La società di sicurezza 4iQ durante la sua attività di monitoraggio del cosiddetto deep web, ossia la rete Tor, ha trovato un singolo file con 1.4 miliardi di credenziali in chiaro. È l’archivio più vasto trovato ad oggi su internet, che sembra aggregare oltre 250 violazioni avvenute negli ultimi anni, inclusa quella di LinkedIn. La scoperta del file risale al 5 dicembre 2017, e l’archivio sembra abbastanza aggiornato visto che gli ultimi file risultano modificati al 29 novembre, quindi pochissimi giorni prima. 

Il file è costituito da un’accoppiata di email + password, e stando ai ricercatori molte di queste password funzionano perfettamente. Questo archivio mette in condizione un qualunque malintenzionato, anche senza particolari capacità, di avviare attività di attacco a  siti di home banking, pagamenti, e-commerce, visto che molte persone hanno la cattiva abitudine di riciclare la stessa password per servizi diversi. 

La maggior parte delle password arrivano da data breach già conosciute, come il suddetto LinkedIn, ma sembra che circa 14% delle credenziali siano nuove. 

Come capire se una password che usiamo è presente nel database

Per ovvi motivi di sicurezza il database non è stato reso pubblico, ma la società 4iQ ha messo a disposizione un servizio per la verifica degli indirizzi email. 

Per capire se la propria email è presente nel database inviare un messaggio all’indirizzo [email protected], mettendo come oggetto Password Exposure Check. In poco tempo vi arriverà una risposta automatica, per cui se siete fortunati ci sarà scritto che il vostro indirizzo email non è presente, altrimenti ci sarà la lista delle password (parzialmente offuscate) a voi associate. In caso di esito positivo affrettatevi a cambiare quelle password, almeno per i servizi critici come home banking, siti di ecommerce dove avete registrato la carta di credito (Amazon) e così via.

L’elenco delle email trovate nel database è stato inviato anche a Troy Hunt, blogger e ricercatore di sicurezza e fondatore del sito haveibeenpwned.com, dove è sempre possibile verificare (e monitorare) se il proprio indirizzo è presente in una delle incursioni rese pubbliche. 

Come mettersi al sicuro da questo tipo di esposizioni

Alcuni consigli sempre utili:

• sebbene sia sempre valido il solito non riciclare la password per servizi diversi, il vero problema è come conservare le password. Il modo più semplice è usare un password manager come LastPass o 1Password,  che in cambio di una singola password (complessa) può conservarle tutte;
  
• è sempre bene generare delle password sicure: non devono contenere riferimenti a nomi o date (tipico usare la data di nascita del consorte o dei figli) e devono essere variabili, quindi maiuscole, numeri, caratteri speciali (punteggiatura). Al giorno d’oggi è inutile generare delle password che si possono ricordare, meglio crearle molto complesse ed usare un password manager come detto sopra. Su Linux è possibile generare una password abbastanza complessa con il comando openssl rand -base64 20;
• abilitare l’autenticazione in due fattori (2FA) per i siti che lo consentono. Questo è sicuramente il consiglio più utile per evitare accessi indesiderati ai propri servizi. Come fanno le banche con le famose chiavette OTP (one time password), per molti siti è possibile usare l’applicazione Google Authenticator (play store / app store) come ulteriore sicurezza: ogni volta che farete l’accesso vi verrà richiesta oltre alla password il codice di sicurezza ottenibile con l’app, di fatto rendendo la sola password non sufficiente per l’accesso. Attenzione però che di contro sarà sempre indispensabile avere l’app a portata di mano per accedere ai servizi.

La notizia è stata pubblicata inizialmente sulla piattaforma Medium.