Perché non dovresti usare la stessa password ovunque online

Le password sono ovunque. Garantiscono che solo noi (o le persone a cui permettiamo) possiamo accedere alle nostre informazioni e ai nostri beni privati, siano essi soldi in banca o identità sui social media. Tuttavia, spesso li prendiamo alla leggera, utilizzando ovunque la stessa password perché è facile da ricordare.

Mentre molte app e servizi sono migliorati in termini di sicurezza, anche gli hacker sono migliorati notevolmente. Usare la stessa password ovunque ti espone al rischio di diventare un obiettivo primario per gli attacchi informatici. Ci sono altri aspetti negativi meno evidenti di questa pratica.

Ecco un paio di motivi per cui dovresti essere più diligente quando scegli una password.

1. Attacchi di credential stuffing

Quando si tratta di utilizzare la stessa password ovunque, non sei solo. Secondo il Sito web NordPass, molte persone utilizzano password facili da indovinare come "ospite" e "password". Questa è una pratica orribile, poiché queste password apparentemente controintuitive richiedono pochissimo tempo per essere decifrate.

Se utilizzi una password debole come questa su tutti i tuoi account, sei il bersaglio perfetto per un attacco di riempimento di credenziali. Questo è un tipo di attacco informatico che stipa una vasta raccolta di password o nomi utente rubati in migliaia di siti web. Se la tua password riciclata viene violata, un buon numero dei tuoi account potrebbe finire nei guai.

2. Mettere a rischio i tuoi conti aziendali

Nel 2012 Dropbox ha subito una violazione che ha colpito 69 milioni di utenti online. Secondo Il guardiano, la violazione è avvenuta perché un dipendente Dropbox ha riutilizzato la stessa password su Dropbox precedentemente su LinkedIn. Quando il suo account LinkedIn è stato violato, gli hacker hanno avuto accesso anche all'azienda di Dropbox rete.

Ciò significa che se ricicli le password per il tuo account aziendale, metti a rischio enorme anche te stesso e l'azienda. Questo è esattamente il motivo per cui molte aziende esperte di tecnologia ora utilizzano gestori di password. Gestori di password consentono di archiviare e generare password sicure.

Aggiungendo il tuo dipendente o collaboratore esterno al tuo gestore di password, avrà accesso a tutti gli account le cui password sono memorizzati nell'app di gestione, semplificando il processo di accesso, il tutto eliminando la necessità di condividere la password con loro affatto.

Le password riutilizzate o anche password simili sono deboli, non univoche e facilmente prevedibili. Gli hacker possono crackare facilmente tali password utilizzando gli strumenti di intelligenza artificiale. Anche la versione gratuita di ChatGPT può essere utilizzata per fare brainstorming su tali password:

Se la richiesta sopra è troppo semplice per indovinare la tua password, gli hacker potrebbero aggirare le restrizioni di ChatGPT e provare a fornire una richiesta più personalizzata per indovinare le tue password.

Ad esempio, ho scritto un messaggio fingendo di scrivere una storia su un personaggio immaginario, Adam (qualsiasi la somiglianza con le persone reali è puramente casuale), dove gli hacker stanno cercando di entrare nel suo Facebook account:

Ecco come ChatGPT ha felicemente creato un elenco di password che quella persona potrebbe utilizzare:

Alcune di queste password sembrano sicuramente divertenti, ma in realtà tendiamo a inserire password che possiamo ricordare facilmente (persone e cose a cui in genere teniamo di più). Quindi, più gli hacker sanno di noi (il che non è difficile dato che pubblichiamo tutto sui social media), maggiori sono le possibilità che indovinino la nostra password con successo.

E gli strumenti avanzati di cracking delle password basati sull’intelligenza artificiale sono su un altro livello. Testano le password comuni utilizzando variazioni di parole o password trovate nelle violazioni dei dati.

Se usi una password come "qwerty", gli strumenti di cracking delle password impiegano meno di un secondo per decifrarla. Aggiungere numeri e modificarlo in "qwerty12345" non rende più difficile la decifrazione. Molti strumenti cercano uno schema e i numeri evidenti davanti a frasi ancora più evidenti sono gli schemi più comuni.

