Approfondimento a cura di Matteo Graci, Fondatore di Storyline S.r.l., Ethical Hacker, Penetration tester, Security consultant.
Mi hanno rubato la password. E ora?
Questo articolo prosegue dal primo che trovate a questo link, di cui si consiglia la lettura per riuscire a seguire al meglio i contenuti del presente.
Qualche giorno fa abbiamo presentato i concetti di Data Breach, la triade RID (Riservatezza, Integrità, Disponibilità), CIA per gli amici americani (Confidentiality, Integrity, Availability), e oggi prendiamo le mosse da quei concetti e vediamo come possiamo difenderci se siamo stati coinvolti in un data breach che riguarda uno o più dei nostri account.
Innanzitutto, come scopro se sono stato coinvolto in un data breach?
Chiunque sia titolare di un trattamento dati di cui tu sei interessato, è anche obbligato per legge a notificarti se i tuoi dati sono stati coinvolti in un data breach. La forma con cui lo farà è varia, può essere una mail personale (tenete sempre d’occhio le vostre caselle alternative!), oppure con una comunicazione di massa, come un annuncio nella home page del sito istituzionale dell’azienda.
Una delle ultime aziende ad aver avviato la campagna di comunicazione per informare i suoi utenti di aver sofferto un data breach è stata Flipboard, che ha mandato una mail a tutti gli iscritti spiegando l’accaduto, erogando consigli su come proteggersi e spiegando la gravità dei fatti. Ovviamente questo non è l’unico modo per essere informati, altre compagnie più in vista finiscono nelle prime pagine dei giornali con grande risonanza, come è successo a British Airways, i cui dati hanno letteralmente preso il volo…
Se però vuoi tenere un atteggiamento più attivo, puoi fare alcune cose che aumenteranno la tua sicurezza personale.
La prima è iscriversi ad uno dei nostri corsi di Security Awareness, dove questi argomenti vengono sviscerati e resi accessibili a chiunque.
La seconda è appoggiarsi alla grande comunità di internet per sapere se il tuo indirizzo di posta elettronica è stato trovato dentro qualche data breach, e se non vuoi fare periodicamente il giro di tutti i siti che ospitano le raccolte, puoi installare l’interessante estensione di Firefox chiamata “Firefox Monitor”, che si occuperà al tuo posto di controllare gli archivi di credenziali di accesso rubate. Non farà molto altro, ma ti darà il polso della situazione senza costare nulla, in pieno stile Open Source.
Infine, dovrai cambiare le modalità di accesso ai tuoi servizi abilitando, dove possibile, l’autenticazione a più fattori. Di cosa si tratta?
Tutto parte dalle considerazioni che abbiamo già esposto nell’articolo precedente. La nostra identità digitale è spesso affidata all’abbinata username/password.
In linea di principio, quando un utente si collega ad un servizio internet, viene identificato attraverso uno username e ne viene autenticata l’identità con una password, che se corrisponde a quella contenuta nel database del sistema a cui vogliamo accedere, permette di usufruire di dati e informazioni che altrimenti non sarebbero accessibili.
L’accesso al sistema avviene identificandosi, ossia affermando “il mio nome utente è questo”, e provando l’autenticità di questa affermazione fornendo una password.
Questo è il metodo di autenticazione a singolo fattore, attualmente il più diffuso. Purtroppo, anche il più debole: il nome utente è per ragioni di comodità spesso pubblico, esattamente come il proprio nome e cognome. Affidando l’autenticazione alla sola sicurezza offerta da una password, probabilmente neanche troppo complessa, commettiamo un errore di valutazione che espone l’utente a moltissimi rischi. La tecnologia però ci viene in aiuto, con i sistemi di autenticazione a più fattori.
I ricercatori di sicurezza hanno definito un modello efficace ed estremamente sicuro, che dispone l’autenticazione su tre fattori ideali, separati logicamente, ma sovrapponibili per provare l’identità di una persona. Gli americani (sempre loro!) li definiscono come: “Something you know, Something you have, Something you are”. Letteralmente, “Qualcosa che sai, Qualcosa che hai, Qualcosa che sei”.
Come avrai già capito, dato per pubblico il nome utente, per provare la nostra identità abitualmente ci affidiamo al primo fattore, quel “Qualcosa che sai”, ossia la nostra amata password segreta. Una informazione gelosamente custodita, di cui solo noi siamo a conoscenza. Ottimo e sufficiente, fino a quando scopriamo di non essere gli unici a conoscerla…
Aggiungendo altri fattori di autenticazione, arginiamo il problema dei data breach perché riduciamo di molto la possibilità che i Black Hat abbiano anche, ad esempio, le nostre impronte digitali o la scansione del nostro volto, ossia i nostri parametri biometrici che sono unici e irripetibili, e sono quel “Qualcosa che sei” che ci rende univocamente identificabili. Già, il lettore di impronte digitali sul telefono ed il FaceID non sono solo comodi, ma insieme alla password iniziano a rendere la vita difficile agli hacker.
Il terzo fattore, ti stai chiedendo? Come risolviamo quel “Qualcosa che hai”? Lo facciamo abitualmente in due modi, principalmente affidando la conferma di autenticazione ad un SMS inviato al cellulare personale (ecco qui il “qualcosa che hai”), come molti servizi ormai dispongono, ponendo una domanda molto semplice all’utente: “Se sei davvero tu, dovresti avere ricevuto un messaggio sul cellulare…” oppure, in modo più sicuro, chiedendo l’immissione di un “token”, quel simpatico dispositivo che spesso veniva usato dalle banche per accedere al conto online, ed era una cosa scomodissima, ma permetteva di identificare e confermare le operazioni perché solo chi era in possesso delle credenziali ed anche del dispositivo poteva immettere il codice di conferma.
I più attenti e i più aggiornati tecnologicamente si saranno accorti che diversi servizi bancari hanno deciso di utilizzare tutti e tre i sistemi di autenticazione, grazie all’evoluzione tecnologica oggi comodamente accessibili:
- Il nome utente, primo fattore di identificazione
- La password, primo fattore di autenticazione (qualcosa che sai)
- Il telefono personale (qualcosa che hai), utilizzato per inserire l’impronta digitale o la scansione del volto (qualcosa che sei) snellendo di molto le operazioni e per la prima volta nella storia della tecnica, rendendo un’operazione più comoda e anche più sicura!
In conclusione, se sei un utente non aspettate di trovare i tuoi dati in un data breach, controlla le impostazioni dei vostri servizi e abilita l’autenticazione a due fattori. Se sei un’azienda e non hai a disposizione un sistema simile, ma ne capisci l’importanza, sai già chi chiamare: i contatti sono in alto a destra!