Ecosistema password

di Pier Luca Toselli

Sul piano della sicurezza informatica le password costituiscono ancora un importante baluardo posto a difesa delle informazioni e dei dati che vogliamo mantenere protetti e riservati.
La scoperta di una password nell’attuale “ecosistema-password” può avere talvolta conseguenze a dir poco “devastanti”. Si pensi al rinvenimento ad opera di qualche malintenzionato della password da noi utilizzata a tutela della nostra identità digitale (SPID) o ancora l’individuazione del codice di sblocco del nostro smartphone ormai divenuto una sorta di cassaforte di tutti i nostri segreti e dati a dir poco “sensibilissimi”, che poi permette l’accesso al nostro password-manager integrato che contiene se non tutte, buona parte delle password, da noi utilizzate…. Terribile!
Le password in questo ecosistema presentano aspetti positivi e negativi che dobbiamo sempre attentamente considerare allorquando per le più svariate ragioni ci si ritrova ad affrontare questo inesauribile tema. Invero l’aspetto “positivo” è certamente rappresentato dall’importante funzione di sicurezza informatica nella quale ogni password viene ad essere coinvolta, mentre quello “negativo” è rappresentato (purtroppo) dalla facilità con cui talvolta le stesse possono essere facilmente scoperte, individuate, spesso a cagione dei nostri errati comportamenti o della nostra scarsa attenzione.
Partendo da questa considerazione su aspetti positivi e negativi ci rendiamo però presto conto di come tale “classificazione” sia strettamente legata al punto di vista con cui stiamo affrontando l’argomento e di fatto venga ad invertirsi a seconda che l’ecosistema venga affrontato da un attaccante (l’hacker della porta accanto) o da chi si difende (tutti noi nella speranza di tutelare i nostri dati e segreti).  Infatti, per esempio l’aspetto maggiormente positivo per l’attaccante è proprio rappresentato dalla facilità con cui può ottenere questa o quella password che magari sa memorizzata in un password-manager e quello negativo, di contro, sarà invece rappresentato da tutte le difficoltà che questi dovrà superare per poter raggiungere ed accedere allo stesso, e così via in una infinità di esempi.
Resta innegabile, come chiunque di noi percepisca chiaramente che nel mondo digitale in cui ci troviamo quotidianamente immersi le password siano ormai onnipresenti ed indispensabili, probabilmente non esiste sito o servizio che oggi non ci richieda una registrazione, ossia un’autenticazione con user e password per potervi accedere. Tutto ciò pur avvenendo per motivi strettamente legati alla sicurezza, viene spesso percepito erroneamente come un fastidioso problema esaltato peraltro, dalla necessità di creare password sempre più diverse, complesse e sicure e poi doverle anche necessariamente conservare e ricordare.
Ciascuno di noi è ormai coinvolto nella propria vita digitale in decine e decine di “social”, abbiamo almeno un paio di indirizzi email, ci affidiamo (pensate alle App sul vostro smartphone) a decine e decine di servizi, siti, etc.  tutti insomma ci dobbiamo affidare a … decine e decine di password, nella migliore delle ipotesi.
Questa proliferazione di password è un punto alquanto dolente, critico e fastidioso che vede spesso una sua attenuazione nell’utilizzo di un’unica password, il ricorso ad una “matrice-password” sempre identica che poi corrediamo di qualche carattere speciale o numero (sempre quelli!) o ancora data, l’impossibilità di ricordarle tutte ci costringono ad annotarle tutte in qualcosa di comodo come un file sul desktop, nella nostra agenda… sul post-it attaccato al monitor.
Sento già qualcuno mormorare che basta affidarsi ad un password-manager, ne esistono centinaia che funzionano bene e sono efficienti, peccato, però che anche il miglior password manager presupponga l’utilizzo di una cd. “master-password” o altri mezzi di autenticazione sempre però legati a vario titolo ad una password, ma ci torneremo su!
