Un’azienda di cybersicurezza americana ha scoperto che il controllo ortografico di alcuni browser (Chrome e Edge) invia le password al server dell’azienda per farle esaminare, esponendole al rischio di essere intercettate o rubate, ha messo in evidenza Panda Security.
Il problema è stato riscontrato prima su Chrome e poi sul owser di casa Microsoft, per chi ha installato l’add-on Microsoft Editor Spelling & Grammar Checker. Secondo i ricercatori dell’azienda – prosegue il report di Panda Security – questo tipo di implementazione è poco sicura e non rispetta la privacy degli utenti.
La replica di Google non si è fatta attendere affermando che le password non vengono salvate sui server e non vengono associate ad altri dati sugli utenti. Inoltre, il gigante di Mountain View ha dichiarato che la responsabilità in parte è dei siti web che non hanno disattivato il controllo ortografico per determinati elementi con un codice del sito. Ad ogni modo – sottolinea Panda Security –, gli utenti preoccupati da questa minaccia possono disattivare il controllo ortografico.
Per il momento, sembra che la vulnerabilità appena descritta non sia stata sfruttata dai cybercriminali e a breve sarà corretta su entrambi i fronti, sia sul lato server di Google e Microsoft sia sul lato client dei siti, che possono escludere i moduli di login dall’ambito di applicazione del controllo ortografico.
Da questa circostanza, afferma Panda Security, nasce una domanda: quanto sono sicuri i browser? In realtà, la maggioranza è “molto sicura”, almeno per gli utenti che fanno un uso individuale dei programmi e di Internet. Nella maggior parte degli attacchi e delle minacce informatiche, il vero anello debole è l’essere umano, e le password sono un esempio perfetto di questo fenomeno.
A questo proposito, Panda Security ha elaborato alcuni consigli per gli utenti su come proteggere le password online.
Furto di credenziali, i consigli di Panda Security
Il principale rischio riguarda il furto di credenziali, purtroppo esistono centinaia di tecniche e malware ideati proprio per questo scopo. Tuttavia, basta seguire alcune semplici norme di comportamento online per ridurre al minimo questo rischio e proteggere efficacemente le proprie password:
- Non salvare le password in un file: in caso di malware o di violazione di un dispositivo da parte di un cybercriminale, questi troverebbero tutte le password servite su un piatto d’argento.
- Non riutilizzare le password: molti utenti usano una sola password per tutti gli account, per non doverne memorizzare decine. Sappiamo quanto sia difficile e laborioso, ma la soluzione non è usare una sola password, perché se qualcuno dovesse rubarla avrebbe accesso ad ogni account.
- Non condividere le password: è assolutamente sconsigliato condividere con altre persone credenziali per chat o via email. Se un cybercriminale riuscisse ad accedere ad un pc, la prima cosa che farebbe sarebbe controllare le email alla ricerca di dati personali utili.
- Usare password complesse: per quanto sia fastidioso creare password efficaci, composte da combinazioni casuali di numeri, lettere e caratteri speciali, è l’unico modo per proteggere le password dagli attacchi di forza bruta e a dizionario. Le password che possono essere dedotte dai profili social o altre informazioni pubbliche, come la data di nascita, sono a rischio e andrebbero rigorosamente evitate.
- Utilizzare un password manager dedicato al posto di quello del browse: un buon password manager è la soluzione a tutti i problemi che abbiamo appena visto, perché prescinde dalla sicurezza del browser, crea password complesse, le memorizza ed evita la necessità di scriverle in un file.
Chrome ed Edge stanno risolvendo questo problema di sicurezza, ma la vulnerabilità delle password online rimane una delle sfide più grandi della cybersicurezza. Gli strumenti come i password manager sono fondamentali – sostiene Panda Security – ma sta agli utenti integrarli nelle proprie abitudini online e imparare a navigare in modo sicuro.
Non è mai superfluo sottolineare quanto sia importante informarsi regolarmente sugli ultimi sviluppi della cybersicurezza: conoscere le vulnerabilità attuali, le truffe online del momento e le soluzioni per ridurre i rischi è il metodo più efficace per proteggersi. Perché come detto in precedenza, il vero anello debole della cybersicurezza resta l’essere umano.