5 consigli per mitigare il rischio di esposizione delle credenziali

Ogni anno, appaiono online miliardi di nuovi account utente.

Di pari passo, crescono anche il rischio di esposizione delle credenziali e i conseguenti casi di compromissione e furto da parte di criminali e hacker informatici.

Queste vengono spesso utilizzate negli attacchi di credential cracking, esponendo le organizzazioni a data breach e violazioni.

Che sia su marketplace del Dark Web, in archivi condivisi privatamente, o su chat riservate, le credenziali esfiltrate viaggiano in rete, spesso senza che i legittimi proprietari ne siano a conoscenza.

5 consigli riduzione esposizione credenziali

Ma come gestire correttamente le proprie credenziali per limitarne l’esposizione ai rischi della rete?

In questo articolo ti proporremo cinque consigli pratici per ridurre il rischio di esposizione alle credenziali.

Cosa sono le credenziali
Data breach search engine: come verificare se le proprie credenziali sono esposte online
Esposizione delle credeziali e test CAPTCHA
Autenticazione a due fattori: come limitare il rischio di esfiltrazione ed esposizione delle credenziali
Password Hygiene: come una corretta gestione delle password ne limita il rischio di esposizione
Esposizione delle credenziali e monitoraggio proattivo del dark web

Cosa sono le credenziali

Una credenziale di accesso è una combinazione di ID utente e password che consente agli utenti di accedere all’area personale di un sito web o di un’applicazione.

Vengono generate dall’utente al momento della registrazione e, di norma, devono essere inserite ad ogni accesso.

Le credenziali di accesso sono anche note come username e password, o semplicemente dettagli dell’account.

Vengono essenzialmente utilizzate per verificare l’identità della persona che accede al sistema.

In base al modo in cui sono generate e a come vengono protette, se ne possono distinguere due tipologie principali.

Statiche

Si tratta di credenziali generate dall’utente e salvate su un server, che rimangono invariate durante l’intera sessione di accesso. Ciò significa che la password rimane identica a meno che non sia l’utente stesso ad aggiornarla.

Transitorie

Questa è tipologia di credenziale viene generata ogni volta che un utente accede al servizio. Si tratta delle cosiddette OTP (One Time Password), il cui server genera ciclicamente un nuovo codice di accesso.

Sebbene per ragioni di sicurezza l’OTP dovrebbe essere impiegato per preservare qualsiasi tipo di account, attualmente viene utilizzato soprattutto in ambito finanziario o nell’online banking.

Affrontiamo ora l’argomento centrale della nostra trattazione, ovvero come gestire correttamente le proprie credenziali sul web.

Data breach search engine: come verificare se le proprie credenziali sono esposte online

Per iniziare ad affrontare il problema, è necessario innanzitutto controllare se e quali credenziali siano state esposte online.

Per farlo, i team di sicurezza, così come i singoli utenti, possono usufruire di numerosi strumenti noti come data breach search engine.

Si tratta di veri e propri motori di ricerca dotati di enormi database di password ed e-mail compromesse.

Vengono utilizzati appositamente per ricercare:

indirizzi e-mail personali o aziendali
password
indirizzi IP
username
informazioni di identificazione personale come nome e cognome
numeri di telefono

presenti su archivi di dati rubati ed esposti su Web e Dark web.

Tra i più noti, figura Have I Been Pwned (HIBP), database open source fondato nel 2013 da Troy Hunt. Ad oggi conta informazioni relative a miliardi di account.

Oltre alla normale ricerca, il portale offre anche la possibilità di registrarsi al servizio e ricevere una notifica nel caso in cui le proprie credenziali venissero violate.

Questa fase preliminare di ricerca e raccolta informazioni fornisce

un quadro indicativo circa il livello complessivo di rischio cui si è esposti
nonché un’idea delle singole credenziali che necessitano un cambio o un aggiornamento

I team di sicurezza dovrebbero analizzare e affrontare i pericoli partendo da:

controllare su quali servizi vengono impiegate le credenziali compromesse
verificare se quelle stesse password sono state utilizzate per più account.

In tal caso, sarà fondamentale educare il team sulla creazione di password forti e diversificate per ogni singolo profilo e suggerire l’impiego di un Password Manager per una loro corretta gestione.

Infine, sarà opportuno provvedere a un loro puntuale e periodico aggiornamento.

Esposizione delle credeziali e test CAPTCHA

Solitamente gli attacchi informatici ai sistemi di autenticazione tentano di riutilizzare password compromesse ed esposte sul dark web servendosi di bot e strumenti automatizzati.

