Yahoo ha annunciato che hacker sponsorizzati da uno Stato hanno rubato le credenziali di almeno 500 milioni di account. Questo attacco colpisce sia per le dimensioni – è la più grande violazione di dati mai verificatasi- sia per le possibili implicazioni per la sicurezza degli utenti.

Questo perché Yahoo, a differenza di MySpace, LinkedIn e altri servizi online che hanno subito attacchi importanti negli ultimi anni, è un provider di email; e gli account di posta elettronica sono centrali per la vita online degli utenti. Gli account email non sono utilizzati solo per le comunicazioni private, ma anche per il ripristino e le credenziali di login per account su altri siti web.

Ecco cosa è necessario sapere per proteggersi ed evitare che la violazione del proprio account email abbia conseguenze anche su altre attività online.

Cinquanta sfumature di hash

Yahoo ha detto che la “stragrande maggioranza” delle password rubate sono state protette con algoritmi di hash, in particolare il bcrypt. L’hash è un’operazione di crittografia a senso unico che trasforma un insieme di dati di lunghezza arbitraria in una stringa di caratteri di lunghezza fissa, che diventa la rappresentazione unica dei dati originari ed è chiamata “valore di hash”.

Gli hash non sono reversibili, quindi sono un buon modo per memorizzare le password. L’input iniziale, per esempio una password, passa attraverso un algoritmo di hash; il valore ottenuto viene confrontato con un hash memorizzato in precedenza. Questo fornisce un modo per verificare le password al momento del login senza memorizzarle nel database in formato testo. Tuttavia, non tutti gli algoritmi di hash offrono la stessa protezione contro gli attacchi che tentano di indovinare quale password in chiaro ha generato uno specifico hash.

A differenza del più vecchio MD5, che è abbastanza facile da decifrare se non abbinato a ulteriori misure di sicurezza, il bcrypt è considerato un algoritmo molto forte. Ciò significa che, in teoria, la probabilità che gli hacker abbiano decifrato “la stragrande maggioranza” delle password di Yahoo è molto bassa.

Ma ecco il problema: le parole di Yahoo suggeriscono che la maggior parte, ma non tutte le password sono protette con bcrypt. Non sappiamo quante password sono state cifrate con un altro algoritmo, o quale sia. Il fatto che questo non sia stato specificato nella pagina dell’annuncio o delle FAQ di Yahoo suggerisce che si tratta di un algoritmo che è più debole di bcrypt e che la società non ha voluto dare queste informazioni agli hacker.

In conclusione, non c’è modo di sapere se la password del proprio account è stata protetta con bcrypt o meno. L’opzione più sicura, a questo punto, è considerare la propria email compromessa e fare tutto il possibile per limitare i danni.

Non tenere le email solo perché c’è spazio

Una volta che gli hacker violano un account email possono facilmente scoprire quali altri account online sono legati a tale indirizzo cercando le email di eventuali iscrizioni. Si tratta dei messaggi di benvenuto che la maggior parte dei siti inviano quando gli utenti aprono un nuovo account, e che gli utenti raramente eliminano. Lo spazio offerto dai provider di posta elettronica è talmente tanto che gli utenti non si preoccupano mai di cancellare i messaggi.

Oltre a esporre i legami tra un indirizzo email e altri account su vari siti web, le email di iscrizione possono anche contenere i nomi di account specifici scelti dall’utente, se diversi dal loro indirizzo email.

Se siete tra le persone che non cancellano le email di benvenuto e altre notifiche automatiche inviate da siti web, come per esempio il ripristino delle password, prendete in considerazione di farlo adesso e pulite la vostra casella di posta da tali comunicazioni.

Certo, gli hacker hanno anche altri modi per scoprire se avete un account su un certo sito web, o su un certo numero di siti web, ma perché rendergli la vita più facile?

Fare attenzione quando vengono richiesti dati personali

Tra le informazioni che gli hacker hanno rubato dagli account Yahoo ci sono nomi, numeri di telefono, date di nascita e, in alcuni casi, domande e risposte di sicurezza in chiaro. Alcuni di questi dati sono sensibili e possono essere utilizzati per verifica da parte di banche e agenzie governative.

Ci sono pochissimi casi in cui un sito web dovrebbe avere la data di nascita dell’utente, quindi siate molto attenti nel fornire la vostra.

Inoltre, non fornite risposte alle domande di sicurezza, se potete evitarlo. Scegliete una stringa che potete ricordare facilmente e utilizzatela come risposta. In realtà, Yahoo non consiglia nemmeno più di utilizzare domande di sicurezza, quindi potete cancellare le risposte fornite in precedenza dalle impostazioni di sicurezza del vostro account.

Controllare le regole di inoltro automatico delle email

L’inoltro automatico delle email a un altro account è una di quelle funzioni da “imposta e dimentica”. L’opzione è sepolta da qualche parte nelle impostazioni dell’account di posta elettronica che l’utente non controlla mai, e non c’è alcuna indicazione che la funzione sia attivata o meno.

Gli hacker lo sanno. Gli basta accedere al vostro account di posta elettronica una sola volta e impostare una regola per ricevere copie di tutti i vostri messaggi di posta elettronica senza dover accedere nuovamente. Questo impedisce anche il servizio di invio di notifiche che segnalano ripetuti e sospetti login da dispositivi e indirizzi IP non riconosciuti.

Autenticazione a due fattori ovunque possibile

Attivate l’autenticazione a due fattori – che Yahoo chiama verifica “in due passaggi” – per qualsiasi account che la supporta. Questo abilita il servizio online a richiedere, oltre alla password normale, un codice univoco quando si tenta di accedere all’account da un nuovo dispositivo. Il codice viene inviato all’utente via SMS o è generato da una applicazione per smartphone.

E’ una importante funzione di sicurezza per proteggere il proprio account anche nel caso in cui gli hacker rubino la password. Yahoo offre questo servizio, quindi potete attivarlo (se non l’avete già fatto) e trarne vantaggio.

Non riutilizzare le password

Oggi sono disponibili molte soluzioni per la sicura gestione delle password, che funzionano su diverse piattaforme. Non c’è davvero nessuna scusa per non avere una password unica e complessa per ogni singolo account che si possiede. Se volete password facili da ricordare per alcuni account particolari potete usare delle “passphrase”: frasi composte da parole, numeri e segni di punteggiatura, in generale più lunghe di una password e più difficili da indovinare.

E poi arriva il phishing

Gli hacker inviano email che possono sembrare notifiche di protezione, contenere le istruzioni per scaricare programmi maligni presentati come strumenti di sicurezza, indirizzare gli utenti a siti web che richiedono informazioni aggiuntive con il pretesto di “verificare” i loro account, e così via.

Fate attenzione a tali email. Assicuratevi che tutte le istruzioni che decidete di seguire in risposta a un incidente di sicurezza provengano dal fornitore del servizio interessato o da una fonte attendibile.