Con tutte le recenti notizie di violazioni e furti di password - il mezzo miliardo di account Yahoo compromesso, i sei milioni di Clixsense, i 15 milioni di Telegram - stupisce che Facebook, con i suoi 1,7 miliardi di utenti attivi, apparentemente non abbia fatto gola a nessuno.

Non ci sono grandi notizie, infatti, di violazioni di massa e abbondanti furti di credenziali ai danni del social network in blu, né di estesi furti di identità ai danni dei suoi utenti.

Il motivo è molto semplice, secondo il chief security officer Alex Stamos: Facebook è la prima a comprare dagli hacker gli elenchi di password messi in vendita nel deep web.

Spunti di approfondimento:

Buone azioni e serrature ridicole

Hacker sbadati si infettano col loro stesso malware

Come violare Facebook con un vecchio numero di telefono

Come prendere il controllo di una Pagina Facebook

Stamos, approdato a Facebook da Yahoo nel 2015, è a capo di un team speciale all'interno dello staff del social network: il suo compito è stare sempre un passo avanti rispetto a quanti cerchino di individuarne le debolezze, e sfruttarle.

L'acquisto delle password rientra a pieno titolo nelle attività che consentono al team di compiere la propria missione, spiega Stamos, perché è fatto a fin di bene e per prevenire l'incuria (o dabbenaggine) degli utenti.

Tutti gli episodi di servizi hackerati e credenziali sottratte hanno messo in luce come non mai il problema di fondo, che Stamos descrive così: «Il riutilizzo delle password è la prima causa di problemi in Internet».

Non perderti anche:

Yahoo spiava le email degli utenti per ordine della NSA

Yahoo, gli account violati sono mezzo miliardo

Facebook rivela le identità nascoste di pazienti, clienti, ladri e vittime

Rubati sei milioni di username e password conservati in chiaro

In effetti, gli elenchi di password rubate mostrano come molti utenti siano sostanzialmente pigri, poco fantasiosi e poco attenti alla propria stessa sicurezza, riusando continuamente la medesima password per diversi siti e, in aggiunta, adoperando quasi sempre banali e prevedibili variazioni sull'immortale tema 123456.

Per controllare che gli utenti di Facebook non si affidino anch'essi a queste password pressoché inutili, il team di Stamos adotta una procedura precisa.

Spunti di approfondimento:

Hacker compromettono la sicurezza di Telegram

Come rubare un profilo Facebook senza essere esperti informatici

Rapinatore catturato: Facebook l'ha suggerito alla vittima come amico

I dati privati di tutti gli utenti di Facebook

Il primo passo consiste nell'acquisto degli elenchi di password messi in vendita sul mercato nero del deep web.

Il secondo consiste non nel violare sistematicamente tutti gli account di Facebook ma nel confrontare tali password con quelle - conservate in formato crittografato sui server di Facebook - scelte dagli utenti.

Si tratta - spiega Stamos - di un compito «che richiede una notevole potenza di calcolo» ma che ha permesso al social network di avvisare decine di milioni di utenti della necessità di cambiare la propria password.

Nonostante i vari mezzi messi a disposizione da Facebook per proteggere gli account - l'autenticazione in due passaggi, per esempio, o l'identificazione dei volti degli amici - non tutti gli utenti approfittano di queste possibilità: il gruppo di Stamos usa quindi tecniche alternative per cercare di proteggere anche gli utenti più sbadati.

Altri sistemi messi in campo per la protezione degli account prevedono l'utilizzo degli algoritmi di apprendimento automatico per capire se un determinato profilo sia stato violato in base all'attività condotta con esso, perché è possibile che un hacker, dopo aver violato la casella email di una vittima, riesca a resettare la password di Facebook della vittima stessa.

La necessità di tutti questi sistemi è per Alex Stamos dovuta al fatto che l'autenticazione con nome utente e password accusa ormai tutto il peso degli anni: «Username e password sono un'idea nata negli anni '70 per i mainframe. Non sono stati pensati per il 2016».