In questi casi, l’aggiunta di un captcha può aiutare a mitigarne l’azione.

È un meccanismo per garantire che solo gli esseri umani con la password corretta abbiano accesso a servizi o risorse.

Il termine Captcha sta per Completely Automated Public Turing-test-to-tell Computers and Humans Apart che si traduce in test di Turing pubblici e completamente automatizzati per distinguere umani e computer.

Il codice CAPTCHA è stato quindi creato come test generato da un programma, che mette alla prova umani e macchine (computer o bot).

Lo scopo è determinare l’identità di coloro che lo eseguono e si basa sul presupposto che solo un essere umano può completarlo.

Evoluzione del CAPTCHA

La versione classica chiede agli utenti di riscrivere in modo corretto sequenze di caratteri presentate in modo distorto.

In questo modo, se un bot cerca di effettuare un accesso, anche se in possesso di un’e-mail e una password corrette, non sarà in grado di convalidare il captcha.

Lo stesso vale quando ci si registra ex novo ad un servizio o si tenta di modificare una password.

Tuttavia, in questa versione tradizionale erano state evidenziate diverse criticità già a partire dal 2014. Quell’anno, Google ha dimostrato come l’intelligenza artificiale fosse in grado di decifrare testi alterati con una precisione del 99,8%.

Per tale ragione, è stato sviluppato il nuovo reCAPTCHA.

Il classico codice Captcha è stato sostituito con una casella di verifica accanto alla frase “Non sono un robot”.

In alcuni casi, dopo aver selezionato la casella con un clic, il test viene convalidato direttamente, mentre in altri è necessario completare un secondo passaggio.

Con questa nuova versione di reCAPTCHA Google introduce anche un nuovo tipo di test: captcha con immagini.

In questo caso, il test consiste nel trovare le immagini che rappresentano un determinato elemento tra quelli suggeriti.

Nell’ottobre 2018, Google ha introdotto una nuova versione di reCAPTCHA che consente di identificare un utente e distinguerlo da un bot semplicemente esaminando il suo comportamento sulla pagina web.

In questo caso, la convalida non comporta la risoluzione di un test reale, ma il processo di verifica viene eseguito in background.

In tal modo, il captcha agisce senza interrompere le attività dell’utente sul portale.

Autenticazione a due fattori: come limitare il rischio esposizione delle credenziali

Quando si creano nuove password, iniziare con il piede giusto è cruciale.

L’autenticazione a più fattori consente di aumentare la robustezza delle credenziali.

Sebbene insostituibili, come abbiamo avuto modo di constatare, le password si dimostrano particolarmente vulnerabili a furti e compromissioni.

Utilizzare

OTP generati mediante Google o Microsoft Authenticator
codici SMS
token fisici
fattori biometrici

rende pressoché vana l’esfiltrazione della sola combinazione di e-mail e password.

Ad esempio, se un utente utilizza solo una password per l’accesso al proprio account, un aggressore potrebbe tentare di indovinare o rubare tale password. Tuttavia, se l’autenticazione a due fattori è abilitata, l’aggressore avrebbe anche bisogno del dispositivo di autenticazione fisico dell’utente o dell’applicazione sullo smartphone per effettuare l’accesso.

Tuttavia, è importante notare che l’autenticazione a due fattori non è una soluzione perfetta e non elimina completamente il rischio di esposizione delle credenziali.

Ad esempio, un aggressore potrebbe utilizzare un attacco di phishing per ottenere l’accesso al dispositivo di autenticazione dell’utente o all’applicazione sullo smartphone.

Inoltre, se l’utente utilizza la stessa password su diversi siti web, potrebbe ancora essere vulnerabile a un attacco di credential stuffing o a un attacco a dizionario.

Pertanto, è importante utilizzare password robuste e uniche e seguire altre buone pratiche di sicurezza informatica, oltre all’autenticazione a due fattori, per proteggere le credenziali dell’utente.

Password Hygiene: come una corretta gestione delle password ne limita il rischio di esposizione ai pericoli della rete

Uno dei principali fattori che espone le proprie credenziali e password al rischio di furto ed esfiltrazione è la loro cattiva gestione.

