Facebook ha deciso di scandagliare la Rete alla ricerca di password rubate. Un gesto che ben si presta alla facile battuta sulla violazione della privacy, ma si tratta di realtà dell'esatto contrario: la società cercherà attivamente dati sottratti per tenere più al sicuro i propri utenti.
L'informazione di partenza è che di password ne vengono rubate tutti i giorni: a volte si tratta di operazioni colossali come l'attacco che subì Adobe un paio di anni fa (Adobe account rubati: 38 milioni e forse di più, altro che 3) ma più spesso di fatti molto meno spettacolari.
Invariabilmente c'è una lista di nomi e password che circola su canali poco visibili, che si tratti della normale Internet o del (non troppo) misterioso Deep Web. Chi mette le mani su queste password conta sul fatto che siano valide anche altrove, magari proprio su Facebook, o meglio ancora su Gmail o altri servizi di webmail.
Il problema in questo caso è che spesso usiamo sempre la stessa password, o ricicliamo quelle tre o quattro. Facebook forse non può educarci tutti, ma può mettersi attivamente alla ricerca di dati sottratti e confrontarli con il proprio database. Il sistema confronta le password rubate, dopo averle sottoposte ad hashing, con i dati di Facebook. Se c'è una corrispondenza, e quindi la possibilità di una violazione, all'utente in questione sarà richiesto di cambiare la password.
Allo stesso tempo Facebook raccomanda di attivare l'autenticazione in due passaggi (two-step authentication, TSA), tramite l'applicazione per smartphone o SMS. Dove possibile, poi, la società suggerisce di usare il login via Facebook invece di creare un nuovo account (magari con la stessa password); questo sistema è molto diffuso, ma sono relativamente comuni anche altri metodi di login, come quelli via Google, Twitter, Disqus e altri. Quanto alla complessità della password stessa, ci sono anche tante persone che cercano di usare stringhe come "12345" oppure "QWERTY", ma fortunatamente le aziende più importanti del settore hanno messo in piedi sistemi che richiedono password più complesse.
Come sempre, ci uniamo al consiglio di usare la TSA dovunque sia possibile (sveglia, Amazon!) e di affidarsi a un password manager per creare password sempre diverse senza preoccuparsi di doversele ricordare. In redazione vanno per la maggiore KeePass o OnePassword, ma ci sono tanti prodotti tra cui scegliere (Software per ricordare le password, quale scegliere?).