Troy Hunt, fondatore dell’iniziativa “Have I Been Pwned“, ha appena annunciato che l’Italia diventa partner del progetto ed è quindi il 29esimo Stato a sposarne la causa. Il nostro Paese compie dunque un ulteriore passo avanti nel lavoro per la cybersecurity, cercando di blindare una volta di più le proprie infrastrutture critiche e le reti principali: dapprima si è alzato l’allarme in conseguenza degli eventi bellici in Ucraina; a ruota si è avviato un approfondimento sull’utilizzo di software Kaspersky nella Pubblica Amministrazione; ora si inizia a lavorare sulle password per escludere possibili motivi di fragilità ulteriore.
Have I Been Pwned è un servizio che molti utenti privati hanno già conosciuto e provato nel tempo: consente di verificare se qualche proprio account sia stato violato e se la propria password possa essere disponibile su qualche database già venuto in chiaro a seguito di una qualche violazione (l’uso di password manager è in tal senso un espediente sempre più importante). Ciò non consente di avere una fotografia certa e completa dei propri account o della propria esposizione, ma è con buona approssimazione un ritratto del modo in cui i malintenzionati hanno la possibilità di accedere alle password altrui violando server e servizi su cui depositiamo i nostri dati personali.
Have I Been Pwned?
L’ingresso delle istituzioni italiani nel progetto consentirà la verifica puntuale degli indirizzi email che fanno capo alla Pubblica Amministrazione, così da capire se ci sia stata qualche violazione o se le password siano state affidate a server eccessivamente fragili e tali da esporre account (e privilegi correlati) all’abuso da parte di terzi.
L’accesso alle API di Have I Been Pwned sarà in mano allo CSIRT (Computer Security Incident Response Team): si potranno effettuare interrogazioni mirate e senza limiti per verificare il database a proposito dell’eventuale ritrovamento in pubblico di password che dovrebbero invece restare segrete. Questo sistema consentirà di individuare funzionari i cui account siano stati violati e possano consentire l’accesso a dati, servizi e informazioni che dovrebbero essere segreti. Si tratta di un aspetto fondamentale soprattutto in questo contesto, nel quale in ballo vi sono forti motivi economico e geopolitici a motivare e stimolare violazioni dall’estero.
Lo CSIRT ha già alzato il livello di allarme soprattutto attorno a ministeri e infrastrutture critiche, ma la prima precauzione periferica da portare avanti è l’assicurare i dati ed i servizi ai soli aventi diritto: da adesso in avanti questo controllo sarà automatizzato e coadiuvato dalle informazioni che Have I Been Pwned è in grado di mettere insieme.
Come gestire le password
Quel che a livello istituzionale va fatto seguendo i protocolli di sicurezza interni, nel privato può essere portato avanti attraverso l’utilizzo di specifici password manager ( qui puoi scaricare la soluzione Norton, oppure qui puoi scaricare l’alternativa NordPass) che possano coadiuvare memoria e strategie per l’uso di password complesse e mai ripetute a cavallo tra più servizi. Il rischio è infatti che un database possa essere violato e la propria password possa essere esposta in abbinata al proprio indirizzo email. Have I Been Pwned può verificare proprio questi eventi, consentendo di visualizzare quali dei propri account siano esposti e quali tra le proprie password siano state pubblicamente svelate.
Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Ti potrebbe interessare