Tra i principali errori di gestione si possono riscontrare:

utilizzo di password semplici e prevedibili
basarsi sul password meter, ovvero gli indicatori di robustezza delle password presenti sui siti web. Bisogna diffidarne perché sono basati soltanto sul criterio della lunghezza
riutilizzo della stessa password per più account
seguire uno schema predefinito, con la maiuscola all’inizio e numero e carattere speciale in fondo
salvarle in chiaro, magari su normali documenti di testo, post-it o agende
non cambiarle mai, oppure effettuare modifiche piccole e prevedibili così che siano più facili da ricordare in seguito
salvarle sul password manager del browser, che notoriamente è sprovvisto di adeguate misure di sicurezza

E’ importante comprendere che una password davvero efficace non può essere ricordata a memoria.

Sarà meglio affidarsi a un generatore di password casuali, in cui ti basta scegliere il numero di lettere che desideri, se inserire numeri e caratteri speciali ed in automatico verrà creata la tua password casuale.

Riassumendo: una corretta gestione di credenziali, nota in inglese come password hygiene, è uno step fondamentale per ridurne il rischio di esposizione sul web.

Consigli pratici di Password Hygiene

Ecco alcuni accorgimenti per impostare password sicure:

Utilizzare una combinazione di caratteri casuale: Una password efficace dovrebbe essere composta da una combinazione nonsense di caratteri, inclusi lettere, numeri e simboli.
Evitare parole comuni o frasi di facile intuizione come “password”, “123456” o “abc123”, che sono tra le più diffuse e facilmente indovinabili.
Utilizzare passphrase: utilizzare una frase lunga composta da parole casuali può essere un’ottima strategia per creare una password difficile da indovinare. Una buona pratica può essere quella di utilizzare una frase che sia facile da ricordare, ma difficile da indovinare, come ad esempio “MangioIgelatiInInverno!”.
Non utilizzare informazioni personali: Evitare di utilizzare informazioni personali come il proprio nome, la propria data di nascita o il nome del proprio animale domestico, che potrebbero essere facilmente indovinabili.
Utilizzare una password diversa per ogni account: Utilizzare la stessa password per più account rappresenta un grave rischio di sicurezza. In caso di violazione di uno dei propri account, tutti gli altri account con la stessa password sarebbero a rischio.
Utilizzare un gestore di password: Utilizzare un gestore di password può semplificare il processo di creazione e gestione delle password. Questi, infatti, oltre ad fungere da archivio, generano password sicure e uniche per ogni account e le memorizzano mediante algoritmi di crittografia.
Cambiare regolarmente la password: riduce la probabilità che la password venga esposta e utilizzata da terzi per accedere all’account.

Esposizione delle credenziali e monitoraggio proattivo del dark web

Da ultimo, ma non pe importanza, un utile strumento di difesa proattiva delle credenziali è offerto dal monitoraggio del dark web.

Nella prima parte abbiamo visto come utilizzare le risorse e database per scoprire se le nostre credenziali siano esposte ai rischi della rete.

In questo paragrafo ci soffermiamo, invece, sull’importanza di un monitoraggio proattivo della risorse sotterranee della rete.

Innanzitutto è utile specificare che il dark web è una parte di Internet accessibile solo tramite software specifici, come il browser Tor.

Tra gli strumenti più utili allo scopo possiamo trovare:

Utilizzo di software di analisi dei dati: questi software possono essere utilizzati per identificare le informazioni sensibili o le credenziali rubate. Possono anche rilevare le attività sospette e gli schemi di comportamento che potrebbero indicare un attacco in corso.
Accesso a forum hacker e siti web utilizzati per vendere o scambiare le credenziali rubate. Un loro costante monitoraggio può aiutare a identificare le credenziali dell’azienda che potrebbero essere state pubblicate online. Tuttavia, è importante notare che l’accesso a queste risorse è illegale, nonché altamente rischioso, quindi è consigliabile utilizzare solo servizi affidabili come Cyberint, Terbium Labs, Digital Shadow, ecc.
Collaborazione con le autorità competenti: collaborare con autorità come Polizia Postale o Agenzia Nazionale per la Cybersicurezza è un validissimo strumento per monitorare il dark web e identificare le attività illegali o sospette.

Conclusioni

La maggior parte dei data breach più eclatanti della storia possono essere attribuiti a furto e conseguente esposizione di credenziali sul web.

In aggiunta, tali incidenti sono aumentati negli ultimi anni. Basti pensare che il numero di casi di esposizione alle credenziali è raddoppiato tra il 2016 e il 2020.

Un recente rapporto identifica l’esposizione delle credenziali come una delle principali minacce che le aziende devono affrontare.

Nonostante questo, la consapevolezza sul problema è ancora abbastanza limitata.

Occorre, dunque, una capillare e continuativa attività di formazione e sensibilizzazione di personale e utenti privati alle buone pratiche di generazione e gestione delle credenziali.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.