Utilizzare la stessa password per qualsiasi cosa può essere molto comodo; tuttavia, è una pratica poco sicura, e dalle conseguenze disastrose. Prendiamo il caso di Marco, un giovane designer.
Marco è una persona normale che, come molti di noi, ha una casella di posta elettronica, un account Facebook, Instagram, Amazon, eBay, Steam e Battle.net, per non parlare di un’altra decina di account su negozi online o sui forum dedicati ai suoi videogiochi preferiti. E tutti questi account sono collegati al suo indirizzo e-mail.
Un bel giorno, il database clienti di uno degli store online sul quale Marco ha creato un account viene coinvolto in una fuga di dati (sembra che il database fosse custodito su un server ad accesso aperto e senza alcuna cifratura). Non sono stati rubati i dati delle carte di credito, ma sì indirizzi e-mail, nomi, password etc. Di primo acchito, sembra che non ci sia nulla di cui preoccuparsi, in fondo queste fughe di dati possono capitare, si tratta di un piccolo store online e il proprietario di un negozio può non essere un esperto in sicurezza informatica, vero?
Nel frattempo, i cybercriminali decidono di tentare la sorte: e se qualcuno ha utilizzato la stessa password dello store online anche per la casella di posta elettronica? E il tentativo va a buon fine, perché Marco utilizza la stessa password su qualsiasi account, aprendo loro le porte della propria e-mail. E sulla casella di posta, i cybercriminali non solo troveranno le foto che Marco ha inviato a Lucia, ma anche i messaggi che Marco ha ricevuto da Amazon, eBay e da altre aziende. E se Marco ha utilizzato la stessa password anche su questi account? I cybercriminali provano allora a collegarsi al suo account Amazon con la stessa password, e anche qui l’esito è positivo.
Dopo essere risaliti alla carta di credito collegata all’account Amazon, i cybercriminali acquistano subito un paio di iPhone Xs per poi passare a Facebook dove iniziano a chiedere soldi agli amici di Marco: “Ragazzi, ho davvero bisogno che mi prestiate un po’ di soldi, domani mi pagano e ve li restituisco immediatamente, lo prometto”. E alcuni pensano che sia stato davvero Marco a mandare il messaggio e mandano il denaro richiesto, che va a finire ovviamente nelle mani dei cybercriminali.
Ma non è finita qui. I furbacchioni cambiano poi le password di ogni account nel quale sono riusciti a entrare (e nel caso di Marco, parliamo di tutti gli account).
Uno degli amici di Facebook di Marco capisce che c’è qualcosa che non va e decide di chiamarlo per capire se sta davvero chiedendo denaro in prestito. In shock, Marco accende subito il computer per cambiare la password di Facebook, ma non può perché è già stata cambiata dai cybercriminali, e Marco viene escluso dal suo stesso account. Prova a ripristinare la password e chiede a Facebook di inviare il link via e-mail per resettarla, ma non può entrare nella sua casella di posta per lo stesso motivo.
Marco capisce di essere stato hackerato, e in tutti i modi possibili. Chiama la banca, blocca le carte di credito, prova disperatamente a cambiare le password dei pochi servizi che non gli sono stati ancora hackerati e chiama i suoi amici per spiegare loro che non è stato lui a chiedere il denaro in prestito. Si scusa con quegli amici che hanno già mandato il denaro e che è andato a finire nelle mani dei cybercriminali, promettendo loro di restituirli.
Infine, Marco si ripromette di non utilizzare mai più la stessa password su servizi diversi, fino a quando avrà vita, e di attivare l’autenticazione a due fattori dove possibile.