Nell’ottobre 2020, è stato rivelato che il popolare servizio Gravatar era stato violato e che i nomi utente e gli indirizzi e-mail con hash erano trapelati. Nel maggio 2014, Bitly ha subito una violazione dei dati che ha causato la perdita degli indirizzi e-mail e delle password hash di quasi 10 milioni di utenti. Questi sono solo alcuni esempi di violazioni dei dati. Cosa puoi fare se il tuo indirizzo e-mail, le tue password e le tue password con hash hanno fatto parte di tali violazioni?
Un metodo molto popolare per scoprire se il tuo nome utente, indirizzo e-mail o password ha fatto parte di una violazione dei dati è quello di effettuare una ricerca su https://haveibeenpwned.com/. Lì puoi trovare immediatamente informazioni sul fatto che il tuo numero di telefono o il tuo indirizzo e-mail abbiano fatto parte di tali violazioni. Può anche essere interessante fare una ricerca per la tua password in https://haveibeenpwned.com/Passwords.
Uso anche un servizio chiamato Surfshark Alert, una parte del mio abbonamento Surfshark. Ho registrato alcuni dei miei indirizzi IP lì e se uno di essi è incluso in una violazione dei dati appena segnalata, riceverò immediatamente una notifica. Puoi anche trovare una funzione simile nel gestore di password di NordVPN chiamato NordPass.
Il tuo indirizzo e-mail e la tua password sono trapelati? Cosa fare?
Hai controllato lo stato del tuo indirizzo email? L’indirizzo ha fatto parte di violazioni dei dati? Il fatto che il tuo indirizzo email sia trapelato potrebbe non essere molto pericoloso di per sé. Ma l’indirizzo e-mail è stato combinato con ulteriori informazioni? L’indirizzo e-mail è trapelato insieme a una password leggibile al 100%? In tal caso, modificare la password il più rapidamente possibile. Hai utilizzato lo stesso indirizzo e-mail e la stessa password su diverse piattaforme? Dovresti cambiare la password su ogni singola password e sbarazzarti delle password trapelate il più rapidamente possibile.
Sei registrato su molti siti web? Come puoi ricordare ogni password se usi password diverse ovunque?
Non è un caso che i gestori di password siano molto popolari (e necessari). Questi ti aiuteranno a generare password sicure e archiviarle in un luogo sicuro. Di conseguenza, l’unica password che dovrai ricordare è la tua password principale molto sicura combinata con il tuo indirizzo email. Il resto è il lavoro del gestore di password. Ci sono molti ottimi gestori di password là fuori. Personalmente, posso raccomandare caldamente NordPass e LastPass.
Questi gestori di password sono dotati di estensioni del browser e applicazioni mobili. Di conseguenza, avrai tutte le tue password facilmente accessibili ogni volta che ne avrai bisogno.
Ma cosa succede se hai ricevuto un avviso che l’hash della tua password è trapelato? È pericoloso? Cosa significa che l’hash della password è trapelato?
L’hash della mia password è trapelato. È pericoloso? Che cosa significa?
Forse la tua password non è trapelata, ma l’hash della tua password è trapelato. Cosa significa? Dovresti preoccuparti?
Che cos’è un hash della password?
Molti provider di servizi aggiungono un ulteriore livello di sicurezza mentre memorizzano i dati degli utenti. Invece di memorizzare la password in parole e lettere normali, la codificano utilizzando diverse tecnologie di hashing. Supponiamo che tu registri un nuovo utente su mynewwebsite.com con i seguenti dati.
- E-mail: [email protected].
- Parola d’ordine: 12345678
Poiché il provider esegue l’hashing di queste informazioni, verranno archiviate nel loro database in questo modo.
- Email: [email protected] (se lo facessero hash con MD5, sarebbe: 4dec7aa05010e30721aa8714e9339a9e)
- Password: 25d55ad283aa400af464c76d713c07ad (MD5), 7c222fb2927d828af22f592134e8932480637c0d (SHA1)
Sopra puoi vedere la mia password 12345678 codificata con MD5 e l’algoritmo di hashing SHA1.
