Aveva fatto discutere la pubblicazione di quasi 5 milioni di indirizzi di posta elettronica Gmail con relative password su forum russi ormai due anni fa. Si era parlato di una grave falla di sicurezza e di un pericolo per tutti gli utenti del servizio di email di Mountain View. In realtà non era così: Google aveva infatti spiegato che non si è registrata alcuna breccia nel sistema di sicurezza e solamente poche password erano ancora effettivamente corrette e funzionanti, molte erano infatti obsolete o addirittura fasulle. Tuttavia, circa 100.000 erano state saccheggiate, come mai? Perché erano troppo poco sicure e facilmente raggirabili. Come scegliere la parola chiave che sia il più possibile difficile da indovinare?
Partiamo dal 2014 e ricapitoliamo il fattaccio: pirati informatici russi pubblicano un file con un lunghissimo elenco di indirizzi di posta elettronica Gmail e relative password. Sono in tutto 4.93 milioni di account che sono così messi in piazza a uso pubblico. Il forum in questione si chiama btcsec.com parte di un portale legato alla vendita e gestione di Bitcoin (moneta elettronica) dal misterioso tvskit che garantiva che il 60 per cento fossero autentici. Orrore e sgomento, tantissimi “clienti” di Gmail si sono lamentati e molti di più si sono preoccupati. In realtà non c’è niente di così catastrofico e soprattutto “non è colpa di Google”.
In realtà Google ha confermato che solo il 2 per cento di queste password siano effettivamente valide, mentre tutte le altre sono obsolete e ormai inutilizzabili o peggio ancora fasulle. Ok, ma comunque si parla di 100.000 indirizzi email, non certo briciole, come diavolo sono riusciti a ottenerle? Non è stato attraverso un attacco informatico quanto attraverso il caro e vecchio metodo del phishing e ai malware. Di cosa stiamo parlando? Di quelle email fasulle che richiedono informazioni che utenti poco avvezzi a proteggersi adeguatamente rivelano senza pensarci troppo su. Oppure sono parole chiave estorte tramite programmini malevoli. Come fare per proteggersi?
Ci sono siti che consentono di inserire la propria email e di avere un riscontro immediato (tranquilli, non salva niente e non chiede password) per scoprire se la propria parola chiave è troppo semplice. In generale il modo migliore di proteggersi è di fidarsi del buon senso: quando si ricevono mail sospette, che chiedono informazioni riservate, si devono immediatamente segnalare come spam e/o come phishing attraverso l’apposito pulsante su Gmail. In generale, per creare una password sicura e difficile basta seguire questi passaggi:
1) Si parte da una parola che si ricorda, che magari ci riguarda da vicino, ma che non è così facile da poter carpire da un esterno. Ad esempio siamo stati in villeggiatura a Palinuro con i genitori quando si era bambini. Ok partiamo proprio da “Palinuro”.
2) Per renderla più difficile, basta aggiungere un’altra maiuscola, ad esempio una N così si ottiene: “PaliNuro”
3) Non è ancora sufficiente, ci sono numeri che ricordano lettere, ad esempio 1 sembra una i e lo 0 una o dunque ecco: Pal1Nur0.
4) Finito qui? No, perché si può anche mettere un simbolo e così la “l” diventa “|” per un risultato finale: “Pa|1Nur0.
E il gioco è fatto.