Troy Hunt, fondatore dell’iniziativa “Have I Been Pwned“, ha appena annunciato che l’Italia diventa partner del progetto ed è quindi il 29esimo Stato a sposarne la causa. Il nostro Paese compie dunque un ulteriore passo avanti nel lavoro per la cybersecurity, cercando di blindare una volta di più le proprie infrastrutture critiche e le reti principali: dapprima si è alzato l’allarme in conseguenza degli eventi bellici in Ucraina; a ruota si è avviato un approfondimento sull’utilizzo di software Kaspersky nella Pubblica Amministrazione; ora si inizia a lavorare sulle password per escludere possibili motivi di fragilità ulteriore.
Have I Been Pwned è un servizio che molti utenti privati hanno già conosciuto e provato nel tempo: consente di verificare se qualche proprio account sia stato violato e se la propria password possa essere disponibile su qualche database già venuto in chiaro a seguito di una qualche violazione (l’uso di password manager è in tal senso un espediente sempre più importante). Ciò non consente di avere una fotografia certa e completa dei propri account o della propria esposizione, ma è con buona approssimazione un ritratto del modo in cui i malintenzionati hanno la possibilità di accedere alle password altrui violando server e servizi su cui depositiamo i nostri dati personali.
Have I Been Pwned?
L’ingresso delle istituzioni italiani nel progetto consentirà la verifica puntuale degli indirizzi email che fanno capo alla Pubblica Amministrazione, così da capire se ci sia stata qualche violazione o se le password siano state affidate a server eccessivamente fragili e tali da esporre account (e privilegi correlati) all’abuso da parte di terzi.
L’accesso alle API di Have I Been Pwned sarà in mano allo CSIRT (Computer Security Incident Response Team): si potranno effettuare interrogazioni mirate e senza limiti per verificare il database a proposito dell’eventuale ritrovamento in pubblico di password che dovrebbero invece restare segrete. Questo sistema consentirà di individuare funzionari i cui account siano stati violati e possano consentire l’accesso a dati, servizi e informazioni che dovrebbero essere segreti. Si tratta di un aspetto fondamentale soprattutto in questo contesto, nel quale in ballo vi sono forti motivi economico e geopolitici a motivare e stimolare violazioni dall’estero.
Lo CSIRT ha già alzato il livello di allarme soprattutto attorno a ministeri e infrastrutture critiche, ma la prima precauzione periferica da portare avanti è l’assicurare i dati ed i servizi ai soli aventi diritto: da adesso in avanti questo controllo sarà automatizzato e coadiuvato dalle informazioni che Have I Been Pwned è in grado di mettere insieme.
Come gestire le password
Quel che a livello istituzionale va fatto seguendo i protocolli di sicurezza interni, nel privato può essere portato avanti attraverso l’utilizzo di specifici password manager (qui puoi scaricare la soluzione Norton, oppure qui puoi scaricare l’alternativa NordPass) che possano coadiuvare memoria e strategie per l’uso di password complesse e mai ripetute a cavallo tra più servizi. Il rischio è infatti che un database possa essere violato e la propria password possa essere esposta in abbinata al proprio indirizzo email. Have I Been Pwned può verificare proprio questi eventi, consentendo di visualizzare quali dei propri account siano esposti e quali tra le proprie password siano state pubblicamente svelate.