Visto il continuo proliferare su internet di enormi database contenenti login e password degli utenti trafugati dai più disparati servizi online direi che è ora di mettersi a fare una seria analisi sulla complessità e la non diffusione delle password che usiamo per i nostri account online.
Visto che questi database contengono centinaia di milioni di combinazioni di login e password conviene fare un controllo per essere certi che le password che normalmente usiamo non siano presenti in questi database, vediamo come farlo velocemente usando dei comodi servizi web.
Il consiglio è di provare a vedere se le nostre password sono presenti in questi elenchi, se compaiono non significa per forza che i nostri login siano stati compromessi ma sicuramente è un segnale che stiamo usando una password troppo semplice o troppo diffusa in generale, oppure nel caso peggiore è proprio la nostra ed è associata anche ad un nostro login che quindi è da considerare come compromesso; l’ideale sarebbe NON trovare nessuna delle nostre password in questi elenchi !
Uno dei siti migliori e più veloci per fare questo controllo è haveibeenpwned.com che ora ha messo online la possibilità di inserire una nostra password che verrà confrontata con tutte quelle “conosciute” nei vari elenchi di password trafugati e ci dirà in pochi secondi se è presente o no, il controllo si fa partendo da questa pagina web :
https://haveibeenpwned.com/Passwords
qui basterà inserire la password da controllare e quindi premere il bottone PWNED, dopo pochi secondi avremo il risultato, se la password è presente comparirà anche il numero di volte che è stata trovata nei database, esempio digitando “pippo123” avremo più di 2500 riscontri ovviamente !!!!! e la schermata diventerà rossa, provando invece una delle nostre password robuste per fortuna non è stata trovata e la schermata è diventata verde.
Se invece preferite non digitare mai la vostra password su un servizio web (anche se haveibeenpwned.com è assolutamente sicuro) potete approcciare il problema in modo inverso, cioè digitate il vostro login (che di solito nella maggior parte dei casi è la vostra email) e controllate se compare in uno dei database di dati rubati, questo era anche il funzionamento di default di haveibeenpwned.com che abbiamo descritto in questo nostro articolo :
Come sapere se il proprio account è compromesso
Altro servizio simile al precedente ma che permette di ricevere un comodo report via email con l’elenco di tutti i database in cui compare il nostro login è quello messo a disposizione dall’istituto tedesco Hasslo-Plattner, partendo da questa pagina web :
basterà inserire la nostra email per ricevere dopo qualche minuto direttamente nella nostra casella di posta elettronica un report simile a questo in cui sono riportati tutti i database rubati in cui compare la nostra email :
in questo caso un mio vecchio indirizzo email (non più usato) compare in ben 5 diversi database !
Attenzione : la presenza in uno dei database di account compromessi NON significa che il vostro account sia stato sicuramente violato ma solo che potrebbe esserlo stato !, nel dubbio ovviamente è meglio procedere immediatamente ad un cambio password usandone una robusta e se fosse un servizio particolarmente sensibile attivate (se possibile) l’autenticazione a due fattori.
2 commenti
Manlio
5 Marzo 2019 at 14:51 (UTC 2) Link to this comment
Volevo segnalare qs. sito web svizzero che si occupa di sicurezza informatica che permette anche lui di fare una verifica online per sapere se il proprio account email è compromesso :
https://www.checktool.ch/
Manlio
24 Agosto 2020 at 15:07 (UTC 2) Link to this comment
Altri 2 servizi web che permettono di controllare se la propria password o il proprio account (di solito email) sono stati compromessi da qualche furto di identità :
https://www.avast.com/hackcheck
https://breachalarm.com/