Sapere è potere. Comprendere in che modo gli account sono effettivamente compromessi può aiutarti a proteggere i tuoi account e impedire che le tue password vengano "hackerate" in primo luogo.
Riusare le password, specialmente le perdite
Molte persone, forse anche la maggior parte delle persone, riutilizzano le password per account diversi. Alcune persone potrebbero persino usare la stessa password per ogni account che usano. Questo è estremamente insicuro. Molti siti Web, anche noti come LinkedIn e eHarmony, hanno avuto il loro database delle password trapelato negli ultimi anni. I database di password trapelate insieme a nomi utente e indirizzi e-mail sono facilmente accessibili online. Gli aggressori possono provare queste combinazioni di indirizzi e-mail, nome utente e password su altri siti Web e accedere a molti account.
Riutilizzare una password per l'account e-mail ti mette ancora più a rischio, dato che il tuo account e-mail potrebbe essere utilizzato per ripristinare tutte le altre password se un utente malintenzionato ha avuto accesso ad esso.
Per quanto tu sia bravo a proteggere le tue password, non puoi controllare quanto bene i servizi che usi proteggono le tue password. Se riutilizzi le password e una società scivola via, tutti i tuoi account saranno a rischio. Dovresti utilizzare password diverse ovunque: un gestore di password può aiutarti.
keylogger
I keylogger sono pezzi di software dannosi che possono essere eseguiti in background, registrando ogni colpo di chiave che fai. Vengono spesso utilizzati per acquisire dati sensibili come numeri di carte di credito, password di banking online e altre credenziali dell'account. Quindi inviano questi dati a un utente malintenzionato su Internet.
Tale malware può arrivare tramite exploit - ad esempio, se si utilizza una versione obsoleta di Java, come la maggior parte dei computer su Internet, si può essere compromessi attraverso un'applet Java su una pagina Web. Tuttavia, possono anche arrivare mascherati in altri software. Ad esempio, puoi scaricare uno strumento di terze parti per un gioco online. Lo strumento potrebbe essere dannoso, catturare la password del gioco e inviarla all'attaccante su Internet.
Utilizzare un programma antivirus decente, mantenere aggiornato il software ed evitare di scaricare software non affidabile.
Ingegneria sociale
Gli aggressori usano anche i trucchi del social engineering per accedere ai tuoi account. Il phishing è una forma comunemente nota di ingegneria sociale: in sostanza, l'aggressore impersona qualcuno e chiede la tua password. Alcuni utenti passano le loro password più facilmente. Ecco alcuni esempi di ingegneria sociale:
- Ricevi un'e-mail che afferma di provenire dalla tua banca, indirizzandoti verso un sito Web falso della banca e chiedendoti di inserire la tua password.
- Riceverai un messaggio su Facebook o qualsiasi altro sito web sociale da un utente che afferma di essere un account ufficiale di Facebook, chiedendoti di inviare la tua password per autenticarti.
- Visiti un sito Web che promette di darti qualcosa di prezioso, come giochi gratuiti su Steam o oro gratis in World of Warcraft. Per ottenere questa ricompensa falsa, il sito Web richiede il nome utente e la password per il servizio.
Fai attenzione a chi fornisci la tua password - non fare clic sui link nelle e-mail e vai sul sito web della tua banca, non dare la tua password a chiunque ti contatti e la richieda, e non dare credibilità al tuo account inaffidabile siti Web, specialmente quelli che sembrano troppo belli per essere veri.
Rispondere alle domande di sicurezza
Le password possono spesso essere ripristinate rispondendo alle domande di sicurezza. Le domande di sicurezza sono generalmente incredibilmente deboli - spesso cose come "Dove sei nato?", "A che scuola frequentavi?" E "Qual era il nome da nubile di tua madre?". Spesso è molto facile trovare queste informazioni su siti di social networking accessibili al pubblico, e la maggior parte delle persone normali ti direbbe in quale scuola sono andati se fossero stati invitati. Con queste informazioni facili da ottenere, gli autori di attacchi possono spesso reimpostare le password e accedere agli account.
Idealmente, dovresti usare domande di sicurezza con risposte che non sono facilmente individuabili o indovinate. I siti web dovrebbero anche impedire alle persone di accedere a un account solo perché conoscono le risposte a qualche domanda di sicurezza, e alcuni lo fanno - ma alcuni ancora non lo fanno.
Resetta account e password e-mail
Se un utente malintenzionato utilizza uno dei metodi sopra riportati per ottenere l'accesso ai propri account e-mail, si hanno maggiori problemi. Il tuo account di posta elettronica generalmente funziona come il tuo account principale online. Tutti gli altri account che utilizzi sono collegati ad esso e chiunque abbia accesso all'account di posta elettronica potrebbe utilizzarlo per reimpostare le tue password su qualsiasi numero di siti registrati con l'indirizzo email.
Per questo motivo, dovresti proteggere il tuo account e-mail il più possibile. È particolarmente importante utilizzare una password univoca e proteggerla attentamente.
Quale parola d'ordine "Hacking" non lo è
La maggior parte delle persone probabilmente immagina gli aggressori che tentano ogni singola password possibile per accedere al proprio account online. Questo non sta succedendo.Se si tentasse di accedere all'account online di qualcuno e si continuassero a indovinare le password, si verrebbe rallentati e si eviterebbe di provare più di una manciata di password.
Se un utente malintenzionato era in grado di accedere a un account online semplicemente indovinando le password, è probabile che la password fosse qualcosa di ovvio che poteva essere indovinato nei primi tentativi, come "password" o il nome dell'animale domestico della persona.
Gli aggressori potevano usare questi metodi brute-force solo se avevano accesso locale ai tuoi dati, ad esempio, supponendo che stavi memorizzando un file crittografato nel tuo account Dropbox e che gli hacker avessero accesso ad esso e scaricato il file crittografato. Potrebbero quindi provare a forzare la crittografia, essenzialmente provando ogni singola combinazione di password finché non si lavora.
Le persone che dicono che i loro account sono stati "hackerati" sono probabilmente colpevoli di riutilizzare le password, installare un keylogger o fornire le proprie credenziali a un utente malintenzionato dopo trucchi di ingegneria sociale. Potrebbero anche essere stati compromessi a seguito di domande di sicurezza facilmente indovinate.
Se prendi le opportune precauzioni di sicurezza, non sarà facile "hackerare" i tuoi account. Anche l'utilizzo dell'autenticazione a due fattori può essere d'aiuto: un utente malintenzionato ha bisogno di qualcosa di più della semplice password per entrare.