Non bisogna in ogni caso essere esperti informatici per deprecare gli errati comportamenti sopra descritti e che andrebbero immediatamente abbandonati, come da più parti viene consigliato dagli esperti ma anche come spesso imposto, “finalmente”, nella maggioranza dei disciplinari e policy aziendali, di sicurezza informatica.1
Ma al di là dei “fastidi” appena evidenziati ne esistono altri ben più insidiosi e che vedremo di così non semplice soluzione.
Partirei però, da un elenco delle più recenti minacce attraverso le quali persone non sempre guidate da buoni propositi, ottengono le nostre password, anticipando … che possiamo mitigare, prevenire il rischio ma eliminarlo vedremo non è sempre possibile. Nonostante soluzioni hi-tech a protezione e tutela del furto delle password rimane ancora scoperta quell’area di attacco costituita da noi stessi che tratti in inganno attraverso specifici stratagemmi cadiamo nella trappola di fornire “direttamente o indirettamente” la nostra password e … lì non c’è soluzione hi-tech … che tenga.
Come vedremo solo la sinergia di soluzioni informatiche, affiancate da corretti comportamenti diretti ad una più attenta cautela e vigilanza, possono efficacemente mitigare gli attacchi che le nostre password ormai quotidianamente subiscono.  
Tutti avremo almeno una volta sentito parlare di Trojan, un tipo di “malware” che una volta penetrato come l’antica macchina da guerra della nota leggenda epica, infetta il dispositivo, agendo silenziosamente e molto spesso non mostrando segni visibili di attività. Tali evoluzioni di quelli più comunemente noti come “virus” sono in grado di svolgere diverse azioni malevole volte a minare la nostra sicurezza. Basti pensare alle azioni poste in essere dalle diverse tipologie di questa minaccia2 e rendersi immediatamente conto di come con estrema facilità la presenza di un trojan in uno dei nostri dispositivi rappresenti ben più di una minaccia e tra le altre, sia anche perfettamente in grado di “sottrarre/carpire” le nostre credenziali e password. Nel ricordare che questa minaccia può giungere su nostri dispositivi quale file dannoso inviato anche inconsapevolmente da un altro utente, oppure può essere scaricato da un sito Web o copiato da un supporto esterno, va evidenziato che le più recenti evoluzioni non prevedono più il passaggio attraverso file .exe nei confronti dei quali la nostra diffidenza deve rimanere sempre alta, soprattutto quando pervengano da “fonti” sconosciute e non verificate,  ma nelle più recenti versioni si tratta di file solo all’apparenza non eseguibili (ma che poi “eseguono eccome”!). Ragion per cui la diffidenza va estesa anche ai file non eseguibili, in quanto, quello che potrebbe apparire come un semplice “PDF”, potrebbe in realtà celare questa minaccia. Il consiglio è quello di trattare sempre con estrema cautela tutti i file quando provengono da fonti a noi non note e sicure. In tali casi il consiglio è quello di richiamare l’intervento di personale esperto della compagine aziendale che saprà rassicurare o meglio potrà verificare in sicurezza che il file non contenga minacce. Invero gli attaccanti hanno affinato nel tempo le loro tecniche e le “esche” sono sempre più appetitose, tanto che questi pericoli vengono ormai mascherati attraverso immagini, video, archivi-compressi, documenti, etc.., all’apparenza innocui e ai quali spesso non resistiamo.  
La maggior parte degli antivirus risulta oggi “adeguatamente attrezzata” per fronteggiare minacce di questo tipo e non è qui il caso di lodarne alcuni piuttosto che altri, ritengo invece importante evidenziare che quant’anche l’antivirus risulti implementato per poter individuare e neutralizzare questo tipo di attacco, ancora una volta i nostri comportamenti ne influenzano pesantemente l’efficienza e efficacia3. Soprattutto in questo caso è evidente come un più frequente cambio delle nostre password, il non conservarle memorizzate nei browser (ma digitarle di volta in volta) ed ancora evitare sempre, di interrompere le funzionalità degli antivirus quant’anche possibile4, può contribuire fortemente ad impedire o ridurre le conseguenze di un attacco attraverso trojan finalizzato all’acquisizione delle password utilizzate dall’utente.
Molto più influente e determinante è il comportamento dell’utente negli attacchi di “Phishing”, non è questa la sede per un approfondimento sulla tematica, tipologie e varianti della “pesca” che peraltro come il precedente esempio, meriterebbe un articolo a sé, ma qui mi limito ad evidenziare come “strategico” e determinante sia il contributo “umano” al successo o insuccesso di un attacco di questo tipo.
Le e-mail di phishing hanno l’obiettivo di attirare (l’ignaro utente) su un sito fake, dove a vario titolo verrà richiesto di inserire le proprie credenziali che verranno poi attraverso altre tecniche, carpite dall’attaccante. In questo contesto ormai la fantasia non ha veramente più limiti si va da siti fake costruiti ad hoc e molto spesso più attraenti ed accattivanti di quelli veri, alle minacce di vedersi la polizia postale sulla porta di casa o ancora di essere improvvisamente diventati “eredi” di una fortuna milionaria; al di là delle ovvietà (forse ormai in queste nessuno ci casca più … ma non è vero!) la fantasia non ha davvero limiti e “scoperta” una email di phishing l’attaccante subito si premura di confezionarne un’altra differente e capace di resistere alle diffidenze, magari affinatesi nel tempo. Sta di fatto che quotidianamente quale mezzo diretto o indiretto di attacco questa tecnica mantiene ancora la sua efficienza ed efficacia, ne sono riprova alcuni studi svolti in aziende dove il personale anche dopo aver subito un attacco di “phishing” ed essere stato opportunamente addestrato ad evitarlo, dopo poco tempo … inevitabilmente ci ricasca … forse è vero il detto che “ognuno prima o poi abbocca all’esca”….anche quando pensa “di sicuro questo non capita a me!”.
Il consiglio che più volte ci è stato fornito dagli esperti e quello di guardare attentamente l’URL del sito, in quanto alcuni siti falsi hanno una lettera in più nell’indirizzo, altri errori ortografici nel testo del nome di dominio, un doppio nome di dominio, etc. Ma oggi l’affinamento delle tecniche di attacco ha superato questi indicatori ne è un ulteriore esempio la sgrammaticatura di certe email ormai quasi del tutto sparita e il ricorso a tecniche di persuasione meno enfatiche che tendono effettivamente a far credere anche ai più attenti di essere proprio sul sito della propria banca, o nel proprio account social. Per chi volesse approfondire la tematica sulle tecniche di “mascheramento” segnalo che nel caso di un attacco browser-in-the-browser, l’ignaro utente potrebbe vedere il sito di phishing con un indirizzo autentico.5 Ragion per cui quant’anche l’apporto umano risulti determinante (qualcuno deve scrivere la password) è altrettanto evidente come certe tecniche di attacco, come quella appena testé evidenziata, rendano davvero difficile la vita-digitale anche al più attento e smaliziato degli utenti. 
Ad ogni buon conto ancora una volta, contromisure hi-tech basate sul controllo dell’URL e specifiche configurazioni del browser (agendo per esempio sul blocco degli elementi javascript aiutano a fronteggiare tale tipo di minaccia, tuttavia anche se il comportamento dell’utente può essere abilmente influenzato, comunque, una maggior sensibilità, consapevolezza ed attenzione a questi pericoli non può che avere effetti positivi in termini di prevenzione e maggior sicurezza. Richiamando il browser-in-the-browser dobbiamo ricordare anche le altre tipologie di attacco perpetrate verso il browser. Siamo sempre più abituati ed indotti a memorizzare le nostre password di accesso ai diversi servizi e siti nel browser. Operazione molto comoda che ci permette di accedere con pochi click senza dover ogni volta digitare le credenziali (user e password). Tali comportamenti sono ben noti agli attaccanti che sfruttano vulnerabilità o estensioni malevole del browser, riuscendo a carpire le password ivi memorizzate.
