Trova le risposte!
Un viaggio esclusivo all'interno dell'energia, concepito e realizzato attraverso nuovi strumenti e linguaggi dove si stimola l'interesse e la creatività dei visitatori.

Altre stanze in Avanguardie e Nuove Tecnologie

Altri articoli della stanza Avanguardie e Nuove Tecnologie

Creato da Domenico Raguseo « clicca sul nome per leggere il curriculum dell'autore

Strumenti e pratiche di sicurezza

Parliamo di sicurezza nel campo della information technology,perché si percepisce su questa materia qualcosa di più che una crescente consapevolezza dei rischi legati alla TRASMISSIONE di dati sensibili via web, oltre al fastidio introdotto dal formalismo delle operazioni necessarie.

Del resto questo non ci deve sorprendere, perché si manifesta anche nelle funzioni pratiche della vita quotidiana. Si pensi al fastidio di utilizzare la cintura di sicurezza, oppure il fatto di assicurare i bambini in auto sui seggiolini appositi, installare allarmi, etc. Un altro fastidio è l’uso di un linguaggio criptico, che di per sé appare ostile.

Se poi ci si addentra nel campo specifico, si incontrano termini come cybercrime, SQL Injection, Cross-site scripting, Watering Hole, si usano le Vulnerabilità, ad essere rubate sono le credenziali, per difenderci abbiamo bisogno di signatures

Insomma, il linguaggio è così complesso, che il vero rischio è che lo consideriamo un linguaggio per gli addetti ai lavori. Il problema è però che questo tipo di crimini sono sempre più vicini alla vita reale (ed interessi individuali), per cui anche se con comprensibile resistenza, giorno dopo giorno saremo costretti a familiarizzare con strumenti di sicurezza adeguati ai servizi di cui usufruiamo,e tra qualche anno termini che ora sono riservati per lo più agli addetti ai lavori, diventeranno parte del dizionario comune. 

Per questa ragione ritengo utile addentrarmi nella problematica, dedicando un po’ di spazio a dare qualche strumento per orientare consapevolmente sull’uso delle password: uno dei primi elementi che caratterizzano la cultura informatica per quanto attiene al fondamentale problema della sicurezza.

Le password sono combinazioni di caratteri alfanumerici che consentono l'accesso a servizi riservati.

La password di un bancomat ha 5 caratteri numerici. Quelle di altri servizi bancari sul web ne hanno di più e poi oltre ai numeri possono contenere anche lettere. Il numero di servizi a cui si accede con password è in crescente aumento, e pertanto la tentazione di avere password identiche, oppure di scriverle da qualche parte è fortissima.

Indovinare la password della vittima prefissata di un attacco cibernetico richiede del tempo (funzione della lunghezza e del numero di caratteri utilizzabili), a meno che noi non si  voglia rendere la vita facile al criminale.

Seguono alcuni suggerimenti:

Non creare password corte, chiaro che si semplifica la vita riducendo il tempo necessario per indovinare la combinazione

  1. Non inserire nella password riferimenti a cose, luoghi, persone o date per voi familiari. Spesso queste informazioni si possono prelevare da internet (i dati del padre, madre, come date di nascita ... sono spesso sui social network, quali facebook ...) in tal modo si creano sequenze privilegiate che riducono il tempo necessario per indovinare la combinazione, favorendo l’impostore

  2. Non è bene utilizzare la stessa password per tutte le applicazioni, e specialmente per applicazioni critiche e non. 

  3. Cambiare la password spesso, fino ad utilizzare password una sola volta. 

  4. Evitare di abbandonare le utenze internet. Se non utilizziamo un’utenza perché non ne abbiamo bisogno, facciamo in modo che questa venga cancellata.

  5. Similmente se non ho bisogno di una carta di credito, meglio restituirla che tenerla sempre con sé.

  6. Si possono usare strumenti invece di password. Gli strumenti altro non sono che soluzioni che implementano le sopra citate pratiche rendendo spesso trasparente la adozione della pratica stessa.

Ad esempio, se parliamo di OTP (one time password), stiamo parlando di soluzioni che generano una password che verrà usata una sola volta per accedere al servizio.

Se, accedendo a un servizio, ci viene detto che la password è stata inviata come SMS ad un cellulare, ecco, stiamo utilizzando un meccanismo OTP.

Se parliamo di strong authentication, ci riferiamo al fatto che la password viene arricchita con ulteriori elementi che possano rendere la stessa univoca.

Ad esempio, a tutte le applicazioni bancarie si può accedere con una password più un codice, che di volta in volta ci viene fornito da un dispositivo ( "chiave" ) che la banca stessa ci fornisce.

È fastidioso avere diverse utenze e password, ed è difficile ricordarle tutte? Ci sono strumenti preferibili alla scrittura di tutte le utenze e le password su biglietti.

Si chiamano SSO (single sign on) e cioè applicazioni che ricordano le utenze e password dei servizi e vi accedono con l’utenza e password corretta. Ovviamente l'applicazione dovrà a sua volta essere protetta (magari con strumenti di strong authentication, OTP .. ) , ma a  questo punto all'UTENTE viene chiesto di ricordare una sola utenza e  password.

Se qualche volta il servizio cui state accedendo richiede di cambiare la password, abbiate pazienza. Alle spalle ci sarà uno strumento di gestione (identity management) che vi sta aiutando a gestire la vostra sicurezza forzandovi a cambiare le password con una certa FREQUENZA.

Questi elementi diventano ancora più critici quando ai servizi si accede da dispositivi mobili (smartphone). Infatti il dispositivo può essere rubato.

In alcuni casi il dispositivo può essere utilizzato sia per uso personale che per uso aziendale (BYOD, Bring Your Own Device e cioè porta il tuo dispositivo in azienda). A questo punto gli interessi aziendali e le pratiche individuali si trovano a “comunicare tra loro”.

Allora si devono fare i conti con regole aziendali: in questi casi infatti il danno che una vittima può subire come individuo è sicuramente inferiore a quello che può causare per l'azienda a cui appartiene.

Anche in questo ambito ci sono soluzioni che garantiscono che il dispositivo sorgente di transazioni, accessi etc, sia ancora nelle mani del legittimo proprietario, così come garantiscono che sul dispositivo non vengano installati in maniera inconsapevolmente malware.

Infine ci sono strumenti che possono forzare il collaborare ad utilizzare delle regole virtuose (quali ad esempio, non usare la stessa password per applicazioni personali ed aziendali).