Un’azienda di cybersicurezza americana ha scoperto un paio di mesi fa che il controllo ortografico dei browser Chrome ed Edge invia le password al server dell’azienda per farle esaminare, esponendole al rischio di essere intercettate o rubate. Il problema è stato riscontrato prima su Chrome e poi sul browser di casa Microsoft, per chi ha installato l’add-on Microsoft Editor Spelling & Grammar Checker.
Google ha replicato affermando che le password non vengono salvate sui server e non vengono associate ad altri dati sugli utenti e che la responsabilità in parte è dei siti web che non hanno disattivato il controllo ortografico per determinati elementi con un codice del sito. In ogni caso gli utenti possono disattivare il controllo ortografico.
Per il momento, sembra che la vulnerabilità appena descritta non sia stata sfruttata dai cybercriminali e a breve sarà corretta su entrambi i fronti, sia sul lato server di Google e Microsoft sia sul lato client dei siti.
A questo punto però quel che c’è da chiedersi è quanto siano sicuri i browser. In realtà, la maggioranza è sicura e ciò che va sottolineato è che la maggior parte degli attacchi sono dovuti all’essere umano e in particolar modo sono legati proprio alle password.
Panda Security ha elaborato alcuni consigli per gli utenti su come proteggere le password online che riportiamo di seguito.
Come è risaputo, il principale rischio riguarda il furto di credenziali. Purtroppo esistono centinaia di tecniche e malware ideati proprio per questo scopo, ma alcune semplici norme di comportamento online possono aiutare ridurre al minimo il rischio:
- Non salvare le password in un file – in caso di malware o di violazione di un dispositivo da parte di un cybercriminale, questi troverebbero tutte le password servite su un piatto d’argento.
- Non riutilizzare le password – molti utenti usano una sola password per tutti gli account ma in questo caso se qualcuno dovesse rubarla avrebbe accesso ad ogni account.
- Non condividere le password – è sconsigliato condividere con altre persone credenziali per chat o via e-mail.
- Usare password complesse – è l’unico modo per proteggere le password dagli attacchi di forza bruta e a dizionario. Le password che possono essere dedotte dai profili social o altre informazioni pubbliche rappresentano rischio.
- Utilizzare un password manager dedicato al posto di quello del browser – un buon password manager può essere la soluzione ai problemi che abbiamo visto, perché prescinde dalla sicurezza del browser, crea password complesse, le memorizza ed evita la necessità di scriverle in un file.
Chrome ed Edge stanno lavorando per risolvere questo problema di sicurezza, ma la vulnerabilità delle password online rimane una delle sfide più grandi della cybersicurezza. Gli strumenti per prevenire ci sono ma sta agli utenti integrarli nelle proprie abitudini online e imparare a navigare in modo sicuro.
Rimane inoltre informati è importante, poiché conoscere le vulnerabilità, le truffe online del momento e le soluzioni per ridurre i rischi è il metodo più efficace per proteggersi.