L’attacco hacker nel corso del quale sono stati raccolti circa 68 milioni di indirizzi di posta elettronica e corrispondenti hash di password di Dropbox, è stato confermato dalla stessa azienda. E bene chiarire che i dati in circolazione nei “bassifondi” di internet non mostrano in chiaro le password ma la versione cifrata con algoritmi hash di quest’ultime, un sistema che richiede sforzi non indifferenti per ricavare la parola in ordine in chiaro partendo dalle stringhe crittografiche. Vista la mole di dati e il target di riferimento piuttosto interessante dal punto di vista degli hacker, non è da escludere che qualcuno possa prima o poi riuscire a decifrare le password in questione. Come proteggersi?
La prima cosa da fare, si legge nel blog Naked Security di Sophos (azienda specializzata in software di sicurezza) è – se siete iscritti e non l’aveta mai cambiata dal prima del 2012, cambiare la password precedente. Usate una password robusta (lunga, comprensiva di lettere maiuscole e minuscole, numeri e simboli) ma soprattutto attivate la verifica in due passaggi.
La verifica in due passaggi è una funzionalità di sicurezza facoltativa, ma vivamente consigliata. Questa protezione, come abbiamo spiegato varie volte, impedisce a terzi di accedere o utilizzare il proprio account, anche se conoscono la password. Il meccanismo richiede infatti che la identità venga verificata utilizzando uno dei propri dispositivi o un altro metodo approvato prima che sia possibile accedere all’area riservata.
Quando si imposta la verifica in due passaggi, si associano uno o più dispositivi al sistema di verifica. Un dispositivo registrato è un dispositivo controllato dall’utente, che può ricevere codici di verifica (ad esempio con un SMS). È richiesto di fornire almeno un numero di telefono abilitato a ricevere SMS. Ogni volta che si effettua l’accesso per gestire il prorio account da un nuovo dispositivo, bisognerà verificare l’identità inserendo sia la propria password, sia il codice di verifica inviato da Drpnox. Non specificando la password e il codice di verifica, l’accesso all’account verrà negato.
Per attivare la verifica in due passaggi bisogna accedere a dropbox.com, fare fare clic sul prorio nome nell’angolo in alto a destra di qualsiasi pagina per aprire il menu dell’account, selezionare “impostazioni”, selezionare la scheda “Sicurezza” (qui il link veloce) e nella sezione “Verifica in due passaggi” fare clic su Attiva.
Facendo click su “Inizia”, bisogna prima di tutto per sicurezza inserire nuovamente la password per attivare la verifica in due passaggi. Successivamente, verrà offerta la possibilità di scegliere se ricevere il codice di sicurezza con un SMS o utilizzando un’applicazione per dispositivi mobili. Dopo avere attivato la funzione, è possibile aggiungere anche un numero di telefono di backup in grado di ricevere SMS. Se perdiamo il telefono principale, il codice di sicurezza di backup può in questo modo essere inviato al numero di backup.
Prima di attivare la verifica in due passaggi, l’utente riceve dieci codici di backup a 8 cifre. È molto importante copiare questi codici e conservarli in un posto sicuro. Se perdiamo il telefono oppure non riescamo a ricevere o a generare un codice di sicurezza, bisognerà utilizzare uno di questi questi codici di backup per l’accesso di emergenza al proprio Dropbox.
Prima di concludere un consiglio e una curiosità: volete sapere se il vostro indirizzo email è uno tra quelli presenti negli archivi passati e presenti con dati rubati? Fate click su questo link e indicate l’email. Verrà visualizzato l’elenco dei database trafugati nei quali il vostro nome è presente.
