Controllare i siti con account compromessi
Aggiornato il:
Cosa fare se un account online è compromesso e come cambiare password in modo sicuro senza rischiare altri problemi futuri
In un ambiente come quello informatico basta davvero poco per essere derubati dei dati d'accesso ad un servizio qualsiasi: basta aprire l'email sbagliata, un link ad una pagina modificata o ricevere un messaggio contraffatto per fare entrare i malintenzionati nei nostri account. Inoltre, e questo ormai è il caso più comune, se viene hackerato un sito di cui abbiamo l'account, com'è davvero successo con Linkedin, MySpace e Twitter e viene scovata una password col nostro nome utente sopra, gli hacker o chi trova queste liste (che vengono pubblicate su internet) potrebbero provare la stesse password su altri nostri account.
Se quindi usiamo le stesse password in ogni account, queste sono tutti a rischio e sono da cambiare.
Se stai leggendo questo articolo e non cambi le password importanti da molto tempo, conviene prendersi 10 minuti e farlo subito per proteggere gli account importanti.
LEGGI ANCHE -> Furti di password su internet: le 5 tecniche più usate
1) Prima di tutto, è possibile controllare se un account con email e password è stato rubato, ossia se qualcuno è riuscito a scaricare i dati di login da un sito popolare, come Linkedin, come Facebook, Google, Yahoo (la più colpita in questi anni) e cosi via. Se la nostra email è finita in questi elenchi di account compromessi, allora qualsiasi hacker può leggerlo e utilizzare i dati estratti per tentare l'accesso su altri siti, usando la stessa password ed email, rendendo tutti gli altri nostri account a rischio.
Per fare questo controllo, è possibile utilizzare alcuni servizi online che tengono traccia di tutti i furti di dati e degli elenchi di account bucati.
- BreachAlarm.com
Un primo controllo per i tuoi account può essere effettuato utilizzando il sito Internet BreachAlarm.com, disponibile qui -> BreachAlarm.com.
Inseriamo l'indirizzo email che utilizziamo di solito per accedere al maggior numero possibile di siti (di solito si usa sempre uno per tutti come username) nel campo my email address e facciamo clic infine su Check Now.
Si aprirà una piccola finestra dove verremo informati della raccolta di informazioni necessarie al funzionamento del sito, accompagnata da una richiesta di conferma CAPTCHA; clicchiamo sul quadratino Non sono un robot e confermiamo con I Understand.
Se il nostro indirizzo email è compromesso o è stato compromesso in passato, apparirà subito una finestra d'allarme che riporterà anche al data dell'ultima segnalazione riguardo alla fuga di dati pubblicata dagli hacker.
Il messaggio è abbastanza generico e non fornisce alcuna informazione aggiuntiva, ma invita a attivare il servizio d'allerta Watchdog gratuito per poter ricevere velocemente nuove segnalazioni riguardo a futuri account compromessi.
Il risultato ti verrà inviato anche tramite email, così da poterla consultare all'occorrenza.
- Have I Been Pwned?
Altro sito molto più dettagliato per controllare se una tua password è stata rubata è Have I Been Pwned?, raggiungibile da qui -> Have I Been Pwned?
Anche in questo caso sarà sufficiente inserire l'indirizzo email che utilizziamo per la maggior parte dei servizi online in cui siamo iscritti e fare clic sul pulsante presente di lato pwned?.
Subito il sito mostrerà una finestra rossa in caso di account compromessi, mostrando in basso anche i database pubblici e le fughe dei dati d'accesso più famosi dove è stato trovato anche l'indirizzo che abbiamo fornito.
In questo caso il sito mostra anche i siti compromessi, fornendo anche una esamina delle informazioni che gli hacker sono riusciti a recuperare in seguito ad un furto di dati dovuti a exploit, bug sfruttabili o malware.
Oltre agli account compromessi mostra anche le informazioni trafugate e salvate online in file di testo condivisibili (pastes), che possono mettere ancora più a rischio la sicurezza dei nostri account (presenti e futuri).