A tal proposito alcuni produttori di antivirus hanno sviluppato appositi browser o adottano sistemi di protezione ai più comuni browser che vanno a risolvere le vulnerabilità ed impediscono le estensioni malevole eventualmente attivate inconsapevolmente dall’utente. Ancora una volta quelle che a prima vista possono sembrare implementazioni rivolte ad agevolare l’utilizzo delle password da parte dell’utente possono comunque nascondere insidie e vulnerabilità. Queste se opportunamente conosciute e sfruttate da malintenzionati possono agevolare aggressioni alle nostre password. Ne consegue che se sincronizzare le password tra i browser dei vari dispositivi che utilizziamo da un lato si rileva molto comodo ed efficace, dall’altro può essere alquanto rischioso, in quanto l’attacco ad un singolo dispositivo e l’accesso al corrispondente browser rivelerebbe di fatto tutte le password utilizzate per i vari servizi e siti con le ovvie, infauste, conseguenze.
Sempre nell’ecosistema password un particolare accenno e riflessione deve essere poi dedicata a tutti quegli utenti che per i più svariati motivi si affidano a reti WI-FI – Hot Spot pubblici. Qui le possibilità di “esfiltrazione” delle password ad opera di un hacker aumentano esponenzialmente. Si va dalla creazione di hot-spot fake creati al solo scopo di carpire “credenziali” ai clienti che vi si collegano finanche a vere proprie centrali di “intercettazione” capaci di “sniffare” tutto il traffico da e per un determinato dispositivo. Il primo consiglio è quello di ricorrere sempre alla crittografia del traffico e di evitare sempre quando possibile gli hot-spot pubblici. E qualora proprio non se ne possa fare a meno prestare maggiore attenzione ai propri comportamenti. Un altro ottimo consiglio è quello di attivare dei canali “privati” attraverso il ricorso ad una VPN. In tali contesti se l’impegno da parte delle aziende nell’educare i propri dipendenti a comportamenti digitali e all’utilizzo delle tecnologie di protezione e sicurezza è sempre massimo, dall’altro si rilevano ancora situazioni in cui dipendenti poco avveduti, alla ricerca di reti sempre più veloci e per sfuggire ad alcune “restrizioni” di sicurezza imposte dalle VPN, disattivano tali servizi, ponendosi così facilmente alla mercè degli attaccanti.  
Ma se queste sono le principali minacce e forme di attacco l’elenco è meramente descrittivo e non esaustivo, qui, si vuole solo creare un momento di riflessione da affiancare in questo ecosistema password a tutti quei casi e situazioni in cui la nostra password è stata invece “carpita” con altri metodi magari di ingegneria sociale, piuttosto che semplice apprensione del contenuto di un post-it, di una agenda, etc. ovvero tutti quei casi ove non è intervenuto un attacco “informatico” volto all’acquisizione della ns. password ma ci è stata carpita con modalità molto più rudimentali.  In questi contesti “scevri” dal subire attacchi attraverso raffinate tecniche informatiche, il nostro comportamento è certamente esclusivo e “fondamentale”.
Una delle più recenti modalità di attacco e forse una delle più insidiose e difficili da smascherare è quella che si basa sul ricorso a quelli ormai comunemente noti come “deepfake vocali”. L’attacco si sostanzia a vario titolo nel richiedere credenziali utili all’accesso ai sistemi informatici dell’azienda o ancora peggio, attraverso per l’appunto l’imitazione della voce di un dirigente/manager dell’azienda, disporre ordini, bonifici e molto altro (ma fermiamoci al primo caso più attinente al contesto in trattazione). Pensiamo per un attimo al povero sottoposto che all’improvviso riceve una trafelata telefonata da parte di quello che potrebbe “giurare” essere il suo “amministratore di rete” che adducendo scuse varie gli chiede di compiere alcune operazioni o ancora le credenziali necessarie ad accedere a determinati servizi. Ma immaginiamo anche il manager che con varie scuse gli ordina di provvedere immediatamente all’esecuzione di un bonifico/ordine etc. Peccato che dall’altra parte del telefono non ci sia il capo/amministratore di rete ma un abile attaccante che attraverso programmi ormai facilmente reperibili in rete6 è riuscito a “clonare” la voce di questo dirigente ed ora la utilizza per scopi quasi sempre “poco leciti”. Il vero problema all’esecuzione del piano “diabolico” è avere a disposizione una registrazione audio (un campione) della voce da clonare ed il gioco è fatto in pochi click ed in tempo reale. Inutile dire di fare attenzione nel rilasciare “interviste” … ma a parte gli scherzi in un contesto così delineato appare evidente come sia necessario prevedere a livello aziendale appositi disciplinari/policy che istruiscano il personale su tali minacce e sul da farsi. Probabilmente evitare di rilevare/o porre in essere azioni sulla mera scorta di ordine telefonico quant’anche così sollecitati può essere la soluzione, ovvero il ricorso a tecniche di cd. “doppia autenticazione” (oltre all’ordine telefonico) possono se non impedire, mitigare di molto questi attacchi. Per esempio sul versante password l’utilizzo di una password (forse potremo anche chiamarla “parola d’ordine”) nota solo al disponente/ordinante effettivo e al ricevente esecutore potrà fungere certamente da baluardo difensivo verso questo tipo di attacco fintanto che ovviamente l’abile attaccante non riuscirà magari con altri stratagemmi ad ottenere anche quella. Altrettanto potranno funzionare ad argine di tali attacchi tutti quei “protocolli aziendali” che prevedano un “quid-pluris” alla mera telefonata dispositiva, invio di una email avente un certo contenuto previamente concordato, una videochiamata, una contro chiamata di controllo, etc.  
Ma torniamo alle nostre password! Dalla panoramica (spero non drammatica) che ne emerge, risulta come al di là delle problematiche sopra evidenziate il ricorso al password- manager risulti allo stato lo strumento di miglior mitigazione (ce ne sono decine scegliete quello che per semplicità e sicurezza vi sembra più affidabile). Il funzionamento a fattor comune prevede la conservazione delle Vs. password (crittografate) e la possibilità di poterle richiamare ed utilizzare rapidamente. Pur sembrando un serpente che si morde la coda, in quanto anche qui dovremo comunque creare, memorizzare e conservare la cd. master-password; è pur sempre vero che dovremo crearne, memorizzare e conservare una sola, il che perlomeno ci fa uscire da alcune problematiche. Attenzione però a conservare quest’ultima con molta attenzione ovviamente senza ricorrere a tutti i comportamenti errati già sopra stigmatizzati e che spero abbiano aiutato tutti ad una più attenta revisione dei propri comportamenti.
Di recente, si sono affacciate soprattutto nel mondo Apple le cd. Passkey7 che promettono l’abbandono delle password come meglio, in nota specificato. Tuttavia, allo stato, anche tale nuova tecnologia al primo accesso ai vari servizi … chiede la password dell’ID Apple per cui lascio a voi l’ovvia conclusione che si sostanzia nel rilevare come nonostante i numerosi sforzi posti in essere siamo ancora in balia di una password (quella dell’ID Apple).
Come creare allora quell’unica password che rappresenta metaforicamente la chiave della cassaforte che contiene le altre chiavi per aprire le altre casseforti? Senza entrare troppo nello specifico nel momento in cui abbiamo necessità a vario titolo di una password, (con questo termine ricomprendo nel prosieguo anche le password/codici meramente numeriche per esempio un PIN ma anche i cd. codici “gesture”, ricomprendendo quindi tutto ciò che è un codice alfanumerico) ci troviamo invero, difronte ad una ulteriore serie di difficoltà e problematiche (qualora non bastassero quelle già tratteggiate).
La prima è sicuramente quella di “generare” una password “forte” e qui si aprono diverse opportunità affidarsi ad un generatore di password che nel rispetto di alcuni principi generali di sicurezza, ci restituirà una password alfanumerica (con lettere maiuscole e minuscole) corredata di qualche carattere speciale a noi completamente “aliena”; oppure sulla scorta di quella ottenuta dal generatore, generarne una “personale” rispettando quella matrice, ma anche ricorrere ad una matrice del tutto “personale” (un nome, una data, un luogo, un ricordo a noi noti) che corredata di qualche numero, mischiata ad arte  e con qualche carattere speciale qui e là, andrà a costituire la nostra password (forte).
Sono evidenti i vantaggi e gli svantaggi della scelta effettuata che vanno da una maggior praticità ma minor sicurezza ad una elevata sicurezza e poca praticità in ogni caso ci sarà poi sempre il problema di memorizzarla, abbiamo visto che l’ideale sarebbe conservare detto “segreto” nella nostra mente, esercizio purtroppo non facile e di scarsa affidabilità ci si riaffida quindi a strumenti tecnologici che a loro volta tuttavia richiedono sempre una password. Il consiglio rimane quello di creare una “master-password” (forte) ed affidarsi ad un password-manager efficiente.
L’esercizio principale e più complesso in questo “ecosistema-password” è quello per l’appunto di coniugare la semplicità di memorizzazione e recupero della password con una altrettanto necessaria complessità che ne renda di contro difficile se non impossibile in tempi accettabili la scoperta. Questo è veramente l’esercizio più difficile.
I consigli sono i più disparati personalmente trovo comodo il ricorso all’algoritmo di HASH e alla mia memoria, quantomeno per la master password, la procedura è la seguente (se ho stimolato il vostro interesse!) … Prendete una poesia che ricordate fin dai tempi del liceo e scrivetela in un file di testo salvato come “poesia”, o una formula matematica sempre riportata in un file di testo salvato come “compito di Martina”, oppure la foto di un luogo che non dimenticherete mai; ora prendete uno di quei file (poesia, formula, foto) da oggi dovrete solo ricordare quale è il file “chiave” e scaricate questo programma “HASH MY FILE”8 (vi sarà utile anche per altro!), installatelo magari sul vostro Pc personale ed ora trascinate il file “chiave” sul programma che vi restituirà un CRC32 ossia una breve stringa alfanumerica (che è una sorta di targa – codice fiscale che non cambierà mai del vostro file) ora utilizzatela come matrice e nel rispetto della sicurezza aggiungete le vostre iniziali nome e cognome (nome e cognome come lettera maiuscola) e per finire mettete il vostro carattere speciale preferito. Ecco questa potrà essere la vs. master password che definirei “fortissima”9 e la cui matrice/radice rimane conosciuta solo a voi ma facile da ricordare attraverso quel file chiave. 
Prima di concludere vorrei anche rispondere a tutti coloro che stanno pensando alla Biometria! Grande cosa che in parte ha risolto alcune delle problematiche e criticità sopra evidenziate ma che ancora non ha raggiunto la possibilità di espungere totalmente il ricorso ad una password. Basti pensare ai passi da gigante fatti nel mondo “mobile” sugli smartphone ove ormai i sistemi biometrici, impronte e viso sono a corredo anche dei dispositivi più economici, tuttavia chi già li conosce sa bene che una password è sempre sottesa per ovvi motivi di sicurezza a questi sistemi che potrebbero fallire per vari motivi: rottura del rilevatore biometrico; imperfezioni postume alla traccia biometrica registrata (modifiche delle impronte, viso etc.). Invero nonostante oggi sia possibile essere riconosciuti anche indossando gli occhiali o una mascherina, per ovvi motivi (si pensi ad un incidente che potrebbe deturpare il volto), è sempre necessario prevedere la possibilità di sblocco del dispositivo (accesso allo stesso) attraverso il ricorso ad una classica password numerica o alfanumerica…. siamo sempre daccapo.
Siamo ancora in balia di una password.
Ora qualcuno potrebbe anche affermare che vi è sempre un metodo per “recuperare” una password dimenticata, verissimo e sempre che siate in possesso delle informazioni necessarie a superare gli ormai onnipresenti fattori di doppia o tripla sicurezza potrebbe essere questa un’ottima occasione per rinnovare periodicamente la propria password che ricordo essere una delle principali e riconosciute tecniche di sicurezza. Tuttavia tutti avremo sperimentato almeno una volta la frustrazione della necessità di un servizio per il quale abbiamo magari dimenticato la password e non abbiamo a disposizione lo strumento o informazione capace di farci superare il secondo livello di autenticazione.
Per chi volesse approfondire tematiche quali, quanto è forte la mia password o verificare se la propria password è magari stata “compromessa” attraverso magari un attacco che non ha interessato voi direttamente ma un sito sul quale eravate registrati indico questi tre link a mero titolo di esempio evidenziando che ne esistono diversi comprendenti anche altre funzionalità:

sperando che: il primo vi restituisca un indice di forza elevato; ed il secondo e terzo … non comprendano a seconda dei diversi servizi e sistemi operativi qualcuna delle vostre password. In tal caso … cambiatele subito!
