Il riempimento delle credenziali è un tipo popolare di attacco informatico in cui gli aggressori prendono le credenziali di accesso e le utilizzano su migliaia di siti web, sperando di ottenere accesso fraudolento agli account delle persone. È un attacco efficace, ma fortunatamente facile da prevenire.
Questo articolo esamina il riempimento delle credenziali in modo più dettagliato e spiega come puoi proteggerti.
Cos’è il riempimento delle credenziali?
Un attacco di riempimento delle credenziali avviene quando un aggressore prende i nomi utente delle persone, gli indirizzi email e le password (le credenziali) e usa strumenti automatizzati per inserirli nel maggior numero di siti possibile (il riempimento). Nella maggior parte dei casi, gli aggressori ottengono queste credenziali da un attacco precedente o una violazione dei dati, come quella che ha colpito Dropbox.
Come funziona un attacco di riempimento delle credenziali
Il fatto che molte persone soffrano della stanchezza delle password è ciò che rende il riempimento delle credenziali un attacco efficace. Fino a il 65% delle persone(nuova finestra) riutilizza le proprie password su più account, il che significa che se le loro password vengono mai esposte in una violazione, tutti quegli account sarebbero a rischio.
Ad esempio, se avessi un account con un servizio online utilizzando jimmysmith92 come tuo nome utente e password123 come password, un riempitore di credenziali userebbe software automatizzato per provare quanti più altri servizi possibile per vedere se hai usato quella combinazione di nome utente e password altrove. Se sì, otterrebbero facilmente accesso a un altro account.
Il riempimento delle credenziali è generalmente classificato come un attacco a forza bruta (dove un aggressore usa software per “indovinare” una password provando ogni possibile combinazione di lettere e simboli) poiché si basa sullo stesso principio. Solo che invece di provare ogni possibile password per accedere a un singolo servizio, il riempimento delle credenziali usa una singola password e la prova su ogni sito web e servizio.
La regolarità di massicce violazioni dei dati rende facile per gli aggressori eseguire il riempimento delle credenziali e, sebbene sia difficile trovare numeri verificabili, la prevalenza delle password riutilizzate suggerisce che sono efficaci. Secondo la società di gestione degli accessi Okta(nuova finestra), il 34% dei tentativi di accesso tramite la sua piattaforma sono identificati come attacchi di riempimento delle credenziali.
Come prevenire un attacco di riempimento delle credenziali
Per quanto comuni e di successo, c’è un modo sorprendentemente semplice per proteggersi dagli attacchi di riempimento delle credenziali: non riutilizzare mai le tue password. Se proteggi ogni singolo dei tuoi account con una password unica e casuale, il riempimento delle credenziali non funzionerà su nessuno dei tuoi account — e anche altri tentativi di forza bruta probabilmente falliranno.
Per creare password forti e casuali che sono quasi impossibili da decifrare per la maggior parte dei computer, è necessario utilizzare un generatore di password. Ovviamente, questo lascia il problema di ricordare tutte queste nuove password casuali, che è praticamente impossibile per la maggior parte delle persone.
Qui entrano in gioco i gestori di password. Si tratta di programmi in grado di memorizzare le password per te e poi inserirle automaticamente ogni volta che ne hai bisogno. Non si può sopravvalutare l’utilità dei gestori di password. Sono un enorme miglioramento per la qualità della tua vita digitale, oltre a incrementare la tua sicurezza online.
Come Proton Pass può aiutarti
Poiché il tuo gestore di password contiene molte informazioni preziose, è una buona idea sceglierne uno sicuro come possibile, ecco perché abbiamo sviluppato Proton Pass. Come tutti i prodotti Proton, utilizza la crittografia end-to-end per mantenere i dati al sicuro in ogni momento, il che significa che anche nel raro caso di una violazione, tutti i tuoi dati sarebbero comunque protetti.
Proton Pass include un generatore di password integrato, oltre all’opzione di memorizzare e compilare automaticamente password e carte di credito e persino aggiungere note sicure. Tutte queste informazioni possono essere condivise con amici e familiari quando necessario e rimanere sicure.
Inoltre, Proton Pass ti permette anche di creare alias email che nascondono il tuo vero indirizzo email da marketer e cybercriminali, offrendo un ulteriore strato di protezione contro gli attacchi di riempimento delle credenziali.
Se vuoi proteggerti dagli attacchi di riempimento delle credenziali e allo stesso tempo disporre di un gestore di password facile da usare che ti permetta di fare più che semplicemente memorizzare password, crea oggi stesso un account Proton Pass gratuito.