Cambiare password di account compromessi: come fare

Cosa fare se un account online è compromesso e come cambiare password in modo sicuro senza rischiare altri problemi futuri

In un ambiente come quello informatico basta davvero poco per essere derubati dei dati d'accesso ad un servizio qualsiasi: basta aprire l'email sbagliata, un link ad una pagina modificata o ricevere un messaggio contraffatto per fare entrare i malintenzionati nei nostri account. Inoltre, e questo ormai è il caso più comune, se viene hackerato un sito di cui abbiamo l'account, com'è davvero successo con Linkedin, MySpace e Twitter e viene scovata una password col nostro nome utente sopra, gli hacker o chi trova queste liste (che vengono pubblicate su internet) potrebbero provare la stesse password su altri nostri account.
Se quindi usiamo le stesse password in ogni account, queste sono tutti a rischio e sono da cambiare.

Se stai leggendo questo articolo e non cambi le password importanti da molto tempo, conviene prendersi 10 minuti e farlo subito per proteggere gli account importanti.

LEGGI ANCHE -> Furti di password su internet: le 5 tecniche più usate

1) Prima di tutto, è possibile controllare se un account con email e password è stato rubato, ossia se qualcuno è riuscito a scaricare i dati di login da un sito popolare, come Linkedin, come Facebook, Google, Yahoo (la più colpita in questi anni) e cosi via. Se la nostra email è finita in questi elenchi di account compromessi, allora qualsiasi hacker può leggerlo e utilizzare i dati estratti per tentare l'accesso su altri siti, usando la stessa password ed email, rendendo tutti gli altri nostri account a rischio.
Per fare questo controllo, è possibile utilizzare alcuni servizi online che tengono traccia di tutti i furti di dati e degli elenchi di account bucati.

- BreachAlarm.com

Un primo controllo per i tuoi account può essere effettuato utilizzando il sito Internet BreachAlarm.com, disponibile qui -> BreachAlarm.com.


Inseriamo l'indirizzo email che utilizziamo di solito per accedere al maggior numero possibile di siti (di solito si usa sempre uno per tutti come username) nel campo my email address e facciamo clic infine su Check Now.
Si aprirà una piccola finestra dove verremo informati della raccolta di informazioni necessarie al funzionamento del sito, accompagnata da una richiesta di conferma CAPTCHA; clicchiamo sul quadratino Non sono un robot e confermiamo con I Understand.
Se il nostro indirizzo email è compromesso o è stato compromesso in passato, apparirà subito una finestra d'allarme che riporterà anche al data dell'ultima segnalazione riguardo alla fuga di dati pubblicata dagli hacker.


Il messaggio è abbastanza generico e non fornisce alcuna informazione aggiuntiva, ma invita a attivare il servizio d'allerta Watchdog gratuito per poter ricevere velocemente nuove segnalazioni riguardo a futuri account compromessi.
Il risultato ti verrà inviato anche tramite email, così da poterla consultare all'occorrenza.

- Have I Been Pwned?

Altro sito molto più dettagliato per controllare se una tua password è stata rubata è Have I Been Pwned?, raggiungibile da qui -> Have I Been Pwned?


Anche in questo caso sarà sufficiente inserire l'indirizzo email che utilizziamo per la maggior parte dei servizi online in cui siamo iscritti e fare clic sul pulsante presente di lato pwned?.
Subito il sito mostrerà una finestra rossa in caso di account compromessi, mostrando in basso anche i database pubblici e le fughe dei dati d'accesso più famosi dove è stato trovato anche l'indirizzo che abbiamo fornito.


In questo caso il sito mostra anche i siti compromessi, fornendo anche una esamina delle informazioni che gli hacker sono riusciti a recuperare in seguito ad un furto di dati dovuti a exploit, bug sfruttabili o malware.
Oltre agli account compromessi mostra anche le informazioni trafugate e salvate online in file di testo condivisibili (pastes), che possono mettere ancora più a rischio la sicurezza dei nostri account (presenti e futuri).

3) Cosa fare in caso di account compromesso

Prima di tutto ripetiamo il test su entrambi i siti così da avere la certezza di essere stati compromessi in passato.
Poi seguiamo i seguenti passi per poter aumentare il livello di sicurezza di tutti i nostri account:

- Recuperiamo l'accesso a tutti i siti dove abbiamo utilizzato l'email incriminata
- Cambiamo la password a tutti i siti, partendo da quella principale dell'email e passando per i siti di e-commerce o home-banking (i più pericolosi)
- Cancelliamo ogni eventuale accesso o associazione a browser, PC o dispositivi (per gli account che consentono il controllo degli accessi come Facebook e Google)
- Attiviamo se possibile l'autenticazione a due fattori, in particolare per i siti più pericolosi o oggetto di hacking (social network, home-banking e e-commerce)
- Controlliamo con regolare frequenza se l'indirizzo email compromesso è stato inserito in nuovi incidenti dai due siti segnalati (se capita una nuova fuga di dati in una data posteriore all'applicazione dei passaggi, ripeterli tutti per maggiore sicurezza)
- Scegliamo per siti delle password lunghe (almeno 12 caratteri alfanumerici, con simboli e maiuscole)
- Evitiamo di utilizzare la stessa password per diversi siti, così da ridurre l'accesso dell'hacker a più siti in cui abbiamo la stessa password
- Evitiamo di utilizzare le reti WiFi pubbliche senza uno strumento di protezione come una VPN

Tutte queste precauzioni dovrebbero essere sufficienti per evitare che gli incidenti con fughe di dati (su cui spesso non c'entri nulla, dipende dall'incapacità di tenere i server aggiornati) possano finire per danneggiare i nostri account senza che noi possiamo far nulla.

4) Cambiare Password
Cambiare le password degli account online, tecnicamente, è molto facile, sempre che si ricordi l'attuale password.
Per molte persone inesperte questo è tutt'altro che scontato, basti pensare a coloro che comprano un nuovo cellulare e creano un nuovo indirizzo email, Gmail per Android, Apple per iPhone o Microsoft per Windows Phone e se ne dimenticano.
Per fortuna è sempre possibile recuperare le password e gli accessi ai siti più importanti, utilizzando procedure di recupero che si basano su un indirizzo email o sul numero di telefono.
In altri articoli abbiamo visto le procedure per recuperare un account Google e Gmail e risolvere problemi di accesso e per il recupero account e password su Gmail, Outlook e Yahoo Mail.

Inoltre è importante cambiare password su un PC pulito da virus e sicuro, che sia nostro.
In caso di dubbi, fare una scansione con Malwarebytes prima di fare modifiche e usare un browser web senza estensioni toolbar e plugin esterni.
Se si è costretti a cambiare password da un PC non nostro, scriverla usando una sessione anonima del browser e utilizzare una tastiera virtuale.

La sicurezza informatica, purtroppo, è una di quelle cose che più passa il tempo, più la situazione peggiora invece di migliorare.
Nonostante le grandi evoluzioni tecnologiche degli ultimi anni, le violazioni della sicurezza sono sempre più frequenti e ogni mese si trova sul giornale l'ennesimo allarme sugli account dei vari servizi online.

5) Come generare password sicure

Il problema adesso non è tanto quello tecnico di come cambiare password, ma quello proprio di quale parola utilizzare per renderla inattaccabile.
Abbiamo già affrontato il problema in altri articoli, su come scegliere password sicure impossibili da scoprire e su come generare password forti.
Il trucco migliore, se non si vuol usare un software o un'app (vedi sotto il punto 5) rimane sempre quello di utilizzare password che siano formate da iniziali delle parole di una frase.
In questo modo si riesce a fare una password facile da ricordare, con lettere che sembrano messe a caso e che non formano alcuna parola da dizionario in nessuna lingua.
Per esempio, la frase "oggi scrivo su Navigaweb 3 articoli che parlano di Google" può formare la password del mio account Google, ossia ossN3uacpdG
Con la stessa logica posso fare la password per Facebook, Microsoft e altri account cambiando magari la lettera finale.
Sarà molto difficile scoprire questo tipo di password per un hacker.

Sinteticamente, le regole per creare password uniche e del tutto imprevedibili che si possano difendere contro le più avanzate capacità di cracking usate dagli hacker sono:

- Evitare Formule prevedibili
Mai usare parole di senso comune, nomi propri, date di nascita, nomi di cani o di città o squadre di calcio o attori e nemmeno parole storpiate in modo banale come, ad esempio, Sup3r, con un numero alla fine, magari usando lo 0 al posto della o e mettendo una lettera maiuscola all'inizio.
Questi stratagemmi prima efficaci sono ora conosciuti dagli hacker.
Anche scrivere una parola al contrario non è una tecnica buona.

- Utilizzare una password unica per ogni sito
Utilizzare una password diversa per ogni sito limita il danno che può essere fatto se / quando c'è una violazione della sicurezza.
Purtroppo però utilizzare una variante della stessa password per ogni sito, come nel modo visto sopra, non è ancora ottimale per la sicurezza.

- Utilizzare password casuali generate da un programma
Una password casuale, fatta di 15 0 20 caratteri random, è la password più sicura, praticamente impossibile anche da ricordare come, ad esempio: gfETdç.ò3ve534ò5ge.
Se non abbiamo sufficiente fantasia per generare una password sicura per i nostri account (compromessi o no) possiamo farti aiutare da alcuni strumenti gratuiti, così da ridurre ulteriormente la possibilità che un hacker possa accedere ad un nostro account.
Il primo strumento gratuito che consigliamo di utilizzare è KeePass, scaricabile da qui -> KeePass.
Installiamolo sul nostro PC, creiamo un nuovo database scegliendo una master password e, nella finestra che si aprirà, facciamo clic sul menu Strumenti -> Genera password.


Si aprirà ora una nuova finestra dove poter scegliere tutte le caratteristiche che deve possedere la nostra nuova password, così da poter aumentare la sicurezza.
Come già accennato assicuriamoci che sia lunga almeno 12 caratteri e che contenga una lettera maiuscola, un numero e un carattere speciale (come @€&$ ect.).
Le password generate possiamo anche salvarle nel database di KeePass creato così da proteggerle e utilizzarle quando necessario.

LEGGI ANCHE -> Programmi ed estensioni per salvare password

In alternativa possiamo utilizzare come programma di gestione password online il servizio LastPass, accessibile da qui -> LastPass.


Nella pagina facciamo clic in alto sui Otteni LastPass Free e creiamo il nostro account, avendo cura di utilizzare come master password una combinazione sicura e difficile da indovinare.
Una volta creato l'account LastPass possiamo installare le estensioni e le app dedicate, utilizzando il link presente qui -> Download LastPass.
Se abbiamo utilizzato l'estensione basterà fare l'accesso con l'account LastPass e utilizzare la voce Genera password sicura per avere subito a portata di mano una nuova password a prova di hacker.


NOTA: Lastpass non ha più un piano gratuito.

6) Usare sempre la doppia verifica sui siti importanti

La doppia verifica è quel meccanismo per cui, per accedere a un account, si deve inserire la password e poi anche un codice che si genera da un'app o si riceve sul cellulare.
La doppia verifica della password si può attivare nelle impostazioni account di siti come Facebook, Google, Microsoft, Apple, Paypal e tantissimi altri.

LEGGI ANCHE: Proteggere gli account dei siti web per non perderne il possesso