3) Cosa fare in caso di account compromesso
Prima di tutto ripetiamo il test su entrambi i siti così da avere la certezza di essere stati compromessi in passato.
Poi seguiamo i seguenti passi per poter aumentare il livello di sicurezza di tutti i nostri account:
- Recuperiamo l'accesso a tutti i siti dove abbiamo utilizzato l'email incriminata
- Cambiamo la password a tutti i siti, partendo da quella principale dell'email e passando per i siti di e-commerce o home-banking (i più pericolosi)
- Cancelliamo ogni eventuale accesso o associazione a browser, PC o dispositivi (per gli account che consentono il controllo degli accessi come Facebook e Google)
- Attiviamo se possibile l'autenticazione a due fattori, in particolare per i siti più pericolosi o oggetto di hacking (social network, home-banking e e-commerce)
- Controlliamo con regolare frequenza se l'indirizzo email compromesso è stato inserito in nuovi incidenti dai due siti segnalati (se capita una nuova fuga di dati in una data posteriore all'applicazione dei passaggi, ripeterli tutti per maggiore sicurezza)
- Scegliamo per siti delle password lunghe (almeno 12 caratteri alfanumerici, con simboli e maiuscole)
- Evitiamo di utilizzare la stessa password per diversi siti, così da ridurre l'accesso dell'hacker a più siti in cui abbiamo la stessa password
- Evitiamo di utilizzare le reti WiFi pubbliche senza uno strumento di protezione come una VPN
Tutte queste precauzioni dovrebbero essere sufficienti per evitare che gli incidenti con fughe di dati (su cui spesso non c'entri nulla, dipende dall'incapacità di tenere i server aggiornati) possano finire per danneggiare i nostri account senza che noi possiamo far nulla.
4) Cambiare Password
Cambiare le password degli account online, tecnicamente, è molto facile, sempre che si ricordi l'attuale password.
Per molte persone inesperte questo è tutt'altro che scontato, basti pensare a coloro che comprano un nuovo cellulare e creano un nuovo indirizzo email, Gmail per Android, Apple per iPhone o Microsoft per Windows Phone e se ne dimenticano.
Per fortuna è sempre possibile recuperare le password e gli accessi ai siti più importanti, utilizzando procedure di recupero che si basano su un indirizzo email o sul numero di telefono.
In altri articoli abbiamo visto le procedure per recuperare un account Google e Gmail e risolvere problemi di accesso e per il recupero account e password su Gmail, Outlook e Yahoo Mail.
Inoltre è importante cambiare password su un PC pulito da virus e sicuro, che sia nostro.
In caso di dubbi, fare una scansione con Malwarebytes prima di fare modifiche e usare un browser web senza estensioni toolbar e plugin esterni.
Se si è costretti a cambiare password da un PC non nostro, scriverla usando una sessione anonima del browser e utilizzare una tastiera virtuale.
La sicurezza informatica, purtroppo, è una di quelle cose che più passa il tempo, più la situazione peggiora invece di migliorare.
Nonostante le grandi evoluzioni tecnologiche degli ultimi anni, le violazioni della sicurezza sono sempre più frequenti e ogni mese si trova sul giornale l'ennesimo allarme sugli account dei vari servizi online.
Il problema adesso non è tanto quello tecnico di come cambiare password, ma quello proprio di quale parola utilizzare per renderla inattaccabile.
Abbiamo già affrontato il problema in altri articoli, su come scegliere password sicure impossibili da scoprire e su come generare password forti.
Il trucco migliore, se non si vuol usare un software o un'app (vedi sotto il punto 5) rimane sempre quello di utilizzare password che siano formate da iniziali delle parole di una frase.
6) Usare sempre la doppia verifica sui siti importanti
La doppia verifica è quel meccanismo per cui, per accedere a un account, si deve inserire la password e poi anche un codice che si genera da un'app o si riceve sul cellulare.
