DROPBOX E LINKEDIN? PERCHÉ PARLIAMO ANCORA DI QUESTO?

Postato il

Ian Trump

dropbox-e-linkedinNon volevo scrivere questo blog, perché il solo pensiero delle violazioni dovute al riutilizzo delle password mi uccide. LinkedIn, Adobe, GitHub, TeamViewer e quasi tutti gli altri servizi cloud fin dalla loro nascita, hanno trattato fino a poco tempo fa l’autenticazione dei clienti con la minima considerazione della sicurezza possibile.

Basta guardare la recente copertura mediatica delle violazioni di LinkedIn e Dropbox. Nel caso di Dropbox, i dettagli e le password di accesso di circa 68 milioni di utenti sono riemersi per la vendita nel Dark Web il mese scorso, con LinkedIn si contano 117 milioni di credenziali di account apparse a maggio di quest’anno. Se queste fossero violazioni nuove, sarebbero rilevanti, ma non lo sono: risalgono entrambe al 2012. Quindi, perché oggi, circa quattro anni dopo, stiamo ancora parlando di loro?

Prendiamo in considerazione un paio di eventi che sarebbero potuti accadere tra la violazione e l’offerta dei dati per la vendita. Nessuna delle due piattaforme sarà rimasta seduta a girarsi i pollici. Innanzitutto, avrebbero forzato un ripristino delle password per tutti gli ID utente compromessi e, in secondo luogo, avrebbero suggerito o pregato gli utenti di adottare una forma di autenticazione a due fattori.

Eppure Reddit, LinkedIn e Twitter hanno dato di testa perché le persone che hanno subito la violazione stavano utilizzando la stessa password dal 2012 in una vasta gamma di servizi cloud diversi. Queste sono le stesse persone che, nella maggior parte dei casi, sono obbligate a cambiare le proprie password di accesso aziendali locali ogni 90 giorni.

Le combinazioni di ID utente/e-mail e password rivelate in queste grandi violazioni sono state riutilizzate tra diversi fornitori di servizi fino a danneggiare completamente la sicurezza dei dati personali/privati o dell’integrità aziendale. Tuttavia, l’indignazione e lo sdegno di fronte agli attacchi di riutilizzo delle password si riversano online come una sorta di perdita tossica. Quando TeamViewer, con una franchezza tipicamente tedesca, ha suggerito che i loro clienti “non seguivano le best practice” sono stati accusati di essere troppo “rigorosi”.

In risposta, lasciatemi dare un paio di suggerimenti per la protezione dei servizi cloud.

pablo-14

  1. Se riutilizzate le vostre password preferite per tutti i servizi online, state andando in cerca di guai

Se non utilizzate un sistema di gestione delle password, almeno provate a utilizzare un algoritmo di password autogenerato: ad esempio <password riutilizzata>+<nome del servizio>+<password riutilizzata>. Così “Unclejerry” come password (che tra l’altro ha una sicurezza minima) diventa “unclejerry+dropbox+unclejerry” (sicurezza decisamente migliore). Non solo è più sicura, è anche più facile da ricordare rispetto a una stringa di numeri casuali e linguaggio privo di senso.

In genere, per decrittare gli attacchi, più la password è lunga e più tempo è necessario per violarla. Anche con la crittografia, una password di 10 caratteri non è difficile da violare; tuttavia, una password di 29 caratteri, con due caratteri speciali, richiederà un’enorme quantità di tempo per decifrarla, a prescindere dalla potenza di calcolo e dalla tecnologia software utilizzate.

Tutto ciò che l’utente deve ricordare è la propria password preferita, un carattere speciale e il nome del servizio a cui sta tentando di accedere. Fintanto che il fornitore fa un lavoro discreto di crittografia, i dati del cliente rimarranno molto difficili da forzare o decifrare. Potete anche mischiare l’ordine per rendere le cose ancora meno prevedibili.

 

  1. Due fattori (2FA), talvolta chiamata Autenticazione a più fattori (MFA), fornisce una protezione a prova di errore se la password viene decifrata o compromessa

Generalmente prevedere l’invio di un codice di autenticazione al telefono cellulare per verificare l’accesso. Questa è un’ottima protezione e finché si fa attenzione al telefono, in termini di installazione di applicazioni e patch e aggiornamenti, tutto va per il meglio. Alcune persone che conosco utilizzano un telefono separato non smart solo con SMS per l’autenticazione ai servizi cloud. Oggi, i servizi cloud più rispettabili, offrono 2FA. Potrebbe essere necessario attivarla, ma sta diventando una best practice standard. Credo fermamente che 2FA per tutti i servizi cloud fornisca un’ottima protezione dell’account.

Esistono molte precauzioni che gli utenti possono adottare quando utilizzando servizi cloud e di social network per garantire il controllo del loro account. La ricerca di funzioni di sicurezza come quelle offerta da Google, Facebook, Microsoft e Dropbox è di responsabilità dell’utente. Se non utilizzate tutte le funzioni di sicurezza disponibili offerte dal fornitore del servizi cloud, la domanda che vi pongo è semplice:“Perché facilitate il compito agli hacker?”

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...