Trovare una password complessa e univoca e archiviarla in un gestore di password o in un browser non è ormai abbastanza. Dovete infatti sapere anche se e quando la vostra password è stata rubata in una violazione di un database o in un qualsiasi attacco, in modo da poter agire abbastanza rapidamente per cambiare quella password prima che le vostre informazioni personali siano potenzialmente compromesse. Per fortuna ora ci sono molti servizi di monitoraggio che rivelano se le vostre password sono state rubate e molti di questi sono progettati per consentirvi di agire rapidamente e cambiarle.

Servizi di base per rivelare violazioni della posta elettronica

Due servizi affidabili per controllare queste sono online da diverso tempo: HaveIBeenPwned e un servizio gestito dall’Hass-Platner-Institut a Potsdam, Berlino. Entrambi chiedono di inserire il vostro indirizzo email (non la vostra password) ed entrambi abbinano la vostra e-mail a un database di violazioni note.

La reputazione di HaveIBeenPwned attira coloro che desiderano pubblicizzare i propri attacchi, quindi la segnalazione delle violazioni del sito sembra piuttosto completa. Il sito elenca le violazioni in cui è stato rilevato un indirizzo email, insieme a tutte le informazioni di corollario, come il sesso o il numero di telefono, ad esempio. Il sito organizza le violazioni a seconda del servizio attaccato, non della data. Perché questo è importante?

password

Perché se la vostra email è stata esposta a una violazione nel 2016, ad esempio, è probabile che la vostra password sia stata modificata da allora. Ma se la vostra email e la vostra password sono state “esposte” il mese scorso, vorrete cambiarle immediatamente. HaveIBeenPwned pubblica anche le informazioni sulla violazione per qualsiasi indirizzo email, il che è utile per controllare amici e familiari, sebbene non sia il massimo per la privacy.

Il servizio di HPI adotta un approccio diverso. Elenca le violazioni per data, insieme a una matrice di quali informazioni sono state esposte. Se inserite un indirizzo email sul sito, questo invierà un report sulla sicurezza a quella specifica email, insieme a un grafico che indica quali dati sono a rischio e da quale violazione.

I browser stanno aggiungendo il monitoraggio della password gratuitamente

Entrambi i servizi di cui sopra rivelano solo se un indirizzo email specifico ha fatto parte di una violazione, ma come fare con un nome utente che non corrisponde a un’email? È qui che dovrebbe entrare in gioco un servizio affidabile che vi conosca, così come le password che avete scelto. Non andate però a caccia di siti casuali per “controllare” le vostre password: è di gran lunga preferibile restare fedeli ad alcuni nomi affidabili. Inoltre, tenete presente che il monitoraggio delle password è un servizio a pagamento per la maggior parte dei gestori di password, ma non per i gestori di password all’interno di un browser web.

Google Password Checkup

edge-password-generator-100874329-large

Nel 2019, Google ha aggiunto un plug-in del browser gratuito per Chrome che avvisa, una volta effettuato l’accesso a un sito compromesso, se la vostra email o la vostra password sono state compromesse. Nell’ottobre del 2019 Google ha iniziato a controllare automaticamente le password contro le violazioni e, a partire da Chrome 79, ha iniziato a monitorare il vostro utilizzo online per evitare di finire vittime di phishing o essere indotti a divulgare la vostra password con falsi pretesti.

Se andate su su passwords.google.com e vi autenticate, il controllo password online di Google vi fornirà una rapida dashboard di quali password sono state esposte in violazioni della sicurezza, che sono state duplicate su vari siti e che potrebbero essere migliorate con altre password complesse per evitare di essere facilmente violate in caso di violazione. Sono inoltre presenti collegamenti per modificare le password sui siti stessi. Il tutto però funziona solo se avete memorizzato le password utilizzando Google stesso.

Firefox Lockwise

Firefox Lockwise, parte del browser gratuito Mozilla Firefox, funziona in modo leggermente diverso. Non offre i consigli forniti da Google sulle password ridondanti e deboli, ma per il resto la sua funzione di monitoraggio delle password funziona in modo simile. Inoltre, sembra funzionare indipendentemente dal fatto che abbiate memorizzato una password all’interno di Firefox o semplicemente importato le password da un altro browser.

Come Google, però, ha bisogno di “conoscere” la vostra password, il che richiede che la memorizziate nel browser. Il modo più semplice per accedere a Lockwise è digitare about:logins nella barra degli URL di Firefox. Se è stata leakata una password, vedrete un banner rosso, l’account e la password in questione e un link per passare all’account in questione.

Microsoft Edge Password Monitor

L’anno scorso Microsoft ha promesso un Password Monitor all’interno di Microsoft Edge, che presto verrà implementato come parte di Edge 88. Come gli altri servizi simili offerti da altri produttori di browser, sarà gratuito.

Monitoraggio delle password a pagamento: gestori di password

1password-watchtower-100874725-large

Abbiamo già esaminato i gestori di password, che sono senza dubbio il modo più conveniente per gestire le password. Di seguito è riportato un riepilogo di cosa fanno in termini di monitoraggio i gestori di password.

LastPass

Sebbene LastPass offra una versione robusta e gratuita dei servizi di archiviazione delle password offerti dai browser, il monitoraggio delle password è un servizio a pagamento. LastPass terrà d’occhio il “dark web” nel caso in cui una password risultasse “esposta” e vi invierà anche una notifica nel caso lo fosse, cosa che i produttori di browser non fanno ancora. L’avviso vale i 3 dollari addebitati da LastPass al mese per il servizio? Se apprezzate il blocco immediato dei vostri dati personali, decisamente sì.

Dashlane

Anche Dashlane considera il monitoraggio del “dark web” come un servizio a pagamento e addebita 6,49 dollari al mese per attivarlo.

1Password

1Password non offre un piano gratuito, ma il suo servizio di base da 2,49 dollari al mese include ciò che l’azienda chiama Watchtower, servizio che avvisa della presenza di password compromesse, oltre a quelle che dovrebbero essere aggiornate perché sono deboli. 1Password funziona effettivamente con il servizio HaveIBeenPwned per controllare le vostre password (non la vostra email) rispetto al suo database di password violate. Ma come misura di sicurezza aggiuntiva, 1Password invia solo una parte della vostra password (o, in particolare, parte dell’hash della password), raccoglie tutte le potenziali corrispondenze e infine le controlla privatamente sul vostro dispositivo.