Ancora su OpenSSL / Hearthbleed, i maggiori siti dovrebbero aver già predisposto gli aggiornamenti necessari a superare il problema. Adesso è il turno dei singoli utenti.
Una delle conseguenze di Hearthbleed è la possibilità che il traffico https sia stato intercettato e decriptato. Con esso pure le password per accedere ai singoli servizi. Le conseguenze sono ovvie.
Il consiglio a tutti gli utenti è quello di cambiare al più presto TUTTE le password di Home Banking, Facebook, Google, LinkedIn, PayPal, Amazon e di tutti i vari servizi in giro sul web a cui siete iscritti (specie quelli in cui c’è movimento di denaro o dati di carte di credito) perché potrebbero essere state compromesse. E’ difficile ma dobbiamo presumere per sicurezza che sia stato fatto.
Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI! Se craccano il servizio esterno mettete in pericolo pure l’infrastruttura dove lavorate. Se l’avete fatto in passato occorre cambiare anche quella password (supponendo che le regole interne non vi obblighino già a farlo regolarmente).
Mai, mai, mai, mai utilizzare la stessa password su più siti diversi. MAI! Se viene compromesso un sito possono (anzi lo fanno di sicuro) provare a vedere se lo stesso account è presente su altri servizi.
Ad esempio se vi catturano la password di Facebook che mettiamo sia uguale a (esempio assurdo) quella del vostro Home Banking pensate che di essere al sicuro?
Avere password differenti è importante, pensate al vostro portachiavi. Avete un unica chiave oppure una chiave per ogni porta che dovete aprire?
Per quanto riguarda la complessità della password… lasciamo stare la teoria che vorrebbe password lunghe chilometri con ghirigori, maiuscole, minuscole, numeri, simboli, giravolte, sbirigudi ed antani. Proteggiamo pesantemente (magari con l’autenticazione multipla e con SMS di avviso) l’account che per voi è fondamentale. Quello su cui magari vi arrivano le notifiche dagli altri account e tramite il quale possono accedere agli altri servizi. Per gli altri servizi si può utilizzare una password più semplice da ricordare (ATTENZIONE: semplice non significa banale o completamente idiota) e magari dove disponibile attivare sempre l’autenticazione multipla.
Per fare un esempio recentemente è saltata fuori la storia di un giornalista a cui hanno rubato tutti gli account semplicemente perché sono riusciti ad introdursi nella sua posta elettronica. Una volta preso il controllo delle mail gli hanno cambiato le password di tutto, rubato gli account Twitter, Facebook, Google+ e i domini Internet dei propri siti web. Fate voi.
E se pensate “a me non succederà mai perché chi vuoi che mi attacca a me” siete le vittime perfette. Pensate che la maggior parte di questi attacchi non sono mirati ma fatti con script automatici. A loro non interessa chi siete ma solo i vostri account.
L’ho già detto “Mai, mai, mai, mai utilizzare su questi siti una password che utilizzate anche per lavoro. MAI!” ? Ve lo ridico giusto per essere sicuri.
Fine del pippone.
4 risposte a “Heartbleed: anche le password”
“Con pure le password per accedere ai singoli servizi. “. Già, da sempre è un ottimo modo per carpire password!
Non riuscivo a capire il commento perché una parola è saltata. Ho riletto l’articolo ed ho capito. Correggo grazie. 🙂
Continuano a rincorrersi conferme e smentite sulla facilita’ di recuperare le password, le chiavi private e i dati personali. Come al solito, quando si tratta di crittografia non si capisce mai un razzo.
Nel dubbio buono il suggerimento (mi pare di aver capito) di non usare mai la stessa password per servizi diversi e di cambiare le password.
[…] le analisi, non solo metterebbe a rischio i server, ma anche i client; nel dubbio, meglio cambiare le password e, se possibile, riemettere i certificati […]