8274 Letture
Google password: come controllare la sicurezza delle credenziali

Google password: come controllare la sicurezza delle credenziali

Gli strumenti offerti da Google per verificare se una o più password fossero in mano ai criminali informatici.

La sicurezza dei propri account e la tutela della propria identità digitale passa per l'attenzione che si dedica alla gestione delle credenziali di accesso e alla loro corretta conservazione. La scelta di una password sufficientemente sicura (vedere Creare password sicura: oggi ricorre il World Password Day) è certamente buona cosa ma l'utilizzo di una forma di autenticazione a due fattori affidabile e semplice da usare permette oggi di avere maggiori garanzie. Con l'autenticazione a due fattori anche nel caso in cui un aggressore dovesse entrare in possesso di nome utente e password corretti, questi non potrà comunque accedere all'altrui account: l'utilizzo di chiavette FIDO2 come secondo fattore certamente consigliabile (Sicurezza account, come migliorarla con le chiavette FIDO2) anche se la validazione dei tentativi di accesso mediante lo smartphone è una soluzione pratica e immediatamente attivabile da parte di tutti (la funzionalità di protezione Messaggio di Google è un ottimo esempio: Verifica in due passaggi: qual è la modalità più sicura).

Va detto che le credenziali d'accesso possono essere sottratte non soltanto in seguito a errori, imperizia o disattenzione degli utenti ma possono talvolta essere "razziate" dai criminali informatici sui server dei gestori dei vari servizi online (ecco perché è fondamentale non usare mai le stesse password per proteggere servizi diversi…).


Servizi come Have I been pwned permettono agli utenti di sapere se le proprie credenziali di accesso fossero malauguratamente cadute nelle mani dei criminali informatici in seguito a qualche aggressione subita da provider e gestori di servizi. Have I been pwned tiene traccia di tutti gli archivi contenenti liste di nomi utente e password apparsi in rete nel corso del tempo: digitando il proprio indirizzo email nella casella di ricerca si può sapere se le credenziali personali fossero nelle mani dei criminali e attivarsi per modificarle.

Google password: come controllare la sicurezza delle credenziali

Nell'articolo Password violate o insicure: come verificare le proprie abbiamo visto, addirittura, come scaricare gli elenchi di Have I been pwned e controllare la presenza in tali liste di tutte le proprie password. Have I been pwned, infatti, gestisce e aggiorna periodicamente un secondo database contenenti le password degli utenti sotto forma di hash (e non correlate né con i rispetti username né con i servizi online sulle quali risultavano in uso).
Cercando all'interno di tale database le proprie password (previo hashing), è possibile ottenere informazioni interessanti senza trasmettere alcun dato verso server remoti gestiti da soggetti terzi.

Google password ovvero la ricetta per controllare le proprie credenziali senza alcuno sforzo

Evidentemente ispirandosi a servizi come Have I been pwned, Google ha dapprima lanciato un'estensione per Chrome che analizza le credenziali conservate nel password manager integrato nel browser e avvisa gli utenti nel caso in cui qualcuna di esse fosse nelle mani dei criminali informatici: Password Checkup, Google presenta uno strumento per controllare la sicurezza delle password.

Successivamente, Google ha presentato il servizio Password Checkup: accessibile da web (quindi svincolato dal browser), il servizio permette di verificare - esattamente come l'estensione precedentemente citata - se una o più credenziali d'accesso risultassero nelle mani degli aggressori informatici.

Google password: come controllare la sicurezza delle credenziali

Lo strumento di Google controlla anche se l'utente avesse riutilizzato la medesima password su più servizi online nonché la robustezza di ciascuna di esse.
Va detto che nel caso della versione web di Password Checkup, le credenziali verificate da Google sono quelle al momento conservate sui server dell'azienda di Mountain View (in formato cifrato) e sincronizzate via browser sui sistemi desktop oppure da browser o app sui dispositivi mobili.


Le password vengono memorizzate sul cloud quando si attiva la sincronizzazione di Chrome, sia su desktop che sui dispositivi mobili: ne abbiamo parlato diffusamente nell'articolo Sincronizzare Chrome, cosa significa accedere ai dati da più dispositivi. Non solo. Quella che in passato si chiamava Smart Lock for Passwords è una funzionalità che consente agli utenti di memorizzare sui server di Google le credenziali di accesso alle varie applicazioni installate sui dispositivi mobili.

La lista dei servizi le cui password per l'account in uso risultano note a Google è riportata in questa pagina. Nella parte inferiore della stessa sono indicati i siti e le password conosciute da Google.

Google password: come controllare la sicurezza delle credenziali

Ancora, Google ha poi deciso di inserire il meccanismo Password Checkup direttamente nel browser Chrome. A partire da Chrome 79 (verificare sempre di usare la versione più aggiornata del browser Google digitando chrome://settings/help nella sua barra degli indirizzi), è possibile attivare la nuova funzionalità Password Leak Detection.


Essa si occupa di avviare l'utente di Chrome solo nel caso in cui una o più credenziali risultassero coinvolte in qualche data leak.
Per attivare Password Leak Detection, basta digitare chrome://flags/#password-leak-detection nella barra degli indirizzi del browser di Google, impostare su Enabled il corrispondente menu a tendina e riavviare l'applicazione.


Google password: come controllare la sicurezza delle credenziali

Google ha più volte rimarcato che nessuno degli strumenti presentati in precedenza trasferisce informazioni su account, nomi utente, password e dispositivi utilizzati al fine di identificare univocamente gli utenti e i loro device. Le password, inoltre, vengono trasmesse in forma cifrata e non vengono mai trasferite, com'è ovvio, in chiaro.
La società di Mountain View ha comunque confermato di raccogliere e registrare dati anonimi sui nomi a dominio cui si riferiscono le segnalazioni eventualmente mostrate agli utenti. In altre parole, se l'utente utilizzasse credenziali non sicure, questi verrebbe informato e il dominio verrebbe passato in chiaro a Google. In generale, comunque, i nomi a dominio possono transitare in chiaro senza problemi mentre tutti gli altri dati debbono essere opportunamente cifrati e anonimizzati (vedere anche questa analisi).
A metà agosto 2019, proprio usando i dati raccolti, Google aveva fatto presente quante credenziali d'accesso continuano ad essere usate nonostante siano ormai note ai criminali informatici: Google: l'1,5 percento delle password usate ancora oggi dagli utenti è nelle mani dei criminali informatici.

Se non si ricordasse più una password per l'accesso a uno specifico servizio, è possibile fare riferimento al password manager di Chrome semplicemente digitando chrome://settings/passwords nella barra degli indirizzi e cliccando sull'icona Mostra password. Per visualizzarla, basterà digitare la password dell'account utente in uso (ad esempio la password dell'account Windows) oppure il PIN usato per accedere al sistema operativo ove configurato.


Il password manager di un browser web dovrebbe comunque essere considerato a prescindere come intrinsecamente insicuro, almeno nei confronti di chi avesse la disponibilità fisica del dispositivo dell'utente (notebook, smartphone, tablet,...). Vedere, a tal proposito, gli articoli Password manager di Firefox: master password indovinabile in pochi minuti e Password dimenticata, come trovare quella di Windows, Gmail e di altri servizi.

Per recuperare al volo una password conservata nel password manager di Chrome, senza neppure inserire quella usata a protezione dell'account utente in uso, basta cliccare con il tasto destro sul campo Password (quello che mostra i "puntini"), scegliere Ispeziona quindi modificare il tag HTML input: sostituendo text a password nell'attributo Type, si leggerà la password in chiaro: Il browser mostra la password celata da pallini o asterischi: non è un problema.

Google password: come controllare la sicurezza delle credenziali

Nel caso dei sistemi Windows è fondamentale proteggere l'accesso con BitLocker e una password da inserire in fase di avvio (e al rientro dall'ibernazione o dalla sospensione): BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all'avvio.
Alcune chiavette FIDO2, come la serie YubiKey 5 di Yubico consentono anche di gestire i token software insieme con le relative password "una tantum" che vengono memorizzate nella chiavetta. Con un dispositivo come YubiKey 5 si può collegare la chiavetta a un qualunque dispositivo e controllare immediatamente tutte le registrazioni OATH (Initiative for Open Authentication) configurate.

Google password: come controllare la sicurezza delle credenziali