Come rubano le password e consigli per evitarlo

Tempo di Lettura: 4 Minuti

Gli hacker sono sempre alla ricerca di modi innovativi per rubare le password al fine di aggirare i controlli di sicurezza e mettere piede nella porta. Una volta entrati, gli aggressori possono infliggere danni maggiori : rubare la tua identità, denaro o informazioni sensibili, sbloccare l’accesso ad altri account, installare malware, condurre frodi, spionaggio o sabotaggio o vendere le tue credenziali ad acquirenti senza scrupoli nel dark web. Il rapporto sulle indagini di Verizon del 2021 afferma che il 61% delle violazioni della sicurezza può essere ricondotto a credenziali rubate.

Gli hacker generalmente possono hackerare nomi utente e password utilizzando una di queste quattro tecniche:

1) Furto di password

Il phishing e l’ingegneria sociale sono uno dei modi più comuni con cui gli aggressori rubano le credenziali. Fingendosi una fonte attendibile (amici, familiari, persone familiari), un utente malintenzionato invia un’e-mail, un SMS o un collegamento sui social media. Il messaggio di solito appare autentico e include un allegato dannoso o un collegamento a un URL fasullo che, se cliccato, scarica malware o ti porta a una pagina in cui inserisci le credenziali. Se è installato malware, setaccia il computer della vittima, come la memoria del dispositivo, i browser Internet e le cache delle password o l’archiviazione su disco, cercando di estrarre le password da programmi, applicazioni o processi. Strumenti come le utilità di sniffing delle password possono essere utilizzati per monitorare le sequenze di tasti e intercettare le comunicazioni. Dal momento che la persona media online ha bisogno di una password per 200 o più account, ogni servizio online è anche un potenziale bersaglio per il furto di credenziali da parte di un utente malintenzionato.

2) Indovina la password

Nonostante un’ondata quotidiana di truffe ransomware che si impossessano dei titoli dei giornali, le password continuano a essere estremamente prevedibili. ” 123456 ” è ancora tra le password più comunemente utilizzate e molte persone usano ancora il proprio nome o icone della cultura pop come musicisti, squadre sportive, film o programmi TV come parte della loro password. Inoltre, il 65% degli utenti riutilizza le password. Gli aggressori acquistano semplicemente i dump delle password dal Dark Web e convalidano tali credenziali su diversi siti Web. Gli studi dimostrano che le password a otto cifre possono essere decifrate in otto ore e qualcosa in meno in pochi minuti. Gli attacchi di credential stuffing, una forma di indovinare la password, sono sempre più utilizzati dagli hacker. Nel 2020 erano più di 193 miliardi attacchi di credential stuffing.

3) Cracking dell’hash delle password

Il furto di hash delle password è un altro metodo popolare utilizzato dagli aggressori per decifrare le password delle vittime. Nella maggior parte dei sistemi operativi moderni, qualsiasi password digitata da un utente viene trasformata in un hash (o cifra) rappresentativo della password utilizzando un algoritmo hash crittografico. Tali hash vengono archiviati nei database di autenticazione delle password utilizzati dal sistema operativo per autenticare gli utenti che accedono a servizi o applicazioni. Se un utente malintenzionato è in qualche modo in grado di recuperare questo hash, può capire come violare l’algoritmo crittografico. Questo processo è chiamato cracking dell’hash della password. È noto che sofisticati strumenti di cracking dell’hash indovinano fino a trilioni di password al secondo.

4) Reimpostazione della password non autorizzata

La maggior parte dei meccanismi di autenticazione oggi consente agli utenti di reimpostare autonomamente le proprie password. Questo perché la maggior parte degli utenti tende a dimenticare le proprie credenziali e ciò si traduce in un grande volume di chiamate o domande di supporto . Gli aggressori spesso sfruttano questa funzionalità di ripristino e ignorano completamente il meccanismo di autenticazione. Il modo in cui gli aggressori ottengono questo risultato varia in base al sistema di autenticazione e al meccanismo di ripristino (noto anche come SSPR ). Ma in poche parole, gli aggressori cercano le vulnerabilità nella soluzione SSPR e le sfruttano per avviare una reimpostazione della password. Una volta reimpostato l’account, gli hacker assumono il controllo e utilizzano l’account in un’acquisizione non autorizzata dell’account.

Consigli per rafforzare le difese dagli attacchi con password

Ci sono una serie di cose che gli utenti e i team di sicurezza possono fare per mitigare i rischi di furto di password:

1. Utilizzare sempre l’autenticazione a più fattori (MFA) per quanto possibile. Sebbene non del tutto infallibile, MFA è una tecnologia di sicurezza che rende obbligatorio per gli utenti verificare la propria identità utilizzando due o più credenziali.
2. Assicurati che gli utenti si sottopongano a regolari esercizi di formazione sulla sicurezza per seguire le migliori pratiche di igiene delle password, inclusa l’identificazione e la segnalazione di e-mail e messaggi sospetti (anche l’AMF non è immune dal phishing ).
3. Prova a utilizzare password diverse e non intuibili per ogni sito o servizio. È meglio utilizzare un gestore di password commerciale.
4. Incoraggiare l’uso di password lunghe e complesse. Una password di 12 caratteri, perfettamente casuale, generata dal computer può sconfiggere tutti i tentativi di cracking noti e l’utilizzo di una password di 20 caratteri è ancora meglio.
5. Le credenziali dell’amministratore, le API e le risorse sensibili devono essere protette da meccanismi di blocco dell’account, un meccanismo di sicurezza che blocca le risorse dell’account quando vengono effettuati ripetuti tentativi di accesso.

Per una difesa della password definitiva, ricorda di utilizzare un approccio di difesa in profondità o a più livelli. Ciò significa avere una combinazione di politiche di sicurezza che documentano le cose da fare e da non fare, le migliori pratiche e le procedure di risposta agli incidenti; istruire gli utenti sull’igiene delle password e sui controlli tecnici che includono patch tempestive del software, disabilitazione di algoritmi hash deboli e crittografia, monitoraggio dei sistemi per tentativi di accesso non riusciti, esecuzione di igiene dell’account e rimozione di utenti inattivi e controllo di siti Web di esposizione delle password come haveibeenpwned.com per determinare se le credenziali sono trapelate.

Con tutto ciò che si sposta online, gli hacker sono destinati a migliorare in quello che fanno. Se la tua organizzazione è seriamente intenzionata a proteggere la tua identità, dati, reputazione, denaro e altro, è tempo di rinnovare il tuo approccio alla sicurezza delle password.