Credential stuffing: proteggi i tuoi clienti dal furto di credenziali

Uno studio ha rivelato che nessun’altra industria è coinvolta dal credential stuffing come l’e-commerce. Altri settori non possono dichiararsi completamente sicuri. È giunto il momento di dare un’occhiata più da vicino a questo fenomeno criminale che mette in pericolo i dati di accesso degli utenti.

Cos’è il credential stuffing?

Se non hai mai sentito parlare del credential stuffing di starai chiedendo qual è lo scopo che perseguono i criminali informatici con questo tipo di attacco. La risposta è piuttosto semplice. Il credential stuffing non è altro che il furto e l’uso improprio di credenziali informatiche personali. Utilizzando le credenziali rubate, ottenute tramite un data leak o tramite phishing, gli hacker possono accedere agli account personali delle vittime. La speranza dei criminali è che l’utente utilizzi le stesse informazioni di accesso per più account. La procedura di solito viene automatizzata ricorrendo ai bot che riempiono i campi di login dei vari siti web con le credenziali. Se il login ha esito positivo, si parla di account takeover. Le conseguenze di un account hackerato vanno dal furto di dati sensibili, a transazioni finanziarie fino ad acquisti fraudolenti.

Il credential stuffing minaccia i negozi online

Uno studio ha rivelato che in nessun’altra industria ci sono così spesso tentativi di furto di credenziali come nell’e-commerce. Il 91% del traffico login mondiale nei negozi online è ora generato da hacker o bot a loro collegati. Al secondo e terzo posto ci sono l’aviazione (60%) e il settore bancario (58%).

credential stuffing
Fonte: Statista.

Perché gli hacker si concentrano su questo settore è facile a dirsi: il potenziale nell’e-commerce è molto alto. Negli account degli utenti si nascondono tantissimi dati sensibili come informazioni di pagamento e indirizzi. Gli hacker dopo un account takeover possono anche effettuare acquisti al fine, ad esempio, di rivendere i beni ottenuti. Il credential stuffing può, in linea di principio, essere utilizzato su ogni sito con possibilità di login.

Com’è possibile proteggersi dal furto di credenziali informatiche?

Proteggere i propri utenti dal furto di credenziali è possibile. Purtroppo non tutti conoscono quali sono le tecnologie e le soluzioni migliori per proteggere le proprie credenziali.

L’autenticazione a due fattori contro il credential stuffing

Fortunatamente l’autenticazione a due fattori è una misura preventiva con la quale anche il più piccolo negozio online può frenare professionalmente il pericolo di furto delle credenziali di login. Con l’autenticazione a due fattori il login avviene non solo con la tipica password d’accesso, in più viene richiesto un secondo fattore di autenticazione (risposta a una domanda, codice inviato su un secondo dispositivo, biometria dell’utente) rendendo tutto molto più sicuro. Chi vuole accedere a un account quindi non dovrà solo conoscere la password, ma anche avere accesso al rispettivo smartphone, ad esempio, sul quale viene inviato un codice per completare l’operazione di login.

La prevenzione è metà dell’opera

Meglio prevenire che curare: chi fa un buon lavoro preliminare, nel migliore dei casi, impedisce completamente che le proprie credenziali vengano rubate, annullando ogni pericolo che le proprie credenziali vengano rubate. Sfruttare la crittografia tramite certificati SSL e l’impostazione di politiche di password sicure sono un ottimo esempio.

Crittografia SSL

Con la crittografia SSL non c’è modo di aggirare negozi online (e siti web in generale). Con l’aiuto dei certificati SSL, è possibile garantire che nessuna persona non autorizzata possa leggere il flusso di dati tra il negozio online e il cliente. Viene inoltre impedito l’accesso a informazioni sensibili, come i dati d’accesso. Inoltre, importanti partner Internet come Google o Trusted Shops puniscono i siti che non utilizzano certificati SSL etichettandoli come “non sicuri” o non mostrando il sigillo di sicurezza. In fase d’acquisto di un certificato SSL è possibile scegliere tre livelli di crittografia: Domain Validation (DV), Organization Validation (OV) o Extended Validation (EV). I certificati EV, riconoscibili nella barra degli indirizzi tramite un simbolo di un lucchetto color verde e il nome dell’azienda, offrono la massima protezione. Potrebbe interessarti leggere il nostro articolo su e-commerce e crittografia SSL.

Password sicure

Password come ciao, 12345, o qwertz sono troppo semplici. La scelta della password sta naturalmente all’utente, tuttavia con le giuste istruzioni durante il processo di registrazione si può fare in modo che l’utente crei una password che abbia una maggiore protezione. Gli esperti consigliano, ad esempio, di utilizzare lettere maiuscole e minuscole, caratteri speciali e numeri. Il loro consiglio inoltre è quello di creare password con una lunghezza minima di 8-12 caratteri. A questo proposito leggi come creare una password veramente sicura.

 

Il tema del credential stuffing è importante non solo nell’e-commerce ma in tutto il mondo di Internet. L’autenticazione a due fattori e le dovute precauzioni di sicurezza sono importanti in qualsiasi sito che prevede un accesso tramite login.

Etienne Roser

Redattore online appassionato del mondo digitale. Voglio informare i lettori sui vari temi legati al WWW.

X