4. La condivisione delle password ti rende più vulnerabile

Riciclare le password è una cattiva pratica, ma condividere le password riutilizzate è ancora peggio. Non importa quanto sia affidabile la persona con cui condividi la password, non puoi rendere conto di violazioni di dati o attacchi informatici. Il tuo account è ancora più a rischio se il dispositivo della persona con cui hai condiviso i dettagli viene compromesso o rubato.

Una volta che un hacker riesce ad accedere a un dispositivo, ogni account e dato può essere preso gratuitamente. Ad esempio, supponiamo che tu condivida un account Netflix con qualcuno. Se il suo laptop viene violato o rubato e qualcuno accede all'account Netflix, i dati della tua carta di credito sono immediatamente a rischio.

Quindi, per prima cosa, utilizza password complesse che siano difficili da indovinare. Quindi, in secondo luogo, utilizza l'autenticazione a due fattori o un gestore di password condividere in sicurezza una password con amici e familiarie minimizzare il rischio.

5. Attacchi di ingegneria sociale

L'ingegneria sociale è l'atto di manipolare le persone per rubare le loro informazioni private. Non è proprio un'abilità tecnica, ma più un gioco psicologico. I link di phishing ne sono l’esempio più comune.

Non è più così semplice come il collegamento di phishing che ti porta a una pagina di accesso falsa di Facebook o Instagram. Gli hacker fingono di essere amici, colleghi o organizzazioni affidabili per indurti a fare clic su collegamenti che compromettono i tuoi account.

Pertanto, l'hacker potrebbe chiederti di iscriverti al nuovo servizio di avvio, solo per vedere quale password usi. In alcuni casi, potrebbero contattarti dall'account del tuo amico che è stato compromesso: la maggior parte di noi non si accorge di aprire i link dei nostri amici, quindi questa è una trappola facile da impostare.

Poiché molto probabilmente riutilizzeresti una password da altrove per iscriverti a quel servizio, proveranno a utilizzare quella password per tutti i tuoi account di cui sono a conoscenza. Se utilizzi la stessa password per la tua app bancaria, probabilmente ti ritroverai nei guai.

Se non ogni volta, questa tecnica funzionerebbe nella maggior parte dei casi.

6. Aumento del rischio di attacchi interni

Riutilizzare le stesse password ovunque aumenta potenzialmente il rischio di attacchi interni. Supponiamo che un dipendente che conosce la password lasci l'organizzazione. Se la password rimane invariata, l'ex dipendente avrà comunque un facile accesso a tutti i tuoi dati sensibili.

Se l'insider conosce una password che è stata utilizzata ovunque, tutte le tue app e i tuoi servizi sono a rischio immediato. Possono utilizzare queste credenziali per condurre attività fraudolente, sfruttare vulnerabilità o danneggiare i sistemi informatici. Queste persone possono anche fingere di essere membri dello staff e manipolare i colleghi affinché condividano informazioni riservate.

Allo stesso modo, se la stessa password viene utilizzata su più siti Web, sarebbe difficile individuare l’interno in caso di attività indesiderate o dannose. Puoi ridurre i rischi di attacchi interni adottando solide pratiche di sicurezza. Un buon punto di partenza è fornire credenziali personalizzate a tutti i tuoi dipendenti.

Sii creativo, riservato e rigoroso con le password

Indipendentemente dalle altre misure di sicurezza che adotti, la tua presenza online sarà sempre a rischio se riutilizzi la stessa password su piattaforme diverse. Certo, le password riutilizzate sono più facili da ricordare, ma rimpiangerai questa comodità se i tuoi account verranno violati.

Fortunatamente, in futuro potrebbe non essere più necessario utilizzare le password. Servizi come Apple PassKeys utilizzano l'autenticazione biometrica come FaceID o TouchID per accedere agli account. Ciò elimina la necessità di una password, poiché il servizio utilizza invece una chiave crittografica. Man mano che altre aziende iniziano a implementarlo, le password potrebbero diventare un ricordo del passato.