Concludo quindi, sperando di aver solleticato tutti ad un rinnovato interesse verso le nostre password al di là degli strumenti tecnologici e non, più o meno, effettivamente di aiuto, che possiamo utilizzare. Facciamo quindi attenzione nell’utilizzo di tutti quegli strumenti che “prima-facie” appaiono agevolare se non eliminare del tutto il ricorso alle password, spesso “facile” non si accompagna a “sicuro”.  Abbiamo anche visto come risulti ancora necessaria “prima o poi” una password che ancora oggi siamo chiamati a generare, conservare e cautelare da usi impropri.
Abbandoniamo quindi le cattive abitudini che magari ancora ci trasciniamo ed affidiamoci ad una master-password “forte”. Ricorriamo altresì alla sensibilizzazione e formazione del personale in relazione alle più recenti minacce e loro contrasto. Atteso che come abbiamo visto spesso il successo di un attacco alle nostre password, si basa sull’aggiramento di un sistema di protezione ad oggi affidato a strumenti informatici e ad un loro corretto utilizzo da parte degli utenti.
Un’ultima raccomandazione non annotate la master password su uno di quei post-it che purtroppo dopo 30 anni di “sbandierata” sicurezza informatica capita ancora di vedere in bella mostra su molti monitor.

  1. Numerose sono le guide sulla sicurezza informatica e le policy aziendali – disciplinari che ormai impongono l’utilizzo di password cosiddette “forti” 8 o più caratteri alfanumerici corredati anche di caratteri speciali, cambi frequenti, impossibilità dell’utilizzo di “matrici” (sempre la stessa radice modificata da qualche carattere o numero) etc. ↩︎
  2. https://it.wikipedia.org/wiki/Trojan_(informatica) ↩︎
  3. Anche il più efficiente degli strumenti di sicurezza presuppone per una sua effettiva efficienza, un corretto utilizzo. Ed indipendentemente dalla sua efficienza (che nel frattempo potrebbe essere stata superata da qualche attaccante) tutti i comportamenti “virtuosi” di attenzione e prudenza che l’utilizzatore può porre in essere (per esempio segnalare anomalie, stranezze, incongruenze su alcuni files ricevuti) risultano talvolta strategici per impedire attacchi di questo tipo.   ↩︎
  4. È sempre buona cosa impedire all’utente di agire sulle funzionalità dell’antivirus. Capita talvolta di rilevare dispositivi customizzati dall’utente nei quali è stato disabilitato l’antivirus, magari per poter accelerare certe operazioni di trasferimento files. Tali comportamenti vanno evitati e gli utenti devono essere formati consapevoli delle funzioni ormai indispensabili svolte da gli antivirus ed altri strumenti di antiintrusione informatica predisposti dall’azienda.    ↩︎
  5. https://thehackernews.com/2022/03/new-browser-in-browser-bitb-attack.html ↩︎
  6. Per chi a vario titolo volesse approfondire il tema, gli strumenti sono facilmente e liberamente reperibili su GitHub. ↩︎
  7. https://support.apple.com/it-it/HT213305 per chi volesse approfondire l’argomento. ↩︎
  8. https://www.nirsoft.net/utils/hash_my_files.html ↩︎
  9. In pratica – ho utilizzato per praticità una foto di famiglia che conservo con altre in una cartella (foto famiglia) sono particolarmente legato alla stessa, ovviamente ho seguito la procedura ed il programma HASHMYFILE mi ha restituito questa stringa CRC32 (ef182030)   aggiungo un punto esclamativo all’inizio e alla fine così !ef182030! metto le iniziali PL!ef182030!T. Ognuno può adottare il proprio metodo e fare le proprie modifiche purché vengano ricordate il vantaggio è rappresentato dal file “chiave” che funge da matrice effettivamente “nascosta/occulta” ad occhi indiscreti e ben conservata, custodita. ↩︎
NEWS

I PIÙ LETTI

Load more