campagne di Sextortion false, in cui al destinatario viene inviata un’e-mail contenente la sua password nel messaggio (nella riga dell’oggetto o nelle prime righe del testo del corpo) e viene chiesto per pagare una somma di denaro.

Ricorda di cambiare le tue password regolarmente, anche se le applicazioni e i servizi che usi non te lo chiedono, e usa l’autenticazione a due fattori per i servizi che lo consentono. In questo modo, puoi mantenere i tuoi dati personali più sicuri e ridurre le possibilità che qualcun altro possa accedervi.

Leggi anche: Guida alla sicurezza di Android: rendi il tuo telefono sicuro al 100%

Author: GuideSmartPhone

Mi piacciono gli smartphone, computer e videogiochi. Come hobby scrivo per GuideSmartPhone articoli basati principalmente sulla tecnologia. Spero di esservi stato d'aiuto!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.