Hacker russi sottraggono 272 milioni di passworda da Gmail, Hotmail e Yahoo

Come riferito da Reuters nella giornata di ieri, sarebbero stati compromessi 272 milioni di account dei principali servizi di posta elettronica.

Come riferito da Reuters nella giornata di ieri, sarebbero stati compromessi 272 milioni di account dei principali servizi di posta elettronica.

L’anomalia e la stima sono state fornite dalla società specializzata in sicurezza Hold security che avrebbe ricevuto la proposta di ricevere oltre 1,7 miliardi di password per la modica cifra di circa 60 centesimi per account.

Il database analizzato da Hold security avrebbe poi accertatao che in realtà sono appunto circa 272 milioni gli account complessivi, con 42 milioni di nuovi account compromessi rispetto ai circa 230 milioni già noti e individuati in precedenti raid.

A farne le spese Mail.ru, principale servizio di posta elettronica utilizzato in Russia e in molti paesi ex sovietici ma ci sarebbero account riconducibili anche a Gmail, Hotmail e Yahoo Mail.

In queste ore i team di sicurezza dei principali network si stanno adoperano per valutare possibili danni. Per migliorare la sicurezza ricordiam ancora una volta che comverrebbe di tanto in tanto modificare la password dei propri account oltre ad evitare di utilizzare la stessa password su più servizi.

La sicurezza della password è di importanza fondamentale per la tutela dei dati dell’utente e per proteggere la workstation e la rete; infatti accade a molte persone al lavoro, o nel proprio conto corrente online, o nella casella di posta, di veder apparire sul display del proprio computer o smartphone un messaggio in cui l’utente viene avvisato della scadenza della password e della necessità di doverne creare una nuova.

Per anni i consigli per rendere la propria password sicura si sono sprecati, come ad esempio cambiarla spesso, o utilizzare una password diversa per ogni account importante (ad esempio una per l’account email e una per l’account di online banking), oppure utilizzare numeri, simboli e una combinazione di lettere maiuscole e minuscole nella password per rendere più difficoltoso indovinarla, o ancora creare una password univoca che non sia collegata alle tue informazioni personali.

 

La ricercatrice della Carnegie Mellon University e specialista in sicurezza informatica, Lorrie Cranor, pensa che queste precauzioni e strategie, oltre a essere molto fastidiose, potrebbero essere del tutto inutili, se non addirittura dannose, per la sicurezza della propria privacy.  La Cranor spiega che «ciò che poteva apparire vero dieci anni fa potrebbe non esserlo più oggi, alla luce di nuove ricerche».

 Lorrie Cranor si riferisce ad alcune ricerche secondo cui sembrerebbe che la gran parte delle persone che vengono troppo spesso invitate a cambiare password sono talmente infastidite che, per liberarsi nel modo più veloce e semplice da questa seccatura, si limitano a fare qualche ritocco alla password precedente. Tali piccole modifiche vengono effettuate dagli utenti ricorrendo a trucchi ricorrenti che lasciano libero accesso ai pirati informatici.

 Lo studio riporta che alcune persone sostituiscono la parte letterale con quella numerica, ad esempio; altri aggiungono un numero alla cifra precedente: Giuseppe81 che diventa Giuseppe82; altri ancora sostituiscono alcune lettere con numeri simili a livello grafico: Giuseppe che diventa G1us3pp3; ci sono persone che invece introducono nella password la data in cui la nuova password scadrà; e così via.

 La ricerca evidenzia inoltre che a volte molti utenti riciclano la stessa password per più di un servizio, quindi un’unica password per la casella di posta, per il conto corrente online e per il computer in ufficio e si può facilmente intuire quanto questi comportamenti possano risultare pericolosi se qualche malintenzionato riuscisse a scoprirla.

 Un gruppo di ricercatori della University of North Carolina, con l’intento di individuare i meccanismi attraverso cui una persona viene ispirata dalla vecchia password per creare quella nuova, ha setacciato migliaia di codici di accesso che negli anni precedenti erano stati scelti da ex studenti e dipendenti ed aggiornati puntualmente ogni tre mesi, implementando un programma in grado di prevedere le nuove password di alcuni utenti-test ed il risultato è stato positivo in 41 casi su 100 con un impiego di tempo pari a soli 3 secondi.

 La ricercatrice universitaria afferma che «questo dimostra che, tranne quando ci sia il sospetto che la nostra password sia diventata nota a qualcuno, potrebbe non avere senso stare a cambiarla continuamente».

 La dichiarazione della Cranor ha un senso, naturalmente, ma a condizione che fin dalla prima volta che la password è stata creata, le sequenze di cifre, lettere e simboli siano state scelte con criterio e grazie ad alcune regole che di ricordarla successivamente.

 La ricercatrice spiega infine che “il riconoscimento basato sulla sola password è destinato a sparire e che oggi esistono più sistemi in parallelo che sfruttano anche altri criteri, come la scansione dell’iride o l’analisi delle impronte digitali o vocali.»