Nel primo caso “you’re fired!” è il retaggio di quando era solo il presentatore dello show televisivo “The Apprentice”, nel secondo è l’acronimo di “Make America Great Again”, il ritornello con cui ha inaugurato la presidenza e di cui nell’ultima password di Twitter ha aggiornato soltanto l’anno, “maga2020!”, appunto.
Ad essere precisi quest’ultima è stata la password dell’account Twitter di Donald Trump fino a una settimana fa, quando, finalmente, il suo staff, su consiglio dei servizi segreti, gliela avrebbe fatta cambiare proprio a seguito della segnalazione del ricercatore che aveva fatto la strabiliante scoperta.
Victor Gevers, così si chiama lo scopritore dell’inguacchio, è lo stesso che nel 2016 indovinò la password precedente, “you’re fired!”, con altri due amici, Edwin e Mattijs.
Stavolta, però, digitando questa password per niente originale, è entrato nel profilo del presidente americano, ha fatto lo screenshot e ha provato a notificare sullo stesso Twitter quanto aveva scoperto. Gevers, esperto di sicurezza informatica, lo ha dichiarato a De Volkskrant, un quotidiano olandese, offrendo come prova lo screenshot dell’account hackerato.
Prima di arrivare alla password giusta Gevers aveva compiuto altri tentativi,
- • !IWillAmericaGreatAgain!
- • MakeAmericaGreatAgain
- • MakeAmericaGreatAgain!
- • Maga2020
- • Maga2020!
- • maga2020!
Bingo! Maga2020! era quella giusta. Il ricercatore però, a suo dire, sperava di essere bloccato dal meccanismo della doppia notifica, la famosa autenticazione a due fattori che richiede l’invio di una seconda password (in genere sul telefonino) per accedere all’account. Ma così non è stato.
I fan di Trump su twitter sono circa 90 milioni ed è facile immaginare se il riuscito hackeraggio fosse stato opera di delinquenti o peggio, agitatori politici. Chissà, avrebbero potuto dichiarare guerra alla Nord Corea con uno dei controversi Tweet del presidente americano. Gevers, racconta, ha cercato di mettere sull’avviso la Cia, la Casa Bianca, l’Fbi e Twitter stesso, “ma non è arrivata alcuna risposta”. Solo dopo tre giorni è stato contattato dal Secret Service, e ringraziato.
Per la cronaca, Twitter ha smentito questa ricostruzione, facendo sapere che la notizia non sarebbe vera. Ma al momento non c’è una presa di posizione ufficiale del social, né una smentita altrettanto ufficiale dello staff del presidente americano.
L’hackeraggio del 2016
Nel 2016 la dinamica era stata simile. I tre hacker, tra cui Victor, dopo aver setacciato il database delle password di LinkedIn, trapelato nel Dark Web alcuni anni prima, avevano trovato una password con hash che sembrava appartenere a donaldtrump@trump.com. Una volta riusciti a estrarre la password dall’hash con un programmino accessibile a tutti chiamato “John The Ripper” hanno provato a sbloccare l’account Twitter dell’allora candidato alla presidenza degli Stati Uniti.
Non sarebbero riusciti a entrare subito nell’account perché l’indirizzo email associato che avevano usato era sbagliato ma, raccontano gli hacker, la password era quella giusta: “you’re Fired!”
Quando i tre hacker hanno inserito l’indirizzo e-mail corretto per l’account, twitter@donaldjtrump.com, l’accesso era stato bloccato perché il social dell’uccellino aveva notato che il tentativo di accesso proveniva dall’Europa e che Trump stesso aveva perso l’accesso da New York.
Usare la stessa password, debole e riconoscibile è un’abitudine di chi ha paura di non ricordarsi la parola magica da inserire ogni volta per i propri account. Lo stesso Mark Zuckerberg usava la password “dadada”. Ma è storia di tutti i giorni che qualcuno si impadronisce delle nostre password. Per questo dal 2013 si celebra in tutto il mondo il World Password Day, la Giornata mondiale della password, ogni primo giovedì del mese di maggio.
L’importanza di una password affidabile composta da più di otto caratteri, con lettere maiuscole, minuscole, numeri e simboli speciali non deve evocare espressioni idiomatiche o abitudini linguistiche, tantomeno le date significative della nostra vita, e neanche il nome del coniuge o la squadra del cuore.
La password non deve avere senso compiuto. Laddove possibile, è però utile acquistare un password manager, o almeno bisogna scegliere una password autogenerata dal sistema a cui ci si «logga», e implementare l’autenticazione a due fattori.
In Italia le password più usate sono ancora ‘123456’, ‘password’. È ora anche per noi di cambiarle.
(Articolo aggiornato alle ore 11,00)