Bianca, l’hacker involontaria
La mattina successiva al misfatto, la nostra Bianca – inconsapevole di aver esposto i propri dati e quelli dell’intera azienda ad un attacco hacker – entrò serenamente in ufficio con passo allegro e stivali nuovi. Salutò i colleghi con il solito “Ciaoo bellezze!” e si sedette davanti al computer sorseggiando il suo immancabile matcha latte.
Appena accese il PC, la realtà le esplose in faccia.
Notò che il responsabile del reparto IT faceva avanti e indietro tra le postazioni dell’ufficio come un criceto caffeinato, il direttore urlava frasi sconnesse sul GDPR e perfino la segretaria, solitamente più espressiva di una pianta grassa, aveva il volto contratto.
Qualcosa era successo. Qualcosa di grosso.
Nel corso della notte, qualcuno si era introdotto nella rete aziendale. Aveva scaricato documenti interni, rubato credenziali, inviato mail sospette a clienti e… peggio ancora, aveva caricato sul sito dell’azienda un’offerta truffaldina per una fornitura di tonno scaduto a metà prezzo.
L’indirizzo IP dell’intrusione? Ricondotto ad un accesso legittimo. L’account di Bianca, ma da una località geografica che a mala pena si riusciva a pronunciare…
“Bianca De Robertis” disse il tecnico informatico porgendole un report stampato, “ieri sera alle 21:46 hai fatto login nel sistema da un dispositivo non autorizzato.”
Lei sbatté le ciglia. “Io? No, impossibile… io… ieri ero a casa. Guardavo un documentario sulle api assassine!”
Sapevano tutto.
Ma ciò che la terrorizzò davvero fu una parola nel report tecnico: credential stuffing.
Qualcuno aveva intercettato la sua Bianca123, la password riutilizzata ovunque. Dopo il clic sul link-trappola, le sue credenziali erano finite nel dark web, pronte ad essere testate su centinaia di altri servizi.
E in uno di questi servizi, guarda caso, c’era anche l’accesso remoto alla rete aziendale.
I cybercriminali avevano trovato una chiave universale: la sua password riciclata. E grazie alla sua scelta “creativa” – la stessa Bianca123 per Instagram, email e credenziali aziendali – avevano ormai accesso completo a tutto il suo universo digitale.
“Non è colpa mia.” ripeteva Bianca, quasi in trance.
“No?” ribatté il direttore, “E di chi, scusa? Dell’oroscopo?”
Bianca non era un’hacker.
Eppure, nel giro di 24 ore, era diventata il tramite perfetto per far breccia in un’azienda intera.
Tutto per una password prevedibile, una curiosità mal riposta… e l’idea che “tanto a me non capita”.
Quella sera, tornando a casa, accese il cellulare per cambiare tutte le sue password. Ma prima… abilitò ovunque la MFA.
Questa volta scelse qualcosa di nuovo. Qualcosa di forte.
Qualcosa che non contenesse il suo nome e un numero a caso.
Password sicura? Importante, ma da sola non basta
Una password efficace è la prima barriera tra i tuoi dati e chi vuole rubarteli. Eppure, ancora oggi, “123456” e “qwerty” compaiono tra le password più usate. Un errore grave, soprattutto se la stessa chiave viene utilizzata per più account.
Una buona password dovrebbe essere:
-
Lunga almeno 12 caratteri
-
Composta da lettere, numeri e simboli
-
Priva di riferimenti personali (niente nomi, date di nascita, squadre del cuore)
-
Diversificata per ogni account
Oltre alla struttura della password in se, un altro aspetto da tenere in forte considerazione è quello legato alla custodia delle credenziali. A tal proposito è assolutamente sconsigliato mantenere le proprie password scritte sul classico post-it attaccato al monitor in ufficio, o ancora peggio, lasciarle memorizzate in qualche file sparso per il desktop.
La soluzione ideale per gestire la proprie credenziali in sicurezza, e senza impazzire, è senza dubbio quella di affidarsi ad un password manager: un’applicazione che crea password robuste e le memorizza per te.
Ma anche la password migliore non è infallibile. Ecco perché è fondamentale attivare l’autenticazione a due fattori (MFA) ovunque sia disponibile. Con la MFA, per accedere a un account non basta solo la password: serve un secondo elemento, come un codice temporaneo sul cellulare. Questo rende quasi impossibile l’accesso da parte di chi non è autorizzato, anche in caso di furto della password.
In breve: custodire nel modo giusto una password sicura e abilitare la MFA è come inserire un lucchetto e l’allarme alla tua casa digitale. Non sottovalutarli.
Nella prossima pillola di cyber igiene, tra cocchi, selfie e disastri digitali, scopriremo come una vacanza ai tropici può trasformarsi in un incubo.
Vuoi conoscere meglio i nostri servizi?