Sconti Amazon
venerdì 5 febbraio 2021 di 12295 Letture
Google password: come controllare la sicurezza delle credenziali

Google password: come controllare la sicurezza delle credenziali

Gli strumenti offerti da Google per verificare se una o più delle proprie credenziali di accesso fossero in mano ai criminali informatici. Come ottenere anche la lista delle password inefficaci.

La sicurezza degli account che si possiedono e la tutela della propria identità digitale passa per l'attenzione che si dedica alla gestione delle credenziali di accesso e alla loro corretta conservazione. La scelta di una password sufficientemente sicura (vedere Creare password sicura: oggi ricorre il World Password Day) è certamente buona cosa ma l'utilizzo di una forma di autenticazione a due fattori affidabile e semplice da usare permette oggi di avere maggiori garanzie.

Con l'autenticazione a due fattori anche nel caso in cui un aggressore dovesse entrare in possesso di nome utente e password corretti, questi non potrà comunque accedere all'altrui account: l'utilizzo di chiavette FIDO2 come secondo fattore è certamente consigliabile (Sicurezza account, come migliorarla con le chiavette FIDO2) anche se la validazione dei tentativi di accesso mediante lo smartphone è una soluzione pratica e immediatamente attivabile da parte di tutti (la funzionalità di protezione Messaggio di Google è un ottimo esempio: Verifica in due passaggi: qual è la modalità più sicura).

L'utilizzo di app come Google Authenticator o Microsoft Authenticator permette di legare l'accesso agli account, almeno dai dispositivi che non siano quelli tipicamente utilizzati, all'inserimento di un codice con scadenza a brevissimo termine (OTP, one-time-password) generato sul dispositivo mobile dell'utente.

Le credenziali d'accesso possono essere sottratte non soltanto in seguito a errori, imperizia o disattenzione ma possono talvolta essere estrapolate dai criminali informatici sui server dei gestori dei vari servizi online. Ecco perché è fondamentale non usare mai le stesse password per proteggere servizi diversi.

Servizi come Have I been pwned permettono agli utenti di sapere se le proprie credenziali di accesso fossero malauguratamente cadute nelle mani dei criminali informatici in seguito a qualche aggressione subita da provider e gestori di servizi.

Have I been pwned tiene traccia di tutti gli archivi contenenti liste di nomi utente e password apparsi in rete nel corso del tempo: digitando il proprio indirizzo email nella casella di ricerca si può sapere se le credenziali personali fossero nelle mani dei criminali e attivarsi per modificarle.

Google password: come controllare la sicurezza delle credenziali

Nell'articolo Password violate o insicure: come verificare le proprie abbiamo visto, addirittura, come scaricare gli elenchi di Have I been pwned e controllare la presenza in tali liste di tutte le proprie password.

Have I been pwned gestisce e aggiorna periodicamente un secondo database contenente le password degli utenti sotto forma di hash (e non correlate né con i rispetti username né con i servizi online sulle quali risultavano in uso).

Cercando all'interno di questo database le proprie password (previo hashing), è possibile ottenere informazioni interessanti senza trasmettere alcun dato verso server remoti gestiti da soggetti terzi.

Una funzione hash non è invertibile: utilizzando un apposito algoritmo viene creata una stringa di lunghezza predefinita a partire da una stringa di lunghezza arbitraria.

L'hash di una password non permette di risalire alla password in chiaro (almeno usando gli algoritmi di hashing più sicuri) e quindi può essere trasmesso in sicurezza a servizi come Have I been pwned.

Google password ovvero la ricetta per controllare le proprie credenziali senza alcuno sforzo

Ispirandosi a un servizio come Have I been pwned, Google ha dapprima lanciato un'estensione per Chrome che analizza le credenziali conservate nel password manager integrato nel browser e avvisa gli utenti nel caso in cui qualcuna di esse fosse nelle mani dei criminali informatici.

Successivamente, Google ha presentato il servizio Controllo password (Password Checkup in inglese): accessibile da web (quindi svincolato dal browser), il servizio permette di verificare se una o più credenziali d'accesso risultassero nelle mani degli aggressori informatici.

Google password: come controllare la sicurezza delle credenziali

Lo strumento di Google controlla anche se l'utente avesse riutilizzato la medesima password su più servizi online nonché la robustezza di ciascuna di esse.

Nel caso di Controllo password le credenziali che Google verifica sono quelle conservate in forma cifrata nei server dell'azienda di Mountain View e sincronizzate via browser sui sistemi desktop oppure da browser o app sui dispositivi mobili.

Le password vengono memorizzate sul cloud quando si attiva la sincronizzazione di Chrome, sia su desktop che sui dispositivi mobili: ne abbiamo parlato diffusamente nell'articolo Sincronizzare Chrome, cosa significa accedere ai dati da più dispositivi.

Quella che in passato si chiamava Smart Lock for Passwords è una funzionalità che consente agli utenti di memorizzare sui server di Google le credenziali di accesso alle varie applicazioni installate sui dispositivi mobili.

La lista dei servizi le cui password per l'account in uso risultano note a Google è riportata in questa pagina. Nella parte inferiore della stessa sono indicati i siti e le password conosciute da Google.

Google password: come controllare la sicurezza delle credenziali

Come avviare il controllo delle password in Chrome

Anche chi non avesse attivato la sincronizzazione delle credenziali con i server di Google può comunque beneficiare del controllo password.

Le ultime versioni di Chrome permettono di controllare la sicurezza delle password conservate nel password manager del browser semplicemente digitando chrome://settings/passwords nella barra degli indirizzi quindi cliccando sul pulsante Controlla password.

Google password: come controllare la sicurezza delle credenziali

Come abbiamo spiegato in apertura, usando lo stesso schema di Have I been pwned, nomi utente e password vengono trasmesse in modo sicuro - mai in chiaro - e soprattutto usando una funzione di hashing. In questo modo neppure Google può risalire alle password dei singoli utenti.

Google ha più volte rimarcato, inoltre, che nessuno degli strumenti presentati in precedenza trasferisce informazioni su account, nomi utente, password e dispositivi utilizzati al fine di identificare univocamente gli utenti e i loro device.

La società di Mountain View ha comunque confermato di raccogliere e registrare dati anonimi sui nomi a dominio ai quali si riferiscono le segnalazioni eventualmente mostrate agli utenti. In altre parole, se l'utente utilizzasse credenziali non sicure, questi verrebbe informato e il dominio verrebbe passato in chiaro a Google. In generale, comunque, i nomi a dominio possono transitare in chiaro senza problemi mentre tutti gli altri dati debbono essere opportunamente cifrati e anonimizzati (vedere anche questa analisi).

Una volta effettuato il controllo delle password, lo strumento integrato in Chrome indica quali password sono state certamente violate e quali invece sono insicure perché, ad esempio, non rispettano i requisiti minimi di sicurezza (i.e. password vulnerabili ad attacchi basati sul dizionario, password semplici e facilmente "indovinabili", password corte,...). In entrambi i casi si deve tempestivamente procedere con la modifica delle password stesse andando alla ricerca di eventuali segni di compromissione dei vari account.

Google segnalerà come inefficaci anche le password utilizzate per accedere ai dispositivi collegati in rete locale (router, switch, access point,...). Tali password vengono infatti scelte semplici in modo da facilitare l'accesso ai vari dispositivi in LAN.

In questo caso non è un errore da evidenziare in blu purché la rete locale sia adeguatamente protetta e l'accesso ai dispositivi da amministrare sia limitato a un numero limitato di host.

Come regola generale, tuttavia, sarebbe sempre preferibile scegliere password complesse anche per i dispositivi collegati in LAN.

Cliccando sui tre puntini a destra delle password segnalate quindi su Mostra password è possibile verificare come si presenta ciascuna password.

Digitando chrome://settings/security nella barra degli indirizzi di Chrome e selezionando l'opzione Protezione avanzata il browser di Google controllerà automaticamente, su base periodica, la sicurezza delle credenziali in uso.

In caso di compromissione delle password o dell'utilizzo di password inefficaci Chrome mostrerà una finestra a comparsa per richiamare l'attenzione dell'utente.

Google password: come controllare la sicurezza delle credenziali

Diversamente, scegliendo Protezione standard il controllo potrà essere richiesto dall'utente.

Come recuperare una password che non si riesce a ricordare

Se non si ricordasse più una password per l'accesso a uno specifico servizio, è possibile fare riferimento al password manager di Chrome semplicemente digitando chrome://settings/passwords nella barra degli indirizzi e cliccando sull'icona Mostra password. Per visualizzarla, basterà digitare la password dell'account utente in uso (ad esempio la password dell'account Windows) oppure il PIN usato per accedere al sistema operativo ove configurato.

Il password manager di un browser web dovrebbe comunque essere considerato a prescindere come intrinsecamente insicuro, almeno nei confronti di chi avesse la disponibilità fisica del dispositivo dell'utente (notebook, smartphone, tablet,...). Vedere, a tal proposito, gli articoli Password manager di Firefox: master password indovinabile in pochi minuti e Password dimenticata, come trovare quella di Windows, Gmail e di altri servizi.

Per recuperare al volo una password conservata nel password manager di Chrome, senza neppure inserire quella usata a protezione dell'account utente in uso, basta cliccare con il tasto destro sul campo Password (quello che mostra i "puntini"), scegliere Ispeziona quindi modificare il tag HTML input: sostituendo text a password nell'attributo Type, si leggerà la password in chiaro: Il browser mostra la password celata da pallini o asterischi: non è un problema.

Google password: come controllare la sicurezza delle credenziali

Nel caso dei sistemi Windows è fondamentale proteggere l'accesso con BitLocker e una password da inserire in fase di avvio (e al rientro dall'ibernazione o dalla sospensione): BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio.

Alcune chiavette FIDO2, come la serie YubiKey 5 di Yubico consentono anche di gestire i token software insieme con le relative password "una tantum" che vengono memorizzate nella chiavetta. Con un dispositivo come YubiKey 5 si può collegare la chiavetta a un qualunque dispositivo e controllare immediatamente tutte le registrazioni OATH (Initiative for Open Authentication) configurate.


Buoni regalo Amazon
Google password: come controllare la sicurezza delle credenziali - IlSoftware.it