Nei lontani anni 80, le password erano qualcosa che la maggior parte degli esseri umani non conosceva proprio come concetto. Oggigiorno, pensateci un attimo, avete una password per praticamente qualsiasi cosa legato al mondo tecnologico, dei computer, dei pagamenti, della previdenza sociale, e chissà per quanti altri utilizzi.
Purtroppo però, le password non vengono utilizzate in maniera corretta dalla maggior parte degli utenti. Vengono talvolta viste addirittura come una scocciatura, un passaggio in più prima di raggiungere l'obiettivo, che sia un login o un accesso ad un sistema gestionale. In realtà il concetto di password - e più in generale di crittografia - è cruciale, e permette a tutti quanti di poter avere una vita sui social, un conto in banca, un sistema di pagamento sempre a disposizione.
Ora, soffermiamoci un attimo sul concetto di password, collegato ad un presumibile account su un forum che chiameremo, senza molta fantasia, Voragine. Faremo finta, in questo viaggio, di essere "Aldo", un utente medio di internet.
Aldo si è iscritto su Voragine circa 8 anni fa, creando un nuovo utente "aldo.rossit" con password "13gennaio1978". Aldo è assiduo frequentatore di questo forum, e funziona sempre tutto alla perfezione.
Nel frattempo, in questi 8 anni, Aldo si è reso conto che la password "13gennaio1978" è veramente facile da ricordare, ed è molto compiaciuto con se stesso della difficoltà della sua password, che comprende lettere e numeri. Quindi, compiaciuto, Aldo comincia ad utilizzare la stessa password per molti altri servizi online. Adesso Aldo ha un account di Facebook, uno di Twitter, un indirizzo email su Gmail, e svariate altre utenze su siti ecommerce che utilizzano la stessa password. Aldo si registra dappertutto, inoltre, utilizzando sempre lo stesso indirizzo mail di Gmail, "aldo.rossit12@gmail.com", creato con la password "13gennaio1978" di prima.
Ora, fermiamoci un secondo, analizzando criticamente la questione, e poniamola a confronto su qualcosa di più concreto rispetto ad una "password" e un "nome utente". Aldo si sta comportando come se, in tanti anni, avesse dato le proprie chiavi di casa ( con l'indirizzo di casa propria scritto sopra ) a tanti amici, senza mai cambiare la serratura di casa.
Ma chi ci garantisce che, ammessa la buona fede dei suoi amici, e ammesso che la porta di casa di Aldo è difficile da scassinare, un ladro non vada proprio a rubare in casa di un suo amico? Se così fosse, e questo ladro riuscisse a trovare le chiavi di casa di Aldo, sarebbero guai seri.
Fondamentalmente, nel mondo del web, funziona alla stessa identica maniera. Aldo sta condividendo tra più amici la stessa identica chiave di casa. Cosa significa questa affermazione?
Quando Aldo si registrò su Voragine 8 anni fa, non sapeva che Voragine usava un sistema per "conservare" le password che non era stato pensato per evitare i ladri. Nel nostro esempio di prima, è come se gli amici di Aldo, che stavano conservando le chiavi di casa di Aldo in casa loro, stessero tenendo appunto le chiavi in un luogo davvero banale e troppo semplice da individuare. Portato questo esempio nel mondo della tecnologia attuale, invece, ogni "sito web" / applicazione / social dove è possibile inserire un username e una password, ha alla base un sistema informatico che deve per forza di cose conservare l'account da qualche parte, spesso all'interno di un database, assieme a tutti gli altri dati sensibili del'account in questione. Quando si effettua un login, il sistema informatico controlla lo username inserito, e se la password "combacia" con quella appena scritta, allora è permesso entrare.
Il punto focale della questione è nella frase "se la password combacia con quella appena scritta". Molti utenti non sanno che le password sono conservate "in chiaro", cioè non decifrate, all'interno dei database dei siti su cui si effettua registrazione. Questo vuol dire che sia gli amministratori dei siti web, sia i programmatori che ci lavorano all'interno, possono leggere le password specificate in fase di registrazione. E se gli amministratori e i programmatori possono avere accesso a queste informazioni in lettura, lo possono fare purtroppo anche malintenzionati hacker che dovessero mettere le mani su questi database pieni di credenziali di accesso.
