Probabilmente sono tantissimi gli utenti che usano la stessa password per più account: ormai infatti ognuno di noi ha un numero sempre maggiore di account, tra social, forum e servizi vari (Facebook, Instagram, Amazon, eBay, Steam, Netflix, email ecc...). Quando il numero di account si fa elevato, crescono di pari passo le difficoltà a ricordarsi le credenziali per ognuno di loro, quindi può risultare piuttosto comodo l'uso di un numero ridotto di password per più account, magari collegati ad un solo account email. 

Questa scelta è sicuramente comoda, permettendo di ridurre il numero di credenziali che occorre ricordare, ma dal punto della sicurezza informatica è un grossolano errore che può facilitare non poco il lavoro dei cyber attaccanti. 

supponiamo che, un giorno, il database di uno store online sul quale acquistiamo abitualmente prodotti venga coinvolto in un data leak, la classica fuga di dati. Supponiamo che questo sia dovuto al fatto che il database sia custodito in un server accessibile e non criptato, quindi del tutto vulnerabile: la colpa è totalmente del gestore dello store online, ma i dati sottratti sono comunque i nostri. Magari non sono stati rubati i dati della carta di credito o del conto Paypal, ma "solo" indirizzi email, nomi e password: molti saranno portati, in un primo momento, a non ritenere grave questa fuga di dati. 

Nel frattempo però, i cyber criminali staranno già cercando di massimizzare l'effetto (e il profitto) dell'attacco appena portato: perchè infatti non provare ad utilizzare anche su altri account le password sottratte? I cyber criminali infatti sanno che sono moltissimi gli utenti che usano una sola password per più account. Così, con la stessa password dello store online, i cyber criminali riescono ad accedere, magari, anche all'account email delle vittime. Dall'email i cyber criminali ottengono moltissime altre informazioni: foto, dati sensibili, le email provenienti da altri servizi/store online/social. Un patrimonio di account sui quali provare la password rubata all'inizio dell'attacco. 

Così, se la stessa password è usata anche, ad esempio, per l'account di Amazon, per i cyber criminali è un attimo acquistare qualcosa a nome della vittima. Se invece la password combacia con quella del profilo Facebook, si ha accesso ad un ulteriore patrimonio di dati (basti pensare a tutti i contenuti pubblicati dalla vittima, ma anche alla possibilità di sfruttare gli amici di un account Facebook per diffondere ulteriormente truffe o link dannosi). Una delle truffe classiche in questi casi è quella di sfruttare l'account violato per richiedere soldi agli amici, magari millantando un problema piuttosto grave: se un vostro amico vi chiedesse (dal suo profilo al vostro profilo Facebook) aiuto economico per risolvere una situazione di difficoltà, non interverreste in suo aiuto? Al di là delle buone intenzioni però, finireste solo a finanziare i cyber criminali. 

Ovviamente i cyber criminali sanno perfettamente che, una volta che la vittima avrà scoperto/sarà stata avvisata dell'attacco in corso, il primo tentativo della stessa sarà cambiare password dell'account violato. Ad esempio, nella truffa Facebook di cui parliamo sopra, l'utente violato cercherà, per prima cosa, di cambiare la password di Facebook. Ecco perchè i cyber criminali spessissimo, una volta violato un account, ne cambiano la password: l'utente proprietario si trova così estromesso dal proprio account, senza possibilità di accedervi, tantomeno sostituire la password. A quel punto la vittima dovrà avvisare tutti gli amici dell'attacco subito, contattare la banca per bloccare la carta di credito e l'home banking e così via...

Tutto questo è solo un esempio delle (quasi infinite) possibilità che si aprono ai cyber criminali che sono riusciti a rubare delle password: è però solo grazie all'aiuto di utenti poco consapevoli dei rischi che corrono sul web che il furto di una sola password può comportare un'ecatombe di account. 

Sicuramente evitare l'uso della stessa password su più account è già una buona norma di sicurezza che può notevolmente ridurre la diffusione di un attacco. Ovviamente, non è sufficiente. Ecco altri spunti utili: