Davide Galanti

Davide Galanti

Decentra Network Advisor

I – la sicurezza dei nostri account

Quanti hanno sentito dire “inutile difendersi, tanto sono entrati anche alla Nasa”? Liberiamoci dal fatalismo digitale e vediamo come possiamo difendere i nostri account e rendere più sicuri i nostri dispositivi digitali.

La tua reputazione la crei in 20 anni, si distrugge in 5 minuti

Chiariamo la cosa più importante: quale può essere il valore delle nostre credenziali digitali.

Immaginiamo che ci rubino le credenziali per accedere al nostro account email e qualcuno invii email con frasi ingiuriose dal nostro account; oppure che ci rubino la password del nostro account Linkedin e sul profilo appaiano immagini sconvenienti. Che valore ha la nostra identità digitale? Ce ne accorgiamo in questi casi.

Sopravvivere alle password

Negli anni ’90, agli albori di internet, avevo un cliente che metteva ovunque una stessa password. La password era “password” e mentre me lo diceva, rideva, rideva! Perché era un metodo sbagliato? Per tre motivi: 

  1. la password era banale
  2. era la stessa per tutti i suoi account
  3. non cambiava mai nel tempo

Così i siti hanno via via richiesto complessità di password crescenti, quindi si è passati da “password” a “Password1” a “Davide1961”. Ma chi attacca via internet usa sistemi automatici che tentano di indovinare le password sulla base dei dati personali. Ci provano e ci riprovano fino a che non ci riescono.

Di conseguenza oggi su buona parte dei servizi online per registrarsi sono richieste password lunghe e complesse del tipo “Ljk7tvcxS68$!224#” e viene anche richiesto di cambiarla periodicamente.

I fornitori di servizi digitali non si curano però di un aspetto che rimane responsabilità dell’utente: che le password siano tutte diverse fra loro. Perché è importante?

Se ignoti ci rubano le credenziali di accesso ad un certo servizio, probabilmente verificheranno se abbiamo usato la stessa combinazione di nome utente e password anche per altri servizi quali Dropbox, Linkedin,  Facebook. Se costoro entrano in questi servizi, come prima cosa cambieranno la password, poi potranno divertirsi a danneggiare la nostra immagine, rubare i nostri dati, oppure chiedere un riscatto per ripristinare la situazione originale. In ogni caso dovremo lavorare parecchio per ripristinare gli account compromessi.

Quindi è fondamentale che le password dei nostri account siano tutte diverse.

Un attimo: se le password devono essere tutte lunghe una spanna, cambiate ogni 6 mesi, tutte diverse fra i diversi account, nessuno sarà mai in grado di gestire queste informazioni a memoria!

La soluzione: un gestore di password

I primi Password Manager erano applicazioni che salvavano le password sul PC cifrandole, ma il problema di queste applicazioni era che le password non erano “portatili”. Quindi se avevo bisogno di una password e non avevo a disposizione il mio PC ero nei guai. Ora i Password Manager sono applicazioni web che permettono di avere le password sempre a portata di mano su qualsiasi dispositivo: PC, Mac, Smartphone.

La prima cosa che si fa quando si mette in funzione un Password Manager è creare una lunga “filastrocca” di molti caratteri, possibile da ricordare solo per chi l’ha creata. Una volta entrato posso aggiungere e modificare le mie password; quando sono in giro posso recuperare le mie password dal cellulare.

Alcuni Password Manager sul mercato sono OneLogin, LastPass, 1Password, PasswordVault, Clipperz. Quasi tutti hanno una versione gratuita per le funzioni basilari. I Password Manager danno un “voto” di sicurezza alle proprie password, informano se ci sono password identiche fra loro, ricordano di cambiarle quando sono troppo vecchie, generano anche le password complesse a richiesta. 

In azienda i Password Manager consentono una condivisione password fra gli utenti e permettono di far accedere ai siti pur nascondendo le password, utilissimo per il personale in stage.

A casa i Password Manager permettono la condivisione delle password tra i membri della famiglia, utilissimo per accessi a banche, exchange, public utility.

Alcuni Password Manager consentono di accedere ai siti con un semplice click, cioè aprono il sito e iniettano nel sito utente e password in automatico. Possono anche catturare le password mano a mano che si accede ai siti non ancora memorizzati sul Password Manager in maniera da semplificare la memorizzazione di tutte le credenziali che abbiamo.

Il nemico del Password Manager

Se si adotta il Password Manager come sistema di gestione delle nostre password occorre fare attenzione a non lasciar memorizzare le password al browser perché può generare confusione fra le password inserite nel Password Manager e quelle sul browser.

Una volta trasferite tutte le proprie password è importante quindi disabilitare la funzione di salvataggio password che è presente in tutti browser; qui di seguito la funzione specifica su Chrome:

Ultima cosa: le password memorizzate nel proprio browser è risaputo che non sono al sicuro da possibili furti.
(rif. https://www.nirsoft.net/utils/web_browser_password.html https://security.stackexchange.com/questions/236894/how-safe-is-it-to-store-your-passwords-in-a-modern-browser

https://www.kaspersky.com/blog/browser-data-theft/27871/)

Mia figlia l’altro giorno mi chiama al telefono e mi dice:

— che disastro babbo, il Mac fa tutto nero, non si accende più e devo dare un esame!
Hai tutti i file su iCloud?
— Si.
Le dico, allora non hai perso nulla. Mia figlia usa un Password Manager.

MFA (e il suo alleato)

Siccome la semplice associazione nome utente + password pone possibili rischi di furto di credenziali, sono stati creati strumenti per aumentare la sicurezza come i MFA: sistemi sistema di autenticazione multipla (Multi Factor Authentication). Banche, exchange, ora che i siti dei social consentono o impongono di usarli, aumentando di parecchio la sicurezza dell’accesso e tenendo alla larga i ladri della nostra immagine pubblica.

Questi MFA o “authenticator” sono App mobili che generano i codici di autenticazione secondaria per ogni servizio a cui sono stati accoppiati. Quando su un sito ci viene richiesta la MFA, lanciamo l’authenticator, inquadriamo col cellulare il QRcode che il sito ci mostra e accoppiamo il sito con l’algoritmo che genera i codici di autenticazione secondaria. Quell’algoritmo è diverso da sito a sito ed i codici generati dipendono dall’accoppiata sito-account.

Dal momento in cui il sito è stato accoppiato all’authenticator, per accedere ci occorreranno username, password e il codice generato dall’authenticator. 

Molte banche hanno un loro proprio authenticator, ma molti altri siti usano uno standard di mercato che è Google Autenticator, App usata anche da molti exchange. Qui nasce il problema: su una sola App avrò decine di siti con MFA e se perdo il cellulare devo ricominciare il processo di aggancio di ogni sito a Google Authenticator. Il processo richiede tempo e nel frattempo sono impossibilitato dall’accesso ai siti che richiedono il codice di autenticazione secondaria.

Una bella soluzione a questo problema è Authy, una App compatibile con Google Autenticator che salva cifrato in cloud tutte le coppie sito-algoritmo. In caso di perdita del cellulare si riparte immediatamente a lavorare.

La CIA mi spia

Il fatalismo digitale passa dal chissenefrega totale alla paranoia della “mi leggono le email”. Le paure derivano principalmente da due motivi: 1. cookies 2. tentativi di “phishing”. Sono due cose diversissime fra loro, analizziamole bene.

I cookies sono pochi byte di dati che tracciano i siti dove siamo stati. Servono a chi ha creato il sito per sapere quali pagine abbiamo visitato e se torniamo sulle stesse. Da alcuni anni, per via della legge sulla privacy in EU, all’apertura di un sito diamo l’assenso o meno a ricevere i cookies sul nostro browser:

Una volta dato l’assenso, ce ne dimentichiamo. Dopo giorni e giorni il browser è pieno di cookies che continua a spargere in giro perché i cookies possono essere anche ceduti a terzi (vedi sopra alla voce “marketing”) quindi se cerchiamo dentisti su Google e visitiamo il sito di un dentista vedremo nei giorni seguenti pubblicità di dentisti su Facebook. A quel punto penseremo che ci rubino i dati in qualche modo mentre si tratta solo di marketing elettronico.

Se vogliamo azzerare questa storia di navigazione fra i siti basta pulire di tanto in tanto la memoria del browser. Per fare questo basta andare a cercare sul proprio browser il comando “cancella dati di navigazione” e tutti i cookies che abbiamo raccolto navigando sul web verranno cancellati.

Un altro metodo è impedire che il browser ricordi tutta la storia. Per scegliere questo metodo basta selezionare il comando “navigazione in incognito” presente sui browser. Non verranno rilasciati cookies e, ad ogni chiusura del browser, il browser cancellerà tutta la storia.

Il phishing, gioco di parole che è indica il pescaggio di dati, è una questione più grave. Accade quando un utente è stato indotto ad andare su un sito che finge di essere un altro. Ad esempio, https://facelook.cixx6.com assomiglia a Facebook, chiede le credenziali di Facebook, le cattura, poi fa accedere a Facebook senza che l’utente si accorga di nulla.

Come mai è capitato l’utente su quell’indirizzo? Può essere stato un messaggio da Whatsapp, più frequentemente spesso una email truffaldina; in ogni caso l’utente distratto non ha notato l’indirizzo leggermente diverso dal solito ed ha regalato le sue credenziali ad ignoti. 

Come scongiurare questa frode? Attivando entrambi gli strumenti sopra descritti: usando sempre il Password Manager che, non riconoscendo l’indirizzo sul browser (URL) non inietterà utente e password ed attivando l’authenticator.

Non aiutiamo il nemico

Esiste un altro motivo per cui ci si può preoccupare di essere spiati: i sistemi di comando vocale domestici, sui cellulari e sui PC. Il caso di Facebook che ha venduto 60 milioni di informazioni personali ci fa capire quanto ai big del digitale facciano gola i nostri dati. Non attivo i comandi vocali Siri su iPhone e Alexa a casa mia non lo metterei mai, visto che, per migliorare l’algoritmo di apprendimento, ascolta 24 ore su 24 e manda tutto a Google.

Anche i dati di localizzazione GPS sono una miniera di informazioni potenzialmente trafugabile, il mio consiglio è di disattivarli tutti tranne quelli strettamente necessari: a meno che non facciamo i corrieri, la cronologia delle ultime posizioni in cui abbiamo sostato possiamo evitare di memorizzarle.