I correttori di Google e Microsoft espongono le password durante il controllo online, ma la vulnerabilità è già in fase di correzione.
Un’azienda di cybersicurezza americana ha scoperto che il controllo ortografico di alcuni browser (Chrome ed Edge) invia le password al server dell’azienda per farle esaminare, esponendole al rischio di essere intercettate o rubate.
Il problema è stato riscontrato prima su Chrome e poi sul browser di casa Microsoft, per chi ha installato l’add-on Microsoft Editor Spelling & Grammar Checker. Secondo i ricercatori dell’azienda che ha scoperto il problema, questo tipo di implementazione è poco sicura e non rispetta la privacy degli utenti.
Google ha replicato dicendo che le password non vengono salvate sui server e non vengono associate ad altri dati sugli utenti. Inoltre, la responsabilità in parte è dei siti web: il controllo ortografico può essere disattivato per certi elementi inserendo un tag nel codice del sito. Sembra incredibile, ma questo piccolo accorgimento non è stato rispettato persino da alcuni giganti di Internet, tra cui anche Facebook.
Google ha anche detto che modificherà il comportamento di Chrome in modo da escludere le password dall’applicazione del controllo ortografico. In ogni caso, gli utenti preoccupati da questa minaccia possono disattivare il controllo ortografico (anche se si tratta di una soluzione un po’ drastica, vista la comodità di questo servizio).
Nella maggior parte degli attacchi e delle minacce informatiche, il vero anello debole è l’essere umano.
Quanto sono sicuri i browser?
Quando una piccola società di cybersecurity trova una vulnerabilità in un software utilizzato da milioni di persone in tutto il mondo, viene subito da chiedersi quali sono i rischi e che responsabilità hanno le big tech nei confronti degli utenti.
Per il momento, sembra che questa vulnerabilità non sia stata sfruttata dagli hacker e a breve sarà corretta su entrambi i fronti, sia sul lato server di Google e Microsoft sia sul lato client dei siti, che possono escludere i moduli di login dall’ambito di applicazione del controllo ortografico.
Ma quanto sono sicuri i browser che utilizziamo? In realtà, la risposta è “molto sicuri”, almeno per la maggior parte degli utenti che fanno un uso individuale dei programmi e di Internet. Nella maggior parte degli attacchi e delle minacce informatiche, il vero anello debole è l’essere umano, e le password sono un esempio perfetto di questo fenomeno.
Come proteggere le password online
Il rischio di un furto di credenziali è sempre presente, dato che esistono centinaia di tecniche e malware ideati proprio per questo scopo. Tuttavia, basta seguire alcune semplici norme di comportamento online per ridurre al minimo questo rischio e proteggere efficacemente le proprie password.
Ne abbiamo parlato spesso nel nostro blog, ma vale la pena ricordare brevemente i nostri consigli per proteggere le password:
- Non salvare le password in un file. Se dovessi prendere un malware o se un hacker riuscisse ad accedere al tuo dispositivo, si troverebbe tutte le tue password servite su un piatto d’argento. Peggio ancora, se dovessi essere vittima di un attacco ransomware, perderesti tutte le credenziali di accesso ai tuoi account online.
- Non riutilizzare le password. Molte (troppe) persone usano una sola password per tutti gli account, per non doverne memorizzare decine. Sappiamo quanto sia difficile e laborioso, ma la soluzione non è usare una sola password, perché se qualcuno dovesse rubarla avrebbe accesso a tutti i tuoi account.
LEGGI ANCHE: 66 statistiche sulle password che cambieranno le tue abitudini online
- Non condividere le password con altre persone e non comunicarle per chat o via email. Devi sempre pensare all’eventualità di un furto o di un attacco informatico: se un hacker dovesse mettere le mani sul tuo portatile, la prima cosa che farebbe sarebbe controllare le tue email alla ricerca di dati personali utili.
- Usa password complesse. Per quanto sia fastidioso creare password efficaci, composte da combinazioni casuali di numeri, lettere e caratteri speciali, è l’unico modo per proteggere le password dagli attacchi di forza bruta e a dizionario. Le password che possono essere dedotte dai profili social o altre informazioni pubbliche, come la data di nascita o il nome del tuo cane, sono a rischio e andrebbero rigorosamente evitate.
- Utilizza un password manager dedicato al posto di quello del browser. Un buon password manager è la soluzione a tutti i problemi che abbiamo appena visto, perché prescinde dalla sicurezza del browser, crea per te password complesse, le memorizza (così non hai più scuse per riutilizzarle) ed evita che tu abbia bisogno di scriverle in un file.
Le password che possono essere dedotte, come la data di nascita o il nome del tuo cane, sono a rischio e andrebbero rigorosamente evitate.
Chrome ed Edge risolveranno subito questo problema di sicurezza, ma la vulnerabilità delle password online rimane una delle sfide più grandi della cybersicurezza. Gli strumenti ci sono, ovvero i password manager, sta a noi utenti integrarli nelle nostre abitudini online e imparare a navigare in modo sicuro.
Per concludere, vogliamo sottolineare quanto sia importante informarsi regolarmente sugli ultimi sviluppi della cybersicurezza: conoscere le vulnerabilità attuali, le truffe online del momento e le soluzioni per ridurre i rischi è il metodo più efficace per proteggersi.
CONTINUA A LEGGERE: Browser in the browser, la nuova modalità di attacchi di phishing
Buona navigazione e buona protezione delle password!