Cos’è il Credential Stuffing
È l’utilizzo di una password, trafugata o individuata, per accedere ad un qualunque sistema protetto. Oltre ai furti di interi archivi di user+password, e del successivo utilizzo criminale, il Credential Stuffing utilizza anche la diffusa abitudine degli utenti di utilizzare password e credenziali molto semplici da memorizzare (a volte, direttamente il nome e cognome o la data di nascita che, ricordiamo, sono dati spesso pubblici e non sensibili) o le stesse password per più sistemi. Quindi, se state utilizzando le stesse credenziali per il vostro lavoro iperprotetto e per il vostro sito di foto delle vacanze, facile da “bucare” da parte degli hacker, state facendo un favore a tutti coloro che vogliono entrare nei vostri sistemi. È più diffuso di quanto sembri.
Come ci si difende
Dato che la password è un metodo di protezione “umanamente” debole e che, sovente, si è alle prese con una media minima di cinque password e credenziali al giorno, la tentazione di usare la stessa formula per tutti i contesti è molto forte. Ma è NECESSARIO adottare sistemi di differenziazione fra le password per il lavoro, per i sistemi bancari e i dati sensibili, da tutti gli altri. Ed è PERICOLOSO lasciare file di credenziali sui propri computer, quando non un post-it con tutti gli accessi nella cover del cellulare.
Furti di identità, operazioni finanziarie fuori controllo, ricatti ed estorsioni, lavori fermi e clienti perduti, possono essere il risultato di una leggerezza non percepita come tale. Le Giornate Mondiali delle Password servono anche a ricordarvi questo. Per tutto il resto, c’è GlobalNet.