La doppia verifica della password si può attivare nelle impostazioni account di siti come Facebook, Google, Microsoft, Apple, Paypal e tantissimi altri.
LEGGI ANCHE: Proteggere gli account dei siti web per non perderne il possesso
Se quindi usiamo le stesse password in ogni account, queste sono tutti a rischio e sono da cambiare.
Se stai leggendo questo articolo e non cambi le password importanti da molto tempo, conviene prendersi 10 minuti e farlo subito per proteggere gli account importanti.
LEGGI ANCHE -> Furti di password su internet: le 5 tecniche più usate
1) Prima di tutto, è possibile controllare se un account con email e password è stato rubato, ossia se qualcuno è riuscito a scaricare i dati di login da un sito popolare, come Linkedin, come Facebook, Google, Yahoo (la più colpita in questi anni) e cosi via. Se la nostra email è finita in questi elenchi di account compromessi, allora qualsiasi hacker può leggerlo e utilizzare i dati estratti per tentare l'accesso su altri siti, usando la stessa password ed email, rendendo tutti gli altri nostri account a rischio.
Per fare questo controllo, è possibile utilizzare alcuni servizi online che tengono traccia di tutti i furti di dati e degli elenchi di account bucati.
- BreachAlarm.com
Un primo controllo per i tuoi account può essere effettuato utilizzando il sito Internet BreachAlarm.com, disponibile qui -> BreachAlarm.com.
Inseriamo l'indirizzo email che utilizziamo di solito per accedere al maggior numero possibile di siti (di solito si usa sempre uno per tutti come username) nel campo my email address e facciamo clic infine su Check Now.
Si aprirà una piccola finestra dove verremo informati della raccolta di informazioni necessarie al funzionamento del sito, accompagnata da una richiesta di conferma CAPTCHA; clicchiamo sul quadratino Non sono un robot e confermiamo con I Understand.
Se il nostro indirizzo email è compromesso o è stato compromesso in passato, apparirà subito una finestra d'allarme che riporterà anche al data dell'ultima segnalazione riguardo alla fuga di dati pubblicata dagli hacker.
Il messaggio è abbastanza generico e non fornisce alcuna informazione aggiuntiva, ma invita a attivare il servizio d'allerta Watchdog gratuito per poter ricevere velocemente nuove segnalazioni riguardo a futuri account compromessi.
Il risultato ti verrà inviato anche tramite email, così da poterla consultare all'occorrenza.
- Have I Been Pwned?
Altro sito molto più dettagliato per controllare se una tua password è stata rubata è Have I Been Pwned?, raggiungibile da qui -> Have I Been Pwned?
Anche in questo caso sarà sufficiente inserire l'indirizzo email che utilizziamo per la maggior parte dei servizi online in cui siamo iscritti e fare clic sul pulsante presente di lato pwned?.
Subito il sito mostrerà una finestra rossa in caso di account compromessi, mostrando in basso anche i database pubblici e le fughe dei dati d'accesso più famosi dove è stato trovato anche l'indirizzo che abbiamo fornito.
In questo caso il sito mostra anche i siti compromessi, fornendo anche una esamina delle informazioni che gli hacker sono riusciti a recuperare in seguito ad un furto di dati dovuti a exploit, bug sfruttabili o malware.
Oltre agli account compromessi mostra anche le informazioni trafugate e salvate online in file di testo condivisibili (pastes), che possono mettere ancora più a rischio la sicurezza dei nostri account (presenti e futuri).
3) Cosa fare in caso di account compromesso
Prima di tutto ripetiamo il test su entrambi i siti così da avere la certezza di essere stati compromessi in passato.
Poi seguiamo i seguenti passi per poter aumentare il livello di sicurezza di tutti i nostri account:
- Recuperiamo l'accesso a tutti i siti dove abbiamo utilizzato l'email incriminata
- Cambiamo la password a tutti i siti, partendo da quella principale dell'email e passando per i siti di e-commerce o home-banking (i più pericolosi)
- Cancelliamo ogni eventuale accesso o associazione a browser, PC o dispositivi (per gli account che consentono il controllo degli accessi come Facebook e Google)
- Attiviamo se possibile l'autenticazione a due fattori, in particolare per i siti più pericolosi o oggetto di hacking (social network, home-banking e e-commerce)
- Controlliamo con regolare frequenza se l'indirizzo email compromesso è stato inserito in nuovi incidenti dai due siti segnalati (se capita una nuova fuga di dati in una data posteriore all'applicazione dei passaggi, ripeterli tutti per maggiore sicurezza)
- Scegliamo per siti delle password lunghe (almeno 12 caratteri alfanumerici, con simboli e maiuscole)
- Evitiamo di utilizzare la stessa password per diversi siti, così da ridurre l'accesso dell'hacker a più siti in cui abbiamo la stessa password
- Evitiamo di utilizzare le reti WiFi pubbliche senza uno strumento di protezione come una VPN
Tutte queste precauzioni dovrebbero essere sufficienti per evitare che gli incidenti con fughe di dati (su cui spesso non c'entri nulla, dipende dall'incapacità di tenere i server aggiornati) possano finire per danneggiare i nostri account senza che noi possiamo far nulla.
4) Cambiare Password
Cambiare le password degli account online, tecnicamente, è molto facile, sempre che si ricordi l'attuale password.
Per molte persone inesperte questo è tutt'altro che scontato, basti pensare a coloro che comprano un nuovo cellulare e creano un nuovo indirizzo email, Gmail per Android, Apple per iPhone o Microsoft per Windows Phone e se ne dimenticano.
Per fortuna è sempre possibile recuperare le password e gli accessi ai siti più importanti, utilizzando procedure di recupero che si basano su un indirizzo email o sul numero di telefono.
In altri articoli abbiamo visto le procedure per recuperare un account Google e Gmail e risolvere problemi di accesso e per il recupero account e password su Gmail, Outlook e Yahoo Mail.
Inoltre è importante cambiare password su un PC pulito da virus e sicuro, che sia nostro.
In caso di dubbi, fare una scansione con Malwarebytes prima di fare modifiche e usare un browser web senza estensioni toolbar e plugin esterni.
Se si è costretti a cambiare password da un PC non nostro, scriverla usando una sessione anonima del browser e utilizzare una tastiera virtuale.
La sicurezza informatica, purtroppo, è una di quelle cose che più passa il tempo, più la situazione peggiora invece di migliorare.
Nonostante le grandi evoluzioni tecnologiche degli ultimi anni, le violazioni della sicurezza sono sempre più frequenti e ogni mese si trova sul giornale l'ennesimo allarme sugli account dei vari servizi online.
Il problema adesso non è tanto quello tecnico di come cambiare password, ma quello proprio di quale parola utilizzare per renderla inattaccabile.
Abbiamo già affrontato il problema in altri articoli, su come scegliere password sicure impossibili da scoprire e su come generare password forti.
Il trucco migliore, se non si vuol usare un software o un'app (vedi sotto il punto 5) rimane sempre quello di utilizzare password che siano formate da iniziali delle parole di una frase.
6) Usare sempre la doppia verifica sui siti importanti
La doppia verifica è quel meccanismo per cui, per accedere a un account, si deve inserire la password e poi anche un codice che si genera da un'app o si riceve sul cellulare.
La doppia verifica della password si può attivare nelle impostazioni account di siti come Facebook, Google, Microsoft, Apple, Paypal e tantissimi altri.
LEGGI ANCHE: Proteggere gli account dei siti web per non perderne il possesso
Posta un commento
Per commentare, si può usare un account Google / Gmail. Se vi piace e volete ringraziare, condividete! (senza commento). Selezionare su "Inviami notifiche" per ricevere via email le risposte Info sulla Privacy