Questo sito contribuisce alla audience di TGCOM24
Sicurezza

Password, ecco perché non servono più

Hacker, criminali e truffatori possono rubarle quando vogliono. Ha ancora senso utilizzarle?

Il numero di persone capaci di hackerare un account è in continuo aumento. Credits: Best Marketing Eesti, Flickr

Oramai dovreste conoscere la storia di Mat Honan, il giornalista di Wired USA che è stato vittima di un furto di password e identità da parte di alcuni hacker. Mat si è accorto della violazione dopo aver visto la sua carta di credito, associata all’account Apple, prosciugarsi nel giro di poco. La sorpresa del giornalista, pur esperto di questi temi, non è stata tanto il vedersi l’account violato, cosa che può succedere a chiunque, quanto la comprensione del livello di interconnessioni create dopo qualche anno di utilizzo del web, soprattutto di quello social. Pensate che Mat Honan utilizzava password diverse per ogni suo account. I profili Facebook, Twitter, Gmail e Apple erano protetti con password robuste, anche di 10 e 19 caratteri, combinazioni di lettere, numeri e simboli. Ma il cosiddetto social engineering ha permesso agli hacker di chiudere il cerchio e scovarne alcune con i giusti strumenti e un po’ di intuito.

Le nostre vite digitali sono davvero così facili da decifrare? Immaginiamo di voler entrare nell’account email di un’altra persona. Qualsiasi provider che fornisce servizi di posta elettronica permette sul proprio sito di recuperare la password dimenticata. Tutto quello di cui si ha bisogno è sapere il nome di battesimo, la città nelle quale si è nati e altre informazioni che non sarà complicato recuperare sul web. Poniamo il caso che ci sia una domanda segreta alla quale rispondere e che il quesito sia “qual è il nome del tuo animale domestico” oppure “della tua fidanzata” o anche “il cognome di tua madre da nubile”. Si tratta di domande che sono realmente presenti in quelle predefinite e alle quali, con un minimo sforzo, si può rispondere spulciando per bene i social network. Anche voi che leggete siete sicuri di non aver mai menzionato il nome del vostro cane o del vostro videogame preferito su Facebook piuttosto che della città preferita e di dove andate in vacanza? Tutti questi elementi messi assieme sono una chiave che apre l’universo informatico di una gran parte delle persone che utilizzano Internet.

E’ ovvio che il social engineering non può sempre bastare. Ci sono software capaci di scovare le password che utilizzate per i vostri siti preferiti, semplicemente lanciando un file eseguibile che lavora in background da far partire direttamente sul computer della vittima o da remoto (tramite virus). La sensazione è che le password siano oramai vecchie, appartenenti ad un’altra era.

Mat Honan presenta il problema chiamandolo tecnico. Ma a dire che la password non vi protegge più perché gli hacker utilizzano l’ingegneria sociale è come affermare che la porta blindata non basta perché i ladri entrano dalla finestra che lasciate aperta. Il problema non è quindi la porta ma la mancanza di abitudine a chiudere la finestra e le tapparelle” – ci spiega Michael Tabolsky esperto di sicurezza sociale.

Il problema di sicurezza riscontrato dal giornalista di Wired è quindi un dato di fatto nel mondo odierno di internet e di tutti i servizi digitalizzati. Quello su cui si può discutere è semmai altro: le nostre vite digitali sono tutte interessanti per i criminali informatici allo stesso modo? Evidentemente no e, riprendendo la metafora di Tabolsky, si potrebbe dire che anche i topi d’appartamento scelgono bene le loro vittime prima di colpire.  “Per cui mi sembra più corretto dire – secondo l’esperto moldavo – che l’attacco subito da Mat Honan sia stato ben indirizzato, per così dire targettizzato, quasi sempre per guadagnarci qualcosa, non solo denaro”. Colpire un giornalista di Wired fa molto più rumore che violare gli account di un comune impiegato italiano o di una casalinga, seppur utilizzino piattaforme di home banking particolarmente a rischio hacker. Questo vuol dire che tutte le persone che vivono tranquillamente la loro vita senza essere personaggi di rilievo sono al sicuro?

La risposta è no perché il numero di persone capaci di hackerare un profilo web (conosciute come skilled) sono in aumento e volenterose di farsi conoscere. “Bisogna educare gli utenti che tutto quello che caricano sul web non è più sotto controllo, esce dalla sfera del privato anche se si tratta di informazioni personali” – continua Tabolsky. Allora quello che ci chiediamo è se ha ancora senso utilizzare un solo strumento, ovvero un indirizzo di posta elettronica, per controllare i nostri accessi personali al web. Password ed email risultano così, alla luce di tutte le centinaia di violazioni che accadano ogni giorno, metodi non più adatti a proteggerci online. “Magari una password di 256 caratteri esadecimali potrebbe bastare – ricorda Mat Honan – ma con molta probabilità non la ricorderete mai”.

Sicurezza o semplicità di utilizzo quindi? Abbiamo chiesto a Michael Tabolsky se secondo lui c’è già qualcos'altro al di là dell’orizzonte delle password: “Assolutamente si. La soluzione non è molto vicina ma i sistemi biometrici andranno a sostituire quelli basati su input di una combinazione di simboli. Anche in quel caso ci sarà bisogno di educare le persone a utilizzare bene le protezioni che arriveranno, altrimenti saremo punto e a capo. Complicare non sempre vuol dire aumentare la sicurezza se poi gli utenti non sanno come utilizzare gli strumenti a disposizione. Per approfondire i temi legati al social engineering potrebbe essere utile la lettura di un libro di Bruce Schneier dal titolo “Liars and Outliers” che si occupa proprio di sicurezza informatica al tempo dei social media.

Seguimi su Twitter: @Connessioni

© Riproduzione Riservata

Commenti

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>