e-mail

Password 101: non inserire le tue password ovunque ti vengano richieste

Come evitare di rivelare la propria password ai truffatori quando si accede a siti di terze parti o si visualizzano documenti “criptati” o “riservati”.

Stan Kaminsky
24 Gen 2025

Ogni volta che ti viene chiesto di accedere a un servizio online, di verificare la tua identità o di scaricare un documento tramite un link, solitamente ti viene chiesto di inserire il tuo nome utente e la tua password. È così comune che la maggior parte di noi lo fa automaticamente, senza pensarci due volte. Tuttavia, i truffatori possono indurti con l’inganno a fornire loro le password della tua e-mail, dei siti Web dei servizi governativi, dei servizi bancari o dei social network, imitando il modulo di accesso del servizio sul loro sito Web (di terze parti). Non cascarci: solo il servizio di posta elettronica può chiedere di verificare la password della tua posta elettronica, nessun altro! Lo stesso vale per i servizi governativi, le banche e i social network.

Per evitare di cadere vittima di frodi, ogni volta che inserisci una password, prenditi un momento per controllare esattamente dove stai effettuando l’accesso e in quale finestra ti vengono richieste le credenziali. In questo caso si possono verificare tre scenari principali: due sicuri, uno fraudolento. Eccoli qui.

Scenari sicuri per l’inserimento delle password

Accedendo a posta elettronica, social network o a un servizio online tramite il sito Web ufficiale. Questo è lo scenario più semplice, ma devi assicurarti di essere effettivamente sul sito legittimo, ovvero senza errori nell’URL. Se accedi al servizio online facendo clic su un collegamento in un’e-mail o nei risultati di ricerca, controlla attentamente la barra degli indirizzi del browser prima di inserire la password. Assicurati che sia il nome del servizio che l’indirizzo del sito siano corretti e corrispondano tra loro.

Perché è così importante prendersi un minuto in più per controllare? Creare copie di phishing di siti legittimi è uno dei trucchi preferiti dei truffatori. L’indirizzo di un sito di phishing potrebbe essere quasi identico all’originale, con una differenza di una o due lettere (ad esempio, la lettera “i” potrebbe essere sostituita con una “I”) oppure potrebbe utilizzare una zona di dominio diversa.

È anche piuttosto semplice creare un collegamento che sembra indirizzare a un sito ma in realtà porta altrove. Verificalo tu stesso: questo link sembra portare al nostro blog kaspersky.it/blog, ma in realtà ti reindirizza all’altro nostro blog, securelist.com.

L’immagine sottostante mostra esempi di pagine di accesso legittime per vari servizi, in cui puoi inserire in tutta sicurezza il tuo nome utente e la tua password.

Esempi di pagine di accesso legittime per vari servizi. Inserire le credenziali qui è sicuro

Accedere a un sito tramite un servizio ausiliario. Si tratta di un metodo pratico per effettuare l’accesso senza dover creare password aggiuntive; viene comunemente utilizzato per i servizi di archiviazione file, gli strumenti di collaborazione e così via. I servizi ausiliari sono solitamente grandi provider di posta elettronica, social network o siti di servizi governativi. Il pulsante di accesso potrebbe riportare una dicitura del tipo “Continua con Google”, “Continua con Facebook”, “Continua con Apple” e così via.

Facendo clic sul pulsante viene aperta un’altra finestra appartenente al servizio ausiliario (Google, Facebook, Apple e così via). Funziona così: il servizio esterno verifica la tua identità e la conferma al sito a cui stai effettuando l’accesso. È fondamentale controllare gli indirizzi in entrambe le finestre: assicurati che la finestra pop-up che ti chiede la password appartenga davvero al servizio ausiliario che ti aspettavi (Google, Facebook, Apple e così via) e che la finestra principale appartenga davvero al sito legittimo a cui stai cercando di accedere. In molti casi, la finestra pop-up indica anche a quale sito effettuerai l’accesso. Questo meccanismo di servizio ausiliario ti consente di accedere al sito desiderato senza che quest’ultimo veda mai la tua password. La verifica della password avviene da parte del servizio ausiliario (Google, Facebook, Apple e così via). Gli specialisti IT chiamano questo metodo di accesso Single Sign-On (SSO).

Esempio di accesso SSO a eBay tramite un servizio ausiliario (Google) che verifica la password. Anche inserire le credenziali qui è sicuro

Scenario fraudolento: furto di password

Ricevi un’e-mail o un messaggio con un link di accesso, ci fai clic sopra e finisci su un sito che assomiglia molto a un servizio di posta elettronica legittimo, a un social network, a un servizio di condivisione file o a un servizio di firma elettronica. Il sito ti chiede di accedere al tuo account per dimostrare la tua identità. A tal fine, ti verrà chiesto di inserire il tuo indirizzo email e la password per la posta elettronica, il sito dei servizi governativi, il servizio bancario o il social network direttamente su questo sito.

In questo scenario, o non c’è alcuna finestra pop-up da un servizio legittimo (come quella nel caso precedente) oppure la finestra aggiuntiva appartiene anch’essa a un sito di terze parti. Questa è una truffa progettata per rubare la password del tuo account! Ricorda che un sito di terze parti non può verificare la tua password: semplicemente non la conosce e le password non vengono mai condivise tra i siti.

Guarda la barra degli indirizzi: sicuramente non si tratta di Netflix! Non inserire qui le tue credenziali!

Come proteggersi dal furto di password?

Controlla attentamente l’indirizzo del sito che richiede la tua password.
Inserisci la password per un servizio solo sul sito Web ufficiale del servizio stesso, e non altrove.
A volte viene visualizzata una finestra separata per l’immissione della password. Assicurati che questa finestra sia una normale finestra del browser in cui puoi vedere la barra degli indirizzi e verificare l’indirizzo.
I truffatori possono creare siti simili con indirizzi difficili da distinguere da quelli reali. Per evitare di cadere in una simile trappola, è opportuno utilizzare una protezione anti-phishing affidabile su tutti i dispositivi e tutte le piattaforme. Noi consigliamo Kaspersky Premium, vincitore di un test anti-phishing nel 2024.
Un metodo di protezione avanzato è l’utilizzo di uno strumento di gestione delle password per tutti i tuoi account. Verifica l’indirizzo effettivo della pagina e non inserirà mai le tue credenziali su un sito sconosciuto, indipendentemente da quanto possa sembrare convincente.

Nuovi dispositivi presentati al CES 2025 e il loro impatto sulla sicurezza

Quanto sono sicure le principali innovazioni del CES 2025?

Come da tradizione, ogni gennaio al Consumer Electronics Show di Las Vegas vengono presentati centinaia di nuovi dispositivi ed elettrodomestici intelligenti. Come influenzeranno la nostra cybersecurity?

Privacy e bambini

Password 101: non inserire le tue password ovunque ti vengano richieste

Scenari sicuri per l’inserimento delle password

Scenario fraudolento: furto di password

Come proteggersi dal furto di password?

Cosa non tenere nella vostra casella di posta elettronica

A caccia di mailing list

Quanto sono sicure le principali innovazioni del CES 2025?

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia