Come avere un profilo a prova di hacker

4 regole che vi aiuteranno a impedire che i vostri profili sui social media vengano hackerati.

Nel corso delle ultime settimane, numerosi account di spicco su vari social network sono stati hackerati, tra cui quello di Katy Perry, di Mark Zuckerberg e di Keith Richards.

E sebbene il controllo di questi account sia stato velocemente restituito ai rispettivi proprietari, è stata comunque un’esperienza molto imbarazzante per le celebrità: gli 89 milioni di follower di Katy Perry hanno dovuto sopportare un’invettiva di parole e insulti razzisti, mentre l’account Twitter ufficiale di Tenacious D, anch’esso hackerato nel weekend, ha twittato erroneamente che il membro Jack Black fosse morto, facendo seriamente spaventare i suoi fan.

La serie di attacchi hacker sembra ricollegarsi a un recente furto di password di LinkedIn, in cui fino a 117 milioni di username e password, risalenti al 2012, sono stati rubati.

In questo momento, vi starete probabilmente chiedendo due cose:

Alla prima domanda è un po’ più difficile rispondere, perché non sappiamo esattamente cosa sia successo. Mashable ha contattato Facebook riguardo al presunto attacco hacker, ma un portavoce ha semplicemente assicurato che “Nessun sistema né account di Facebook è stato hackerato. Gli account infetti sono stati messi nuovamente al sicuro utilizzando le migliori procedure”. Ovviamente, Twitter, Pinterest e LinkedIn non fanno parte di questa categoria e Facebook non ha voluto rilasciare commenti riguardanti gli account personali di Zuckerberg.

Ma se decidiamo di credere agli hacker, che hanno scritto su Twitter (in un tweet ormai eliminato) che la password di Zuckerberg fosse “dadada” e che sia stata trovata tra le password di LinkedIn, allora l’AD di Facebook sarebbe stato piuttosto disattento per quel che riguarda la sicurezza online. Può capitare a tutti e, a dirla tutta, Zuckerberg non utilizzava questi account da anni. Ma quando sei a capo di una società multimiliardaria e del principale social network del mondo, fa male un po’ di più.

Per quel che riguarda la seconda domanda, la risposta è: potete fare molto, ma seguire una precauzione di sicurezza e ignorare le altre potrebbe rendervi molto vulnerabili agli hacker. Ve lo spiegherò man mano che andremo avanti.

Ormai, la maggior parte degli utenti di internet sa che scegliere una password forte sia importante. Ciò che, esattamente, rappresenterebbe una buona password è cambiato molto nel corso degli anni: dieci anni fa, “34xyf4ds” era considerata essere una password forte. Adesso, un hacker armato con poco più di un umile laptop può rintracciare password come questa con la stessa facilità con cui un coltello taglia del burro.

Oggi, una buona password dovrebbe essere lunga almeno 12 caratteri, possibilmente di più. Dovrebbe contenere numeri insieme a lettere maiuscole e minuscole. Non dovrebbe contenere alcuna informazione personale facilmente intuibile; se vi chiamate Michael e siete nati il 12 settembre 1967, allora "Michael-12091967" non è una buona password. Infatti, sebbene possiate creare una password forte mettendo insieme parole comuni, come spiegato in questo fumetto di XKCD, consiglierei di renderla ancora più casuale (e gli esperti concordano).

Ora che avete scelto una password assolutamente buona siete al sicuro, vero? Sbagliato. Se utilizzate la stessa password su diversi siti, potreste essere ancora a rischio. Se soltanto uno di questi siti venisse compromesso – come è accaduto a LinkedIn, quando nel 2012 qualcuno ha rubato più di cento milioni di username e password – un hacker potrebbe tentare di inserire la vostra e-mail e la stessa password in diversi altri servizi online.

A volte, se un sito ha un livello di sicurezza molto scadente, gli hacker potrebbero ottenere la vostra password in testo semplice. Molto spesso, le password saranno criptate o frammentate, quindi l’hacker dovrà decodificarle ed è qui che entra in gioco l’avere una buona password. Ma al giorno d’oggi gli hacker hanno accesso a computer molto potenti e ad alcuni algoritmi di decodificazione intelligenti e ciò significa che – col tempo – ogni password forte potrà venire decodificata.

Il modo migliore per evitarlo è avere delle password separate per ogni servizio online che utilizzate, specialmente quelli per voi importanti (Facebook, Twitter) o quelli che possono costarvi dei soldi (PayPal, eBay).

Ricordate, se la persona che ha assunto il controllo dell’account Twitter di Zuckerberg ha detto la verità, il fondatore di Facebook avrebbe infranto entrambe queste regole: ha avuto una password molto debole ("dadada") e l’ha utilizzata in numerosi siti, tra cui Twitter, Pinterest e LinkedIn.

Ed è qui che le cose si fanno problematiche per la maggior parte degli utenti. Dopo un po’, ricordarsi password complesse diventa un’incombenza noiosa, se non impossibile. Ma è a questo punto che entrano in gioco i gestori di password, come LastPass or Dashlane. Questi servizi “memorizzano” tutte le vostre password, spesso compilando automaticamente le vostre credenziali online, ma potete sbloccarli soltanto con una password principale, così sarà quella l’unica che avrete davvero bisogno di ricordare.

Un avvertimento su questo metodo è che se la vostra password principale venisse rubata, sareste nei guai, in quanto un hacker avrebbe accesso a tutte le vostre password. È per questo che dovreste scegliere una password principale molto complessa, mai salvarla sul vostro pc e mai condividerla con nessuno.

Notate che persino i gestori di password tendono a essere vulnerabili. Potreste decidere di non utilizzarne e semplicemente di tenere le password nella vostra testa o su un pezzo di carta custodito in cassaforte. Questo andrebbe benissimo, solo non perdete quel pezzo di carta.

Anche stando molto attenti, può capitare di sbagliare. Un vecchio servizio che vi siete dimenticati di avere mai utilizzato potrebbe venire compromesso, tornare e colpirvi alle spalle. O potreste connettervi alla rete Wi-Fi sbagliata e diventare vittima di un hacker-stalker che rubi ogni informazione che avete inviato dal vostro computer (a proposito, non connettetevi a Wi-Fi che non conoscete. Mai).

Questo è il motivo per cui è consigliabile utilizzare un ulteriore livello di protezione, solitamente sotto forma di autenticazione a due fattori. Questo metodo combina qualcosa che conoscete (la vostra password) con qualcosa che possedete (il vostro telefono), garantendo che se anche qualcuno dovesse imparare la vostra password, non potrà comunque avere accesso ai vostri servizi non avendo il controllo fisico del vostro cellulare.

Oggi l’autenticazione a due fattori è supportata da molti servizi online (sebbene non tutti), tra cui Gmail, Facebook, Twitter, Instagram, Amazon, Slack e altri. Di solito, funziona nel modo seguente: la create aggiungendo il vostro numero di telefono. In seguito, quando vi connetterete da un nuovo dispositivo o ubicazione, riceverete un codice aggiuntivo sul vostro cellulare, senza il quale la vostra password potrebbe essere inutile.

Pur facendo bene ogni cosa, potreste comunque essere vittime di un attacco hacker o perdere il controllo di uno dei vostri account online. Ma seguendo i punti descritti in precedenza renderete gli ordini di grandezza meno probabili. E anche se uno dei vostri account venisse compromesso, il danno non si riverserebbe in altri ambiti della vostra vita online.