La prospettiva non è delle migliori: il numero di indirizzi e-mail e password compromessi supera i 5 miliardi e si avvicina inesorabilmente al numero degli abitanti della terra (circa 8 miliardi); le probabilità parlano chiaro: almeno una delle nostre credenziali potrebbe essere stata compromessa. Ovviamente questo è possibile in quanto troppe tra quei 5 miliardi sono termini identici, sono password comuni utilizzate troppo spesso, da troppe persone. 

Il problema delle password è annoso e probabilmente divenuto talmente costante da non destare più meraviglia o, peggio, attenzione. 

L’ultima indagine della National Crime Agency (unità britannica per il cyber crimine) ha scovato in uno storage cloud aziendale uno zibaldone di materiale contenente anche password compromesse, benché non associabili a nessuna specifica campagna e dunque origine della compromissione. Per questo motivo NCA, per verificare la compromissione, si è rivolta al più grande database di password compromesse HIBP (Have I Been Pwned) per confrontare quanto trovato con tale riferimento. NCA ha trovato 586 milioni di credenziali che confrontate con i 613 milioni di HIBP hanno evidenziato ben 226 milioni mai viste prima. 

La questione ha un duplice aspetto: prima di tutto il numero elevatissimo di nuove password compromesse, ma in secondo luogo il fatto che se agenti di minaccia hanno potuto permettersi di abbandonare in un cloud aziendale un simile “bottino”, può significare solo che questo non sia affatto così prezioso e unico, ossia è certamente disponibile da fonte alternativa e probabilmente pubblica per chiunque intraprenda azioni di cyber crimine. 

Naturalmente queste altre password sono ora patrimonio di HIBP, che ha superato così 847 milioni di password: chiunque potrà così verificare se sta utilizzando o sta per utilizzare una password compromessa. 

200 milioni in un solo colpo è un segnale di allarme forte: il problema della password non è più trascurabile, e se esiste un nuovo modo, più moderno, per dimostrare l’identità di un utente di servizi in rete, questo è il momento di applicarlo. Tutta questa mole di password compromesse consente sia l’armamento di Spray Attack (e dunque ottenere accesso per tutti quegli utenti che adoperino una password compromessa, seppure venuta a conoscenza in relazione a qualche altra vittima), sia l’analisi con Machine Learning di come gli utenti sviluppino il proprio modello di password, magari in associazione con il servizio, il nome utente, o qualche altra fonte di “ispirazione”.  

Qualche suggerimento classico: utilizziamo un gestore di password per generare e conservare password complesse, utilizziamo quanto più possibile una autenticazione a più fattori, non cedere alla tentazione di rinunciare ad aggiornare la password, utilizzare password differenti per servizi (personali e professionali) differenti. 

Tweet