Questa pratica, scorretta sia dal punto di vista della trasparenza, sia dal punto di vista prettamente tecnico e di sicurezza informatica, fa sì che Aldo sarà presto hackerato.
Infatti, alcuni hacker sono riusciti a "bucare" il forum di Voragine. Già che c'erano, sono riusciti a scaricare una copia completa di tutto il forum, con tutti i post, i commenti, e anche i profili degli utenti. Assieme ai profili degli utenti, sono anche riusciti a copiare il database ( la lista completa ) di username e password. Purtroppo, il forum di Voragine conservava tutte le password dei propri utenti "in chiaro" senza nessun tipo di crittografia al loro interno. Ovvero, Voragine aveva implementato a livello tecnico un database di "utenti" con tutte le informazioni leggibili senza problemi così come è possibile leggere questo articolo in questo momento.
Cosa succede quindi adesso? Questi hacker ( i ladri che hanno rubato le chiavi di casa, nell'esempio di prima ) sono a conoscenza di informazioni fortemente delicate. Gli hacker sanno che le informazioni trafugate possono portare loro maggior profitto, e quindi iniziano a fare alcuni tentativi "al buio" per vedere se riescono ad hackerare qualcos'altro con i dati a disposizione.
Sanno che Aldo adesso usa una email di Gmail che si chiama "aldo.rossit12@gmail.com", perchè sono riusciti a leggerlo dal profilo di Aldo sui dati scaricati poco fa in maniera illecita. Sanno anche la password che Aldo usava su Voragine per effettuare l'accesso. Quindi, perchè non provare ad effettuare un login su Gmail con "aldo.rossit12@gmail.com" e con la password "13gennaio1978" che usava Aldo sul forum? Purtroppo per Aldo, gli hacker hanno fatto un ragionamento corretto. Ora gli hacker sono riusciti ad entrare nella sua casella di posta elettronica.
E così si chiude il cerchio. Ora gli hacker hanno a disposizione un account email completo, non solo di Aldo, ma di tutti gli utenti di Voragine che purtroppo utilizzavano questo sistema scorretto di condivisione della stessa password dappertutto. Gli hacker sanno che un account di email, come quello di Aldo, conterrà moltissime informazioni critiche al suo interno, come ad esempio tutte le email di registrazione a tutti gli altri servizi online di Aldo, ad esempio Paypal, Amazon, Ebay, con tutti i nomi utente per effettuare il login dentro i rispettivi servizi ( ogni email di conferma registrazione contiene infatti almeno una informazione di questo tipo ).
Quindi, gli hacker proveranno ad effettuare degli altri tentativi di login, sempre supponendo che Aldo stia continuando ad usare sempre la stessa famigerata password dappertutto. E infatti, così è. Gli hacker riescono ad entrare praticamente ovunque.
Quindi, Aldo, ignaro di tutto quanto, continua a vivere la sua vita online "tranquillo" dal punto di vista della sicurezza perchè presume che la sua password sia presumibilmente complicata da individuare. Però non sa che, grazie ad una falla di un sito nel quale era stato registrato, ora i suoi dati online sono messi pericolosamente a rischio.
Ecco spiegato, grazie al povero Aldo nel nostro esempio, un prototipo di "hacking tipo" che viene effettuato grazie ad hacking fatto su altro sito terzo, che porta poi alla scoperta di altre informazioni critiche sugli utenti, che sono di fatto vittime "ignare" di questo processo, perchè non possono essere nè a conoscenza delle grosse falle di implementazione dei sistemi di login dei siti sui quali effettuano registrazione, nè possono conoscere il fatto che alcuni hacker hanno appena trafugato dati da un sito su cui sono registrati.
Con questo articolo, volevo porre all'attenzione il problema della "condivisione di password identiche tra siti differenti". Il taglio dell'articolo è stato molto poco tecnico, di proposito, per permettere a chiunque di capire la gravità del problema.
Su questo sito, nella categoria "Sicurezza Informatica" troverete altri articoli importanti e interessanti per capire cosa fare e cosa non fare con le vostre credenziali di login in giro per la rete.