Un tool che avvisa l’utente se sta usando username e password compromessi e, di conseguenza, se questi dati sono entrati in possesso di altri. Google ha rilasciato
Password Checkup, una nuova estensione di
cyber security del browser Chrome che consente agli utenti di essere avvisati quando, cercando di loggarsi su un sito, usano una combinazione di username e password
che risulta essere stata compromessa da terzi.
Lo scopo di Password Checkup
Il tool dunque permette di individuare se qualcuno è entrato in possesso di tali dati, cosa altrimenti difficile da venire a sapere. Il servizio è stato studiato apposta per allertare l’utente quando tutte le informazioni indispensabili per accedere a un account sono finite in possesso di un malintenzionato, hanno spiegato gli esperti di Google. L’azienda è a conoscenza di quattro miliardi di credenziali non sicure. Per quanto riguarda la gestione dei dati, Google assicura di aver utilizzato un approccio privacy-oriented: i dati di login vengono criptati prima della verifica sulla loro sicurezza.
La consapevolezza dei rischi legati alle password è un tema caldo in ambito sicurezza. Google ha reso noti i risultati di un report realizzato per conto della data company YouGov sugli utenti italiani. È emerso che il 32% cambia le password dei propri account ogni sei mesi o ogni anno, il 27% ogni due o cinque mesi, mentre il 21% ogni mese. Il 14% invece, non le cambia mai, ponendo i propri account a rischio di eventuali attacchi dei cybercriminali.
L’importanza del fattore umano
Gerardo Costabile, CEO di Deepcyber e autore del libro “Il fattore umano nella cybersecurity: Phishing, Social Engineering e Mind Hacking” che tratta proprio questo tema, ha commentato: «Le percentuali indicate dalla survey di Google
sono molto indicative di quanto sia fondamentale, in ottica di efficacia nella cybersecurity, il fattore umano (H Factor). Negli ultimi anni si è molto evoluta la minaccia di
spear phishing e pretexting, sfruttando anche la maggiore tendenza da parte degli utenti di cliccare su link in chat, comunicare con maggiore frequenza mediante i social network e più in generale utilizzare i cellulari mixando contenuti di lavoro e quelli più ludici».
Questo avviene «senza comprendere, in alcuni casi, che la confidenzialità di alcune informazioni necessita di un approccio più attento alla sicurezza delle informazioni».
Password e sicurezza in azienda
L’attenzione è necessaria anche in ambito di impresa: «Sul piano aziendale è fondamentale, da parte dei manager, comprendere il livello di sicurezza dell’H Factor. Questo è possibile mediante metodologie che simulino attacchi di phishing e spear phishing, con modalità gradualmente più complesse ed articolate, in modo che l’azienda possa verificare sul campo la tenuta del proprio H factor (come una sorta di penetration test sulle persone)», prosegue Costabile.
A seguito di questa misurazione, «è molto utile ed interessante approcciare la formazione con modalità moderne e più smart, ovvero mediante la cosiddetta gamification (veri e proprie modalità di gioco, per insegnare con l’esperienza ludica), in alcuni casi con l’opzione di ricompensa e riconoscimento per gli utenti che mostrano comportamenti di sicurezza elevati», ha aggiunto l’esperto.
La funzionalità di Password Checkup
Secondo Federico Griscioli, Information & Cyber Security Advisor di P4I, l’affidabilità del servizio «inteso nella capacità di verificare se le credenziali inserite sono state compromesse, è strettamente correlato a come viene popolato il database. Al momento non sembrano essere comunicati dettagli in merito. Inoltre, è importante notare che viene verificata l’accoppiata username-password. Questo vuol dire che è sufficiente che ci sia una minima differenza (anche un solo bit) tra la stringa “username-password” inserita e quella presente nel database perché non venga rilevata nessuna compromissione, e le credenziali inserite risultino quindi sicure». Le informazioni che vengono mandate ai server Google, sono anonimizzate: «In particolare – aggiunte Griscioli -, viene usata una hash crittografica piuttosto sicura, chiamata Argon2, che nel 2015 è stata nominate da una Gruppo di ricercatori ed esperti di crittografia come vincitrice della Password Hashing Competition e tecniche di cifratura avanzate (crittografia ellittica). Google non conosce il segreto usato per cifrare tali dati. Considerando il tipo di crittografia utilizzata, la probabilità che Password Checkup dia falsi positivi è piuttosto trascurabile».
Password Checkup è un’estensione di Chrome: «L’integrazione di funzionalità di sicurezza all’interno del browser, sembra essere una prassi comune. Usando Mozilla Firefox, ad esempio, è possibile attivare le funzionalità anti-phishing e protezione da malware. Mozilla mantiene una lista di siti e hosting considerati malevoli ed in questo modo, quando si naviga in Internet e/o si scarica qualcosa, Firefox verifica se il sito e/o l’hosting ospitante il file sono in questa lista e, quindi, da considerati malevoli. In questo caso l’operazione viene bloccata – spiega Griscioli -. I limiti di questi tipi di funzionalità sono dovute al fatto che si basano su una serie di informazioni pre-acquisite, solitamente salvate in remoto in un database. In questa ottica, se ci si trova davanti a qualcosa leggermente diverso o anche minimamente innovativo, questo tipo di protezione perde di efficacia».