Solo pochi giorni fa, Mark Zuckerberg ha rimediato una figuraccia quando si è scoperto che i suoi account Twitter e LinkedIn sono stati violati. Può capitare a tutti ma il fatto che la password scelta da uno degli uomini più ricchi del mondo hi-tech (e non solo) fosse “dadada” lo ha reso oggetto di non poche battute. Sembra che Mark sia in buona compagnia: c’è un hacker che sta vendendo – a poco prezzo tra l’altro – un database contenete una trentina di milioni di account Twitter.
Twitter ha smentito la violazione ai propri server e più di un esperto di sicurezza si è rivelato scettico. Non sulla disponibilità di questi account ma sul fatto che siano stati ottenuti “bucando” il popolare Social Newtork. A far insospettire sono il prezzo, basso rispetto ad altri database simili, e le password, estremamente deboli: di questi account, ben 120.000 avevano scelto “123456” e non mancano parecchi “qwerty”, “password” e via dicendo. Tanto banali che secondo alcuni si tratta di account inattivi, come quello “sottratto” a Zuckerberg che – per la cronaca – non è presente in questo database.
Secondo gli esperti di sicurezza più che di un attacco al sito se ne ipotizza uno via browser contro gli utenti, uno dei tanti malware che si insediano senza farsi notare sul computer e rubano silenziosamente password e dati vari. Un opinione condivisa da chi gestisce Twitter che al momento non ha diramato alcun comunicato per suggerire ai suoi utenti di cambiare la chiave d’accesso (avviso invece che ha diramato LinkedIn non appena appurata la violazione).
Quale che sia l’origine, lascia perplessi il fatto che ancora oggi moltissime persone prendano sottogamba la sicurezza. Non solo ancora tantissimi utilizzano password decisamente banali e facilissime da scoprire anche senza essere degli hacker: ancora in pochi utilizzano lo strumenti di autenticazione doppia fornito da Twitter (ma anche Facebook e la maggior parte dei servizi online) che aggiunge un livello ulteriore di protezione particolarmente difficile da aggirare. Un simile scenario dimostra come, al di là della sicurezza che una piattaforma è in grado di offrire, l’anello più debole rimane sempre l’utente e il suo buon senso. Dare poca importanza alla scelta della password e ai protocolli di sicurezza è un po’ come dotarsi di una serratura di ottima qualità e lasciare la chiave sotto lo zerbino, certi che a nessuno verrà mai in mente di guardare lì sotto.
Con un aggravante: tipicamente, chi usa password banali tende a riutilizzare le stesse su più siti e, di conseguenza, diventa vulnerabile su più fronti, soprattutto quando si sfrutta la comodità di Facebook Connect.
Ora, è facile criticare chi sceglie password tanto scontate ma siamo certi di essere senza peccato? Quando si ha a che fare con decine, se non centinaia, di account la tentazione di riutilizzare chiavi di accesso ripetute è tanta e si tende anche a non seguire le regole d’oro che si sono state insegnate: usare maiuscole e minuscole, caratteri alfanumerici, non scendere sotto gli 8 caratteri e via dicendo. Come spesso accade, tendiamo a prendere precauzioni solo quando siamo personalmente coinvolti ma oggi più che mai non possiamo più permetterci questo lusso, soprattutto sui Social Network, ai quali affidiamo i particolari più intimi della nostra vita. Magari nessuno ci ruberà del denaro ma solo l’idea che qualcuno possa sbirciare fra le foto che credevamo private dovrebbe essere sufficiente a renderci molto più prudenti.
