Quasi 8,5 miliardi di password sono state trapelate online. Ecco perché potrebbe non essere così brutto come sembra

Poiché sempre più componenti della nostra vita quotidiana si spostano dal mondo reale a Internet, il valore della sicurezza non può essere sopravvalutato. Ogni nuova innovazione che abbracciamo, da Zoom a TikTok all’ultimo sistema di videogiochi, viene fornita con un nome utente e una password che si uniscono ai ranghi delle nostre dozzine di altri nomi utente e password e, probabilmente, ogni singolo accesso nel mazzo di password di una persona assomiglia agli altri almeno in qualche forma o forma. Non è necessariamente una cosa negativa (se la tua password è sicura, cioè) — dopotutto, le variazioni comuni sulla stessa password sono il modo in cui le persone ricordano le loro informazioni di accesso.

Ma, se solo una di quelle password dovesse trapelare, è possibile che tutte le password di una persona vengano compromesse di conseguenza. Immagina la minaccia che rappresenterebbe una fuga di 8,5 miliardi di password. È la nostra realtà attuale e potresti non averne nemmeno sentito parlare. Gli hacker lo hanno chiamato RockYou2021 e i pochi che ne hanno parlato l’hanno trattato come una minaccia alla sicurezza rivoluzionaria come non abbiamo mai visto prima. È una reazione eccessiva? RockYou2021 è stato davvero così brutto se nessuno di noi ne ha nemmeno sentito parlare? Separiamo la verità dalla finzione.

RockYou2021: cosa è successo?

Quando la notizia di RockYou2021 è stata pubblicata per la prima volta all’inizio di giugno 2021, è stata immediatamente soprannominata "la più grande perdita di password nella storia di Internet", superando di gran lunga la precedente perdita di RockYou del 2009 che includeva oltre 32 milioni di password. Originariamente, RockYou2021 era si dice che includa 82 miliardi di password – in realtà, il numero è circa 1/10 di quello: 8.459 miliardi di password Per essere chiari, con oltre 250 volte la dimensione di RockYou2009, questo è ancora un numero notevole di password da trapelare.

RockYou2021 è stato pubblicato come file di testo da 100 GB su un forum online molto popolare (senza nome) per gli hacker. Ciascuna delle quasi 8,5 miliardi di password ha una lunghezza compresa tra 6 e 20 caratteri, con tutti gli spazi bianchi e i caratteri non ASCII rimossi dal testo. Collezioni di grandi dimensioni come queste consentono a hacker e criminali informatici di eseguire ciò che è noto come "spruzzatura di password", che consiste nel provare un gran numero di nomi utente e password in un lasso di tempo molto breve per ottenere l’accesso a un account.

Come RockYou2021 si confronta con le perdite di password del passato

Alcune delle più grandi perdite di password del passato includono la suddetta violazione dei dati RockYou del 2009, la Compilation of Many Breaches (COMB) del febbraio 2021 e la Breach Compilation del 2017. In ciascuna di queste violazioni sono state trapelate miliardi di password, ma condividono tutti una cosa in comune (incluso RockYou2021): in realtà sono una raccolta di innumerevoli fughe di notizie più piccole raccolte in un unico grande documento.

Con questo, RockYou2021 è semplicemente un’enorme raccolta di altre fughe di notizie, COMB inclusa: questa violazione di febbraio da sola rappresenta oltre 3 miliardi degli 8,5 miliardi di password di RockYou2021. Questo non lo rende una potenziale minaccia, ma aiuta sicuramente a contestualizzare l’enorme dimensione di queste fughe di notizie: a quanto pare, molte di queste enormi violazioni delle password stanno semplicemente riutilizzando informazioni passate e includendole in nuove- perdite di nome nel tentativo di gonfiarli e farli sembrare più minacciosi. È tutta una questione di ottica e un’affermazione come "8,5 miliardi di password" è destinata a generare buzz, anche se quasi la metà o più di quegli 8,5 miliardi sono già trapelate in passato.

In cosa consiste effettivamente la perdita

Sappiamo che questa fuga di notizie è composta da molte perdite del passato, ma per quanto riguarda gli altri miliardi di password? Da dove vengono? A quanto pare, dopo alcune indagini approfondite, la maggior parte di RockYou2021 è in realtà solo una raccolta di molti dizionari diversi. Questi dizionari di cracking sono costituiti da password di uso comune e facili da indovinare che vengono utilizzate negli attacchi di spruzzatura di password. Per essere chiari, queste non sono necessariamente password legate a qualcuno in particolare, ma piuttosto password comunemente utilizzate da molti account diversi.

Ciò significa che, in definitiva, RockYou2021 in realtà non è una novità: ha riconfezionato fughe di notizie del passato e crackato dizionari con un nuovo nome nel tentativo di sembrare più minaccioso di quanto non sia in realtà. Non si tratta di 8,5 miliardi di password sottratte a individui da hacker esperti come ladri notturni, ma piuttosto una raccolta del lavoro di altri hacker e criminali informatici del passato. Se fosse un film, sarebbe una riedizione in edizione estesa piena zeppa di scene eliminate.

Come evitare che le tue password trapelino

Questo non vuol dire che RockYou2021 non dovrebbe essere preso sul serio, soprattutto se una delle tue semplici password è inclusa nel file di testo. Per fortuna, la tua migliore linea di difesa è anche la più semplice: cambia la tua password in modo che sia impenetrabile. I dizionari cracking e simili dipendono da password di base facili da indovinare come "Estate 2021!" o "Password123!" in modo che i criminali informatici possano accedere a tutti gli account su cui possono mettere le mani.

Se la tua password è una combinazione complessa e impossibile da indovinare di lettere, numeri e simboli, come le password fornite e archiviate in modo sicuro da un gestore di password, probabilmente non dovrai preoccuparti di essere compromesso a breve. La tua prima linea di difesa contro hacker e criminali informatici è anche la migliore linea di difesa: cambia spesso la tua password, mantienila complessa e archiviala in modo sicuro nel tuo gestore di password preferito.