Password e metodi di autenticazione: come tutelarsi dal furto di dati

Password e metodi di autenticazione tutto quello che devi sapere per tutelarti dal furto di dati

Password e metodi di autenticazione: come tutelarsi dal furto di dati

Diffusione di virus informatici, violazioni di dati personali, attacchi malware accompagnati da richiesta di riscatto ma non solo: l’intrusione di “ospiti” indesiderati nei nostri dispositivi digitali è un fenomeno sempre più all’ordine del giorno.

Siamo di fronte a una seria minaccia che mette a rischio la nostra privacy e la tutela dei nostri dati sensibili. Nella peggiore delle ipotesi, il pericolo che si corre è di incappare in furti delle credenziali bancarie che possono condurre a perdite incolmabili nei nostri patrimoni personali.

Di fronte al crescente uso dei dispositivi digitali per compiere le più disparate operazioni che riguardano la nostra quotidianità, risulta chiaro che diventare più consapevoli in materia di cybersicurezza è una necessità che non risparmia nessuna realtà istituzionale, nessuna azienda né tanto meno nessun cittadino.

Per farsi un’idea della portata del problema è sufficiente citare alcuni dati. Secondo quanto rilevato dal Rapporto Clusit 2021 sulla cyber security, a livello globale gli attacchi informatici continuano a crescere ininterrottamente. Per l’esattezza sono stati 1.871 gli attacchi gravi compiuti nel 2020. Un dato che ha fatto schizzare a un +12% l’indice rispetto all’anno precedente e addirittura a un +66% il numero degli attacchi gravi in confronto al 2017. Un trend che non ha risparmiato neanche l’Italia.

Le minacce informatiche vanno insomma affrontate, seriamente e proattivamente, adottando tutte le misure del caso.

Un corretto approccio alla cybersicurezza non può prescindere da una conoscenza dell’uso corretto di password e metodi di autenticazione. In questo articolo, focalizzeremo l’attenzione sui più attuali sviluppi che riguardano questo aspetto essenziale della cyber security.

Oltre ad analizzare l’attuale utilizzo di password e metodi di autenticazione, ci soffermeremo anche sul tema della privacy rispetto ai cookie di profilazione e sulle nuove alternative che, in affiancamento a moderni e sicuri antivirus professionali, come pure a soluzioni in termini di firewall, si stanno implementando per tenere a bada le minacce informatiche, in modo da salvaguardare la sicurezza degli utenti.    

 

Sommario:

Password e metodi di autenticazione: come tutelarsi dal furto di dati

Metodi di autenticazione: caratteristiche fondamentali

Autenticazione tramite password

Autenticazione a due fattori

Navigazione sui siti web: il ruolo dei cookie di profilazione nella privacy degli utenti

Riconoscimento biometrico

Elle Di Ufficio: specialisti nella sicurezza informatica

 

Metodi di autenticazione: caratteristiche fondamentali

A livello informatico l’autenticazione è una funzione che, dopo aver verificato l’identità di un utente, gli permette di accedere a una risorsa tecnica o informativa protetta, autorizzandolo a usufruire dei relativi servizi associati a essa.

Dietro quella che a parole appare come una semplice definizione, si celano aspetti tecnici e funzionalità essenziali che rendono in realtà l’autenticazione un processo molto complesso.

Nella scelta dei migliori metodi di autenticazione, occorre infatti tener presenti svariati fattori quali:

  • Le vulnerabilità delle diverse risorse come computer, smartphone, tablet ma anche apparecchiature intelligenti che attualmente sono in grado di connettersi a Internet;
  • Il livello di sicurezza. Un metodo di autenticazione deve essere in grado di fronteggiare attacchi esterni da parte di malintenzionati nonché di rispondere con efficienza a eventuali negligenze da parte dell’utente che ne fa uso;
  • L’usabilità. È bene ricordare che non tutti gli utenti possiedono le medesime capacità di interazione con gli strumenti tecnologici né tantomeno di navigazione sui siti web. Oltre che a essere garante di sicurezza, il processo di autenticazione deve perciò risultare rapido, intuitivo, di facile esecuzione e possibilmente capace di adeguarsi alle diverse piattaforme e necessità dell’utente.

 

Autenticazione tramite password

L’utilizzo delle prime password a livello informatico risale agli anni ‘60. Sebbene siano trascorsi ormai diversi decenni, l’uso di questo strumento di autenticazione non sembra ancora destinato a tramontare.

Di fronte alle innumerevoli violazioni dei dati sensibili che si stanno verificando negli ultimi anni, sempre più utenti riconoscono che le tradizionali password risultano inadeguate per fronteggiare le crescenti minacce informatiche.

Eppure, nonostante si continuino ad annunciare nuove soluzioni, le password restano tuttora lo strumento di autenticazione di più facile utilizzo nonché la base di partenza per la messa in sicurezza delle nostre informazioni sensibili.

·       Password: gli errori da evitare

La scelta delle password va effettuata in modo estremamente scrupoloso. È facile immaginare i danni che la sottrazione della password possa comportare a livello personale e ancor di più all’interno di una realtà professionale. Dalla violazione di credenziali amministrative possono infatti derivare danni finanziari incalcolabili ma anche furti di informazioni e di documenti sottoposti a segreto aziendale o industriale.

Uno degli errori più comuni sul fronte della cybersicurezza di cui possono divenire responsabili gli utenti è quello di creare password semplici da ricordare o, peggio ancora, di usare sempre la medesima combinazione per tutti i servizi a cui si accede.

Non esiste mancanza più grave sul fronte della sicurezza informatica. In situazioni simili, è sufficiente che un hacker riesca a prendere possesso anche di un solo account dell’incauto utente per accedere liberamente a tutti gli altri servizi di cui la persona fruisce, sottraendole le informazioni più riservate.

Negligenze altrettanto comuni da parte degli utenti sono:

  • La creazione di password contenenti la propria data di nascita oppure stringhe di testo banali come “abcde” o “1234”, ovvero password facilmente indovinabili;
  • La divulgazione dei propri dati di autenticazione a parenti, amici o colleghi;
  • L’inadeguata protezione delle password, appuntate su fogli volanti o in chiaro su un file, come documenti Word o Excel.

A questi errori si affianca la trappola del phishing, vera e propria truffa effettuata mediante una comunicazione digitale, attraverso la quale un malintenzionato finge di essere un ente affidabile e cerca così di ingannare la vittima di turno, convincendola a fornirgli codici di accesso, dati finanziari o informazioni personali. Una trappola in cui molti utenti continuano tuttora a cadere, nonostante le frequenti campagne di sensibilizzazione a riguardo.

·       Gli attacchi alle password

A prescindere dall’attenzione che un utente può mettere nella tutela delle proprie credenziali di accesso, esistono altre tipologie di attacchi che un malintenzionato può mettere in atto per rubare una password.

A livello di sistemi locali, una delle tecniche più comuni è il cosiddetto attacco a forza bruta o Bruce Force Attack. Si tratta di una tipologia di attacco particolarmente diffusa nel furto delle credenziali di accesso nei siti web e nei blog, che si basa su una logica piuttosto semplice.

Mediante un software Bot, si cerca di effettuare l’accesso bombardando il server con combinazioni di password alfanumeriche, fino a quando viene trovata la stringa giusta. Altra tecnica diffusa è l’attacco a dizionario, che mira a scoprire la password svolgendo una ricerca tra enormi elenchi di parole memorizzate.

Il successo di questo tipo di attacchi dipende solitamente dalla potenza di calcolo di cui si è a disposizione e quindi anche dal costo del computer.

Un ostacolo che oggigiorno può essere comunque aggirato, ricorrendo a soluzioni di Cloud Computing che mettono a disposizione a prezzi accessibili potenze di calcolo precedentemente disponibili solo per realtà e organizzazioni capaci di permettersi finanziamenti consistenti.

Una buona regola di cyber security per contrastare le tipologie di attacco descritte finora consiste nel creare password sempre più lunghe e complesse, in modo che risultino difficilmente individuabili. Generalmente una password variabile dai 12 ai 16 caratteri può essere considerata sufficiente. L’ideale è inserire nella combinazione anche dei caratteri speciali.

Diverso è il caso in cui l’attacco derivi dall’installazione sul dispositivo dell’utente di malware dotati di keylogger, ossia software in grado di monitorare i testi che vengono digitati sulla tastiera.

Per poter fronteggiare con efficacia questa tipologia di minacce informatiche è consigliabile munirsi sempre di antivirus e antimalware aggiornati, nonché potenziare il livello di sicurezza della propria rete, fornendosi di valide soluzioni firewall.

mdaemon antivirus

 

Autenticazione a due fattori

Per poter accrescere il livello di sicurezza garantendo una corretta protezione delle credenziali di accesso, attualmente sempre più servizi online consigliano di attivare l’autenticazione a due fattori. Definita anche “verifica in due passaggi”, “autenticazione two-step” o “2FA” (dall’inglese “Two Factor Authentication”), questa metodologia di autenticazione, come il nome stesso suggerisce, è una particolare prassi di accesso che si svolge in due passaggi.

Nella autenticazione a due fattori, dapprima si richiedono le abituali credenziali, ovvero uno “username” accompagnato dalla rispettiva password.

Nel secondo passaggio, si chiede di inserire un ulteriore codice utilizzabile un’unica volta, che viene generato e inviato all’utente qualche secondo dopo aver effettuato il primo passaggio.

Il secondo codice può essere recapitato all’utente attraverso vari mezzi, tra cui, ad esempio:

  • Un SMS;
  • Un’e-mail;
  • Una chiamata vocale;
  • Un’app creatrice di codici;
  • Un Token, ossia un dispositivo capace di generare codici segreti.

Una volta ricevuto il codice, per l’utente è sufficiente inserirlo nell’apposito campo e dare conferma per poter così concludere l’accesso.

L’autenticazione a due passaggi viene ad esempio molto sfruttata nell’ambito dell’home banking, in cui è generalmente supportata dall’utilizzo di Token. Va precisato che con il passare del tempo, come conseguenza della diffusione capillare di smartphone e tablet, i Token fisici stanno progressivamente entrando in disuso.

A sostituirli intervengono apposite app che sono capaci di generare e di trasmettere i dati di autenticazione in modo protetto, svolgendo una funzione analoga ai Token fisici seppur in modalità digitale.

Pur non escludendo in maniera definitiva il furto di credenziali, è innegabile il fatto che l’autenticazione a due passaggi ne diminuisce significativamente le possibilità, costituendo oggi come oggi uno dei metodi di autenticazione più sicuri.

 

Navigazione sui siti web: il ruolo dei cookie di profilazione nella privacy degli utenti

Altro aspetto rilevante nell’ambito della tutela dei dati personali da un punto di vista informatico è quello correlato ai cookie di navigazione usati dai siti web. Chiunque navighi abitualmente in rete si sarà più volte imbattuto negli appositi banner che consentono di gestirli, rifiutandoli o accettandoli. Ma cosa sono per l’esattezza i cookie? E come possono influire sulla sicurezza degli utenti?

A livello tecnico, i cookie non sono altro che dei piccoli file necessari affinché i server dei siti web che li ha installati possano tracciare l’attività specifica che l’utente compie su quelle pagine, ottenendo così informazioni dettagliate.

I cookie dei siti web possono essere distinti nelle seguenti macro-categorie:

  • Cookie tecnici che permettono ai siti web di funzionare correttamente, accrescendone la fruibilità da parte degli utenti;
  • Cookie analitici, finalizzati a fornire ai gestori dei siti dati strettamente statistici, come il numero totale dei visitatori che accedono agli stessi;
  • Cookie di profilazione, usati per creare dei profili relativi ai visitatori dei siti, che vengono successivamente sfruttati per fini commerciali;
  • Cookie di terze parti che permettono alle imprese di ricostruire le attività degli utenti sui vari siti, ottenendo così una profilazione più dettagliata, usata per una pubblicità personalizzata.

Come è facile intuire, tra queste categorie sono i cookie di profilazione e di terze parti a costituire una potenziale minaccia per l’utente e la sua privacy. Considerata l’invasività che i cookie di profilazione possono avere nella sfera privata degli visitatori di un sito, l’attuale normativa italiana ed europea ha stabilito che gli utenti debbano essere puntualmente informati sull’uso degli stessi, esprimendo il proprio consenso al loro inserimento sul rispettivo terminale.

Il cookie banner ha per l’appunto la funzionalità di informare gli utenti rispetto ai cookie che il sito su cui si sta navigando intende installare. Per poter tutelare i propri dati personali evitando che siano utilizzati per fini commerciali e/o pubblicitari, agli utenti viene quindi data la possibilità di rifiutarli.

 

Riconoscimento biometrico

Negli anni più recenti gli sviluppi tecnologici hanno permesso di dar vita al riconoscimento biometrico, una tecnica di autenticazione che permette di identificare un utente in base ad alcune sue caratteristiche fisiologiche o comportamentali, come ad esempio la scansione del volto, la scansione dell’iride, l’impronta digitale, l’impronta vocale, lo stile di battitura sulla tastiera nonché i movimenti del corpo.

La tecnica si basa su sistemi hardware finalizzati all’acquisizione dei dati a cui vengono integrate delle componenti software che, mediante algoritmi matematici, permettono di ricostruire l’identità di un soggetto, riconoscendolo.

Il riconoscimento biometrico è una metodica di autenticazione certamente comoda e immediata.

Esistono tuttavia ancora varie problematiche che ne limitano la diffusione su ampia scala. Tra i principali ostacoli, nel caso di accesso remoto va ad esempio ricordato che i fornitori di servizi Web non usano questa tecnica sia a causa delle difficoltà di raccolta dei dati biometrici sia per la criticità che si manifesta in fase di memorizzazione degli stessi.

A livello di accesso locale, invece, l’autenticazione biometrica è già ampiamente sfruttata. Basti pensare all’uso che se ne fa come metodo di accesso negli smartphone. In questo particolare contesto, l’autenticazione biometrica si dimostra molto efficace. Non solo perché risulta pratica ma anche perché il furto dei dati biometrici a livello locale è pressoché impossibile per qualsiasi malintenzionato che si impossessi illecitamente del dispositivo.

La tecnologia dell’impronta digitale è ad esempio uno dei metodi di autenticazione più usati per lo   sblocco dello schermo degli smartphone. Per rintracciare la comparsa di questa metodica sulla scena informatica occorre tornare indietro di un paio di decenni. Il riconoscimento dell’impronta digitale esiste infatti dal 2000 per l’identificazione dei dati di accesso al computer. Va tuttavia rammentato che anche quando l’autenticazione biometrica viene applicata sugli smartphone, in parallelo permane la presenza di una password per proteggere l’utente nell’eventualità si verifichi un uso improprio del metodo di autenticazione.

Nonostante le interessanti prospettive che si stanno aprendo sul fronte delle tecnologie, in definitiva, si può affermare che allo stato attuale ancora non esiste un metodo di autenticazione capace di sostituirsi totalmente e definitivamente alla password.

Restiamo perciò in attesa dei futuri sviluppi, ricordando che la cybersecurity rappresenta un’area di azione prioritaria per qualsiasi realtà aziendale o istituzionale che voglia davvero salvaguardare la propria sicurezza.

 

Elle Di Ufficio: specialisti nella sicurezza informatica

Elle Di Ufficio è una realtà specializzata nella vendita e nel noleggio di soluzioni informatiche di ultima generazione.

Il nostro catalogo offre un vasto ventaglio di prodotti e servizi, che spaziano dalle stampanti multifunzione ai sistemi di storage SAN e NAS.

Tra i nostri prodotti puoi trovare anche soluzioni all’avanguardia come antivirus professionali o firewall, strumenti essenziali per proteggere i tuoi dispositivi digitali e la tua rete da pericolose violazioni informatiche.

Per qualsiasi informazione o per un preventivo senza impegno puoi contattarci o raggiungerci nella nostra sede operativa. Ci trovi a Buccinasco, in provincia di Milano.

Elle di Ufficio

Elle Di Ufficio è un’azienda con esperienza trentennale nel campo della fornitura di servizi e apparecchiature per l’ufficio come computer, stampanti, centralini, mobili. Nasce nel 1987 dall’unione di Office Automation e Information Technology e ha sede nella provincia di Milano

Contatti

Largo Brugnatelli 5/3 20090 Buccinasco (MI)

Telefono 02 45712919
Email info@ellediufficio.it

Orari
Lun - Ven 08:30 - 18:00