Salta al contenuto principale

Usa una password diversa per ogni sito

Utilizzare la stessa password su siti diversi, soprattutto se non istituzionali, mette a rischio la tua sicurezza personale e quella dell’intero Ateneo.

Non è un rischio teorico: questo comportamento ha già causato problemi concreti a numerosi colleghi.

Proteggi la tua identità digitale

  • Non usare mai la password di Ateneo su altri siti
  • Cambia immediatamente la password se pensi di averla usata altrove
  • Attiva l’autenticazione a due fattori (2FA) dove possibile
  • Controlla se la tua email è stata coinvolta in violazioni su haveibeenpwned.com

Una password sicura protegge te, il tuo lavoro e tutta la comunità dell’Ateneo.

Perché è rischioso usare la stessa password ovunque

Capita spesso che le credenziali istituzionali (email e password @units.it) vengano utilizzate anche per registrarsi a servizi esterni, come piattaforme cloud, social network o applicazioni online (come Dropbox, LinkedIn, o anche siti minori).

Questa abitudine espone a un rischio concreto: in caso di violazione di uno di questi servizi esterni, le credenziali sottratte potrebbero essere riutilizzate per accedere abusivamente all’account istituzionale dell’utente.

Le possibili conseguenze

Un accesso non autorizzato alla casella email di Ateneo potrebbe:

  • compromettere la sicurezza dei dati personali e professionali;
  • permettere l’invio di email fraudolente a nome dell’utente;
  • innescare il blocco temporaneo della casella o, nei casi peggiori, di tutto il servizio email di Ateneo;
  • richiedere interventi urgenti dei tecnici ICT, sottraendo tempo e risorse a servizi essenziali per la comunità universitaria.

Un danno che non è solo tecnico

L’account istituzionale non è un account qualsiasi: è collegato ad attività ufficiali e di rilevanza legale, come:

  • la verbalizzazione degli esami;
  • la protocollazione di documenti;
  • la comunicazione formale con colleghi, studenti ed enti esterni.

Un uso improprio delle credenziali potrebbe avere ripercussioni sulla reputazione personale e professionale, oltre a generare conseguenze imbarazzanti o dannose.

Per supporto, dubbi, commenti e domande

Hai subito un attacco informatico? Hai dubbi su phishing, malware o vulnerabilità?

Contatta il Team Sicurezza Informatica dell’Area dei Servizi ICT per segnalazioni, dubbi o supporto tecnico:

Ricorda: meglio una segnalazione in più che una in meno!
Anche un dubbio o un comportamento sospetto può fare la differenza. Il tuo contributo aiuta a mantenere sicuro l’ambiente digitale dell’Ateneo.

FAQ

È possibile usare un software apposito chiamato password manager che funge da portafoglio per tutte le password.

I computer forniti dall'Ateneo al personale TA sono dotati del programma LastPass.

Per i dispositivi personali puoi chiedere supporto per la scelta di un password manager al Team Sicurezza Informatica, tramite i contatti in questa pagina.

No, la password è stata trafugata grazie ad una penetrazione in server non di ateneo, insieme a centinaia di migliaia di password di altri utenti che non hanno alcun legame con il nostro ateneo.
Gli accessi fraudolenti alle caselle di posta  di ateneo sono avvenuti perché i legittimi proprietari hanno usato per altri siti la stessa password utilizzata per  la loro casella di posta istituzionale.
Non ci sono elementi per affermare che le password siano state trafugate dai server di ateneo.

La password è stata trafugata grazie ad una penetrazione in server non di ateneo, insieme a centinaia di migliaia di altre password.
Non ci sono  elementi per affermare che sia stata trafugata al suo legittimo proprietario o che i dispositivi del proprietario siano affetti da malware.

Un ricercatore mantiene un sito specializzato come servizio per la comunità (https://haveibeenpwned.com/). Questo sito consiste di un database contenente indirizzi email e username coinvolti nei furti di cui si discute nei forum di hacker. Il database non contiene le password. Chiunque può verificare gratuitamente ed istantaneamente se indirizzo email o username siano presenti nel database.

Chiunque può verificare gratuitamente ed istantaneamente se il proprio indirizzo email o username, sia presente nel database e, in caso affermativo, in quale sito sia avvenuto il furto.
La verifica deve essere effettuata inserendo sul sito Haveibeenpwned il proprio indirizzo email (esempio rossi@units.it, bianchi@amm.units.it, ecc.)
Qualora si possiedano più indirizzi email, verificarli tutti.
La verifica inserendo il proprio numero di matricola (esempio: 1234) NON ha alcuna utilità.
È possibile chiedere al sito di memorizzare il proprio indirizzo email. Qualora, in futuro, quell'indirizzo email venga inserito nel database a seguito di un furto di credenziali, il sito provvederà a inviare automaticamente una notifica email (funzionalità “Notify me”).

Non è necessario ma è utile. La verifica può essere fatta come indicato al punto precedente.

Se usi quella stessa password in altri siti allora è estremamente importante cambiarla almeno nei siti più importanti.
È fondamentale non usare quella stessa password nei siti di ateneo.
Se sei certo di non usare quella stessa password in altri siti allora non devi fare nulla (solo cambiare la password sul sito da cui è stata trafugata).
Se non ricordi quale fosse quella password allora, forse, non hai l’abitudine di usare la stessa password in più siti.

Se per la mail universitaria usi una password diversa allora questo furto è irrilevante.
In ogni caso, quando abbiamo evidenza di accessi fraudolenti provvediamo immediatamente al blocco della casella mail e avvisiamo il proprietario.

Abbiamo evidenza di accessi fraudolenti a alcune caselle email con indirizzi della forma @units.it contenuti nel database sopra citato.

Ultimo aggiornamento: