Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2018  novembre 26 Lunedì calendario
La storia raccontata da Giorgio Dell'Arti 

Il Messaggero, 26 novembre 2018

La password è superata

Centoquaranta attacchi informatici ogni giorno. È il ritmo serrato con cui le informazioni personali degli italiani vengono prese di mira da hacker e truffatori. Nella maggior parte dei casi la violazione riesce per due motivi: l’inesperienza dell’utente o l’utilizzo di password troppo deboli. Solo la scorsa settimana una buona parte della pubblica amministrazione italiana è stata paralizzata da un attacco che ha colpito oltre 500 mila indirizzi di posta elettronica certificata. Eppure l’Italia nella sicurezza informatica della pubblica amministrazione «è un passo avanti a molti altri Paesi europei – spiega Stefano Fratepietro, esperto di cybersicurezza noto hacker buono nella comunità italiana – L’introduzione dello Spid, che altro non è che un sistema unificato di password per accedere a più servizi, è stata determinante».
Più che dei dati in mano allo Stato quindi, bisogna preoccuparsi di quelli in nostro possesso. Soprattutto dal punto di vista di servizi di posta elettronica e social siamo molto indietro e la colpa sarebbe dei colossi tech che offrono quei servizi. «Introdurre strumenti di sicurezza aggiuntivi alle password come i token o la doppia autenticazione – continua Fratepietro – vorrebbe dire chiedere il numero di telefono all’utente e questo non è mai visto di buon occhio». Il timore è che gli iscritti a una certa app oppure a un determinato servizio abbandonino la piattaforma perché reputano troppo complesso accedervi. Proprio per questo spiega Fratepietro «fino a quando si darà la possibilità all’utente di selezionare il livello di security del proprio account avremo sempre perso». Almeno per altri 20 anni infatti «l’utente medio non avrà le conoscenze per comprendere davvero i pericoli».

L’ANALFABETISMO
Diventa fondamentale quindi che le istituzioni prendano una posizione. Non solo per contrastare l’analfabetismo informatico ma soprattutto per elevare gli standard di sicurezza. In California ad esempio, una legge appena approvata che entrerà in vigore dal 2020, renderà illegale per i produttori di device connessi a internet impostare una password predefinita debole. Dispositivi come i router wifi arrivano sul mercato con password pre-impostate facilmente individuabili – come la classica admin – che gli utenti dovrebbero cambiare al momento dell’installazione. Tuttavia in pochissimi lo fanno davvero lasciando praticamente la porta di casa aperta agli hacker. L’ideale sarebbe utilizzare delle piccole frasi da almeno 20 caratteri e soprattutto evitare di attingere alla lista delle chiavi più utilizzate (ai primi posti spiccano 123456, qwerty e password).
Se poi le autorità non intervengono sarà «una selezione naturale dei fornitori di servizi» a plasmare il futuro della rete. «Chi ancora permette di recuperare le chiavi di identificazione con un domanda per il recupero delle credenziali – continua l’esperto – è destinato a scomparire». Quelle caselle email sono troppo facilmente violabili perché «la risposta è un po’ il segreto di Pulcinella. Trovare il cognome da nubile di mia madre o il nome del gatto ormai è semplice». Si tratta di sistemi vintage.

I TOKEN BANCARI
Per questo c’è chi sostiene che le password sono morte. O meglio, lo saranno a breve. La sicurezza dei dati in rete infatti, è così importante da dover dipendere da un dispositivo fisico. Non necessariamente un device apposito – come i token bancari ad esempio – ma da uno smartphone verificato e da una scheda sim. Qualcosa di simile al doppio fattore di autenticazione che è uno standard già introdotto da colossi come Google che, nonostante la nomea da cannibale dei dati personali o forse proprio per questa, tende a difendere le preziose informazioni raccolte meglio di altri.

TUTTO REGISTRATO
In futuro però saranno le nostre azioni a garantire per noi attraverso l’analisi comportamentale. Ogni scelta, acquisto, click, copia e incolla, prenotazione è registrata. Un controllo orwelliano che potrebbe tornare utile nel momento in cui l’account di un utente dovesse compiere un’azione diversa dal suo profilo tradizionale. In quel caso il sistema di sicurezza va in allarme e interviene: una verifica semplice e instantanea che, insieme ai sistemi biometrici, manderà in soffitta i post-it con le chiavi autenticazione incollati a lato dello schermo del pc (pratica che il 40% degli italiani ammette di utilizzare). In sostanza, come ha spiegato chiaramente Microsoft, per diversi decenni l’industria e la ricerca si sono concentrate sulla protezione dei dispositivi, da ora invece è necessario «concentrarsi sulla protezione delle persone – ha scritto l’azienda fondata da Bill Gates – perché loro stesse diventeranno la password». Effettivamente i sistemi biometrici come riconoscimento facciale o impronte digitali sono molto diffusi per lo sblocco dei device, ma non sono ancora ritenuti abbastanza sicuri per proteggere in maniera autonoma gli acquisti. Come spiega Fratepietro infatti «l’impronta è piuttosto facile da clonare se si è in contatto con la vittima» e anche il FaceID è eludibile solo ricostruendo il modello facciale della persona. «Ora come ora non ci sono garanzie online – conclude – E come diceva qualcuno: L’unico computer sicuro è un computer spento».