Se qualcuno vedesse questi dati e provasse ad accedere con il tuo account su mynewwebsite.com utilizzando l’indirizzo e-mail e l’hash, non funzionerebbe. Non sarebbero in grado di accedere al tuo account. Questo significa che non devi preoccuparti?
Devi preoccuparti se l’hash della tua password è trapelato?
Ci sono problemi qui di cui dovresti essere a conoscenza. Se si utilizza lo stesso algoritmo di hashing e si codifica la stessa password, l’hash del risultato sarà sempre lo stesso. Cosa significa? Se usi la stessa password che uso io (12345678) e usi lo stesso algoritmo di hashing, otterrai lo stesso risultato (hash). Per questo motivo, troverai database che collegano hash con password utilizzate di frequente.
Se vai su https://crackstation.net/ e inserisci i due hash sopra, vedrai i seguenti risultati.
Vedete quello che vedo io? Ho semplicemente aggiunto gli hash sul sito web sopra e mi ha immediatamente mostrato quale tipo di algoritmo è stato utilizzato e qual era la password originale. All’inizio, l’hash potrebbe sembrare molto sicuro, ma in realtà non deve esserlo. L’hash della password ha fatto parte di una violazione dei dati? Ti consiglio di visitare il sito sopra e verificare se il tuo hash è stato esposto nelle cosiddette tabelle arcobaleno.
Un po ‘di sale potrebbe darti una protezione extra!
Come puoi vedere sopra, un hash della password potrebbe non proteggerti molto (se la password di base era una password ben nota). Gli hacker avranno molta potenza di calcolo disponibile, il che significa che possono testare rapidamente il tuo hash contro milioni di password (usando dizionari e lettere e numeri casuali), rendendolo ancora più spaventoso.
Per proteggerci da tali attacchi di forza bruta è diventato normale aggiungere sale all’hashish. Cosa significa?
In crittografia, un salt è un dato casuale che viene utilizzato come input aggiuntivo a una funzione unidirezionale che esegue l’hash di dati, una password o una passphrase.
Wikimedia
Salt è qui dati aggiuntivi che vengono aggiunti all’hash. Di conseguenza, la tua password non verrà più tratteggiata come 12345678, ma otterrai anche un sacco di altri caratteri aggiunti alla password. Di seguito puoi vedere un esempio di me che codifico la mia password usando l’algoritmo SHA256, con e senza sale.
- 12345678 (SHA256, senza sale) = ef797c8118f02dfb649607dd5d3f8c7623048c9c063d532cc95c5ed7a898a64f
- 12345678 (SHA256, con sale 1DoNtKn0w;-.,) = 9076e087e4a4da347685ee9ecc7b2b739cd3770ec3c9e8b703968c99d496200f
Come puoi vedere, gli hash sono completamente diversi e sarà molto più difficile per chiunque decodificare il secondo hash a causa del sale che viene aggiunto all’hash. Sta diventando sempre più normale aggiungere sale alle password con hash, ma non ovunque.
Indipendentemente dal fatto che un servizio aggiunga sale all’hash della password o meno, dovresti sempre utilizzare password sicure che combinano lettere, numeri e caratteri speciali, poiché questo è il fondamento di tutto. Se una di queste password fa ancora parte di una violazione dei dati, cambiala rapidamente. Dal momento che usi password diverse per tutti i tuoi account, sarai comunque al sicuro!
Spero che questo articolo sia riuscito a rispondere alle domande che avevi prima di venire a leggere l’articolo. Se la tua password e/ o il tuo hash della password hanno fatto parte di violazioni dei dati, fai attenzione e adotta le misure necessarie per proteggere i tuoi account in futuro.
Se hai ulteriori commenti o domande, utilizza il campo dei commenti qui sotto.
