In qualità di Collaboratore Principale per il forum di supporto di Gmail, mi capita di assistere utenti con problemi dovuti ad account violati e compromessi da hacker, che spesso eliminano i messaggi, cambiano le impostazioni di recupero (quando presenti) e modificano la lingua spesso con l’arabo per rendere ancora più complesso il ripristino corretto del proprio account.

Questo articolo a differenza di qualsiasi altro reperibile online, anche scritto da noi Collaboratori, non solo vuole ricordare a tutti l’importanza della prevenzione dei propri account, ma riporta la mia esperienza in prima persona questa volta nei panni di “vittima” o quasi.

Ieri sera infatti, (rispetto alla data di questo articolo) o per meglio dire in data 12 Agosto 2015, stavo rientrando a casa alle 21:30 circa.

Mentre andavo a lavarmi i denti, sento la notifica di una delle tante mail che ricevo giornalmente, quindi  tiro il telefono fuori dalla tasca per dare un’occhiata e capire se era qualcosa di importante o meno, ma non avrei mai immaginato di trovarmi di fronte a questo messaggio.

Accesso sospetto all'account

Per qualche istante sono rimasto un pò incredulo, di tanti casi trattati nel forum questa volta era toccata a me, uno dei Collaboratori Principali.

Mi metto dunque al pc per capire un pò meglio la situazione e modificare la mia password, che anche se di 14 caratteri, era stata violata o reperita in qualche modo, magari potrei aver commesso l’errore di usarla in qualche altro servizio in passato, che magari è stato violato come nel caso di Ebay  o magari potrebbe essere stata intercettata tramite un wifi compromesso in qualche hotel… la certezza di come sia potuto accadere non l’avrò mai.

Comunque non mi sono allarmato eccessivamente perchè Google aveva comunque bloccato l’accesso, e sul mio account da anni era attiva la verifica in 2 passaggi, ma il cambio password in questi casi và fatto.

Prima di procedere al cambio password sono andato a verificare nel pannello di controllo e nei dettagli di Gmail la provenienza del tentativo di accesso, e come sotto riportato, dal pannello di controllo l’indirizzo in formato IPV6, risulta proveniente dalla Cina, mentre dai dettagli di Gmail si vede un indirizzo IPV4 “classico” che però è ad uso riservato… ma questi sono dettagli tecnici per cui li lasciamo stare.

Dispostivo sconosciuto
Accesso da dispositivo sconosciuto
In conclusione (e questa volta per esperienza personale) ci tengo a ribadire a chiunque non lo abbia già fatto l’importanza di abilitare la verifica in 2 passaggi. In questo caso parliamo di account Google, che è stato fra i primi ad introdurla e a consigliare agli utenti la sua abilitazione, ma in generale qualsiasi servizio abbia introdotto questo ulteriore livello di sicurezza è bene abilitarlo, la semplice password ad oggi non è più sufficiente.
Ecco il link per la verifica in 2 passaggi Google https://www.google.com/landing/2step/
Non usare mai, la password di Google per registrarsi ad un qualsiasi sito, sia se inserite o meno la mail di Google, per la registrazione. Spesso nei siti chiedono inserire la mail e la password per generare un account, ma la password non deve essere quella dell’account che viene inserito.
Usare password lunghe, complesse e che non siano banali. Di base il minimo in Google è 8 caratteri, ma se superiori e meglio, inoltre inserire numeri e segni di punteggiatura ne incrementa la complessità. Anche P4ssw0rd! è superiore agli 8 caratteri, contiene numeri e segni di punteggiatura quindi “formalmente” è una password robusta ma essendo banale e probabilmente verrà violata in pochissimo tempo, e comunque è consigliato modificarla periodicamente.
Un ultimo appunto riguardo la sicurezza è quello di impostare un indirizzo mail e un numero di cellulare come opzioni di backup dell’account, e mantenere aggiornate le informazioni qualora dovessero variare.
Inoltre per chi (spero tutti) abiliterà la verifica in 2 passaggi, ricordo di stampare e mantenere sempre con se i codici di emergenza qualora non possiate ricevere sms al vostro numero o utilizzare l’applicazione Google Authenticator.
Un saluto a tutti