Credential Stuffing: scopri cos’è e perché evitarlo

Pubblicato il da

Negli ultimi anni è esponenzialmente cresciuta la necessità di mantenere al sicuro i dati d’accesso ai propri profili da eventuali attacchi hacker. Dalla casella di posta elettronica all’applicazione della banca, dai profili social alle piattaforme streaming, l’accesso a questi portali si basa sempre su due fattori: username (nome utente, talvolta un indirizzo email) e password.
L’importanza delle password è indiscussa: è proprio grazie a questi codici alfanumerici – scelti dall’utente nel momento in cui crea il proprio profilo su una piattaforma – che gli accessi sono sempre protetti.
Tuttavia, capita sempre più spesso che alcuni utenti, per evitare di ricordare tante password diverse, optino per l’utilizzo della stessa su ogni profilo, così da non dimenticarla.
Quella che può sembrare una banale decisione di comodo, espone invece tutti gli utenti che la adottano a pericoli insidiosi, come ad esempio il “credential stuffing”.
Scopriamo che cos’è il credential stuffing e perchè è importante evitarlo

Il credential stuffing (dall’inglese, letteralmente “riempimento di credenziali”) è una tecnica di attacco informatico in cui un hacker (ovvero un esperto di informatica in grado di introdursi in reti di computer e server senza autorizzazione, spesso violando profili di utenti vittime dell’attacco) utilizza una lista di nomi utente e password trapelate da precedenti violazioni di dati per tentare di accedere a account su diversi siti web. L’obiettivo dell’hacker in questo tipo di attacco è proprio sfruttare la tendenza delle persone a riutilizzare le stesse credenziali su più piattaforme.

Ecco in breve come funziona: una volta ottenuta una lista di credenziali rubate, vengono utilizzati programmi automatizzati per provare ad accedere a numerosi account su vari siti web, sperando che le vittime abbiano utilizzato la stessa combinazione di nome utente e password in più luoghi.
I rischi associati al credential stuffing sono gli stessi associati a qualunque furto di password, e possono quindi avere ripercussioni gravi per le vittime. La differenza consiste nel fatto che, se un singolo attacco hacker può definirsi un caso isolato facilmente risolvibile, il credential stuffing consiste in diversi attacchi in contemporanea, tanti quanti sono i portali online che utilizzano la medesima password.

Tra i principali rischi, il primo è ovviamente la violazione della privacy; se infatti un hacker riesce ad accedere a un account, può accedere a informazioni personali, a conversazioni private e ai dati sensibili. In più, una volta ottenuto l’accesso, l’hacker potrebbe utilizzare le informazioni rubate per commettere frodi, aprire nuovi account a tuo nome, o persino prendere in prestito denaro, rubando l’identità dell’utente colpito. Proprio collegato al furto d’identità c’è il rischio che l’accesso a un account possa essere utilizzato per diffondere informazioni false o dannose, danneggiando così la reputazione della vittima online.
L’identità non è però l’unica “refurtiva” su cui può metter mano: se infatti dovesse riuscire ad accedere ad account bancari o a carte di credito salvate, l’hacker potrebbe effettuare transazioni non autorizzate, causando perdite finanziarie.

Fortunatamente, ci sono misure che gli utenti possono prendere per proteggersi dal credential stuffing e mantenere al sicuro i propri account online:

  • utilizzare password uniche e complesse: bisogna necessariamente evitare di utilizzare la stessa password su più siti web. É più sicuro optare per password complesse (in genere dagli 8 ai 12 caratteri) che combinano lettere maiuscole e minuscole, numeri e simboli.
  • affidarsi a un gestore di password: in breve, un gestore di password è un programma o app che archivia in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web. Inoltre può aiutare gli utenti a generare e memorizzare password uniche e complesse per ciascun sito web, rendendo più difficile per gli hacker accedere ai tuoi account. Infine, diversi dispositivi integrano già questa funzione, che in alcuni casi dev’essere solo attivata per essere usata.
  • abilitare l’autenticazione a due fattori (2FA): L’autenticazione a due fattori aggiunge un ulteriore livello di sicurezza: consiste nella richiesta di un codice o di una notifica sul tuo telefono ogni volta che accedi al tuo account. Il codice viene generato automaticamente dalla app che si occupa di 2FA e cambia con una frequenza che non consentirebbe a un ipotetico hacker di appropriarsene.
  • rimanere informati sulle violazioni dei dati: andrebbero monitorate regolarmente le notizie relative a violazioni o a grandi furti di dati. Qualora si venisse a sapere che uno dei servizi utilizzati è stato compromesso, bisogna cambiare immediatamente le proprie password.

Infine, è importante sapere che possono essere utilizzati diversi strumenti gratuiti disponibili online per verificare se le proprie credenziali sono state trapelate in precedenti violazioni dei dati.

Finanziato dal MIMIT D.M. 6/5/2022 art. 5

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *