Le password sono snodi cruciali nel perimetro di sicurezza eretto attorno ai dati sensibili: sono indispensabili per assicurare l’identità dell’utente, ma si prestano fin troppo facilmente a essere sottratte. Una delle pratiche più comuni in questo campo è quella del phishing, cioè la creazione di messaggi email e pagine Web falsificate ma simili (o addirittura identiche) a quelle autentiche, tanto da convincere gli ignari utenti a inserire spontaneamente le loro credenziali di accesso. Nonostante le molte contromisure messe in campo da software e servizi Web, questa pratica è ancora oggi molto diffusa, ed è particolarmente pericolosa per tutti quei servizi (per esempio Google, Facebook oppure Twitter) che permettono di utilizzare le loro credenziali per effettuare il login su siti Web di terze parti. Chi dovesse rubare i dati di accesso a uno di questi servizi potrebbe vedersi spalancare le porte di decine di siti Web. Il primo consiglio, che non ci stancheremo mai di ripetere, è quello di attivare l’autenticazione a due fattori, per rendere insufficiente la conoscenza della sola password. Ma Google ha anche realizzato una semplice estensione per Chrome che fornisce un ulteriore livello di sicurezza: si chiama Password Alert. Vediamo come installarla e usarla.
Aprite Chrome e visitate il Chrome Web Store; digitate password alert nella casella di ricerca a sinistra, e poi fate clic sulla sezione Estensioni subito sotto. Individuate l’elemento giusto nell’elenco dei risultati (di solito è il primo) e fate clic sul relativo pulsante blu Aggiungi. Confermate con un clic su Aggiungi estensione nella finestra di dialogo successiva e aspettate la fine dell’installazione. Al termine della procedura Chrome mostra un pannello popup in basso a destra, che invita ad accedere all’account per completare la configurazione. Fate clic sul collegamento Accedi e inserite nome utente e password di Google, come di consueto. Un ulteriore messaggio conferma l’attivazione. Il funzionamento è molto semplice e automatico: questa estensione avvisa l’utente ogni volta che si inserisce la password dell’account Google in qualsiasi altro modulo di registrazione. Questi moduli possono essere false maschere di login di Google, oppure pagine di autenticazione di altri servizi. Se la password è inserita in maniera consapevole si può bypassare il blocco, ma impostare la stessa password su più siti Web, specialmente se delicati come Google, non è una buona idea.