“Il mio account di posta elettronica Google è stato recentemente violato mentre ero in vacanza in Slovacchia. L’hacker ha detto che ero stato derubato a mano armata in Spagna e derubato, poi ha chiesto alle persone di inviare denaro a un conto di trasferimento di denaro in Spagna”, leggi l’e-mail arrivata questa settimana. “Questo è successo ad altre persone, mi pare di capire.”
Ha certamente: questa è l’alta stagione per le persone che hanno i loro account hackerati, principalmente perché così tanti viaggiano, e quindi utilizzano computer o reti condivise e di cui si fidano troppo.
Per questo motivo, Google, Hotmail e Facebook (anche se in particolare non Yahoo) hanno tutti implementato un sistema chiamato “autenticazione a due fattori” per proteggere il tuo account. L’idea di base è semplice: oltre al tuo nome utente e password, quando usi un nuovo dispositivo per accedere al loro sistema, devi anche inserire un codice monouso che viene inviato al tuo telefono cellulare.
L’idea è quella di proteggere contro i vostri dati utente di essere rubato su una rete non sicura o un computer che può essere in esecuzione di malware che cerca di catturare proprio quei dettagli. E anche se il malware cattura il codice di una volta, una volta che hai effettuato l’accesso il codice diventa non valido. Quindi, se cercano di accedere con i tuoi dati rubati, si troveranno di fronte a una richiesta di un codice, che verrà inviato al tuo telefono.
Protezione del telefono
Idealmente, l’aspirante ladro non avrà il telefono-anche se la possibilità che potrebbero è il motivo per cui si dovrebbe proteggere la vostra SIM con un codice di accesso, e impostare il telefono per bloccare automaticamente.
Il problema è che non tutti usano 2FA (come è anche noto) – ed è piuttosto difficile costringerli a farlo. “Con 750 milioni di utenti, è abbastanza difficile ottenere una funzione di sicurezza per funzionare per tutti”, afferma Joe Sullivan, Chief Security officer di Facebook, un ex procuratore federale degli Stati Uniti che in precedenza ha lavorato in eBay per sei anni e si è unito al gigante social network in 2008.
Per molte persone che lavorano sul loro computer familiare, un nome utente e una password è sufficiente sicurezza. Ma per gli altri, 2FA è desiderabile, dice. “È come se avessi una chiave per chiudere la porta di casa, ma ho anche un allarme che posso scegliere se impostare o meno.”
Google e Hotmail consentono anche di impostare l’autenticazione a due fattori. Yahoo Mail non lo fa, quindi evita di usarlo in situazioni in cui non ti fidi di tutto ciò che riguarda la rete e il computer che stai utilizzando. (Un computer internet cafe non dovrebbe essere attendibile, in linea di principio; né aprire reti wireless in alberghi, stazioni ferroviarie o altrove.)
Una cosa che utilizzando l’autenticazione a due fattori con tutti questi servizi è che, in primo luogo, è necessario un numero di cellulare; in secondo luogo, è necessario configurarlo prima del viaggio, o almeno mentre si è in una macchina attendibile (che non è nessuna delle macchine che si incontrano durante il viaggio).
Ruotandolo fino al fattore Due
Per attivare l’autenticazione a due fattori:
• In Google, si trova attraverso la scheda “impostazioni” in alto a destra della pagina. È necessario impostare 2FA su un computer attendibile. (È una buona idea avere una stampante a portata di mano in modo da poter stampare un elenco di codici di backup che prevede l’accesso nel caso in cui il telefono cellulare viene perso o rubato.) Dovrete fornire un numero di telefono a cui i codici possono essere inviati; ovviamente, un cellulare è l’ideale.
• In Hotmail, devi prima aggiungere un numero di cellulare nella pagina Panoramica dell’account Windows Live. (Anche in questo caso, è necessario farlo su un computer attendibile prima. Poi ogni volta che si va a Hotmail o altri servizi di Windows Live, è possibile scegliere di ottenere un codice monouso-una stringa di numeri che verranno inviati tramite messaggio di testo al telefono – da utilizzare al posto della password. Assicurati di farlo. I codici monouso scadono dopo circa 15 minuti; assicurati anche di disconnetterti dall’account prima di lasciare la macchina.
• In Facebook, vai su Account (in alto a destra) e Impostazioni account. Da lì scegli Sicurezza e Login pprovals: questo offre una casella di spunta per “Richiedimi di inserire un codice di sicurezza inviato al mio telefono”. Ancora una volta, è necessario inserire il proprio numero.
Yahoo non offre 2FA, il che è un problema, perché mette a rischio i tuoi dati di accesso. Non c’è alcuna opzione per introdurlo neanche; the Guardian ha stabilito che un servizio chiamato YToken che ha una pagina web che afferma di offrirlo in realtà non lo fa, perché non c’era abbastanza domanda, secondo il suo proprietario.
Se hai bisogno di accedere alle e-mail di Yahoo mentre sei lontano, è più sicuro farlo tramite uno smartphone (con un Pin e un blocco del telefono) o impostare un account Hotmail o Gmail che accede periodicamente all’account Yahoo e ti mostra l’e-mail da esso, e utilizzare un’autenticazione più sicura con loro.
Nel frattempo, su Twitter
Twitter non ha ancora abilitato l’autenticazione a due fattori. “È fantastico e qualcosa a cui aspirare”, afferma Del Harvey, responsabile di fiducia e sicurezza di Twitter. “Ma il fatto che ha preso Google così a lungo, con le risorse che ha, ti dice che non è semplice.”
Inoltre, molte persone usano Twitter dal proprio telefono cellulare: i suoi aggiornamenti di 140 caratteri significano che è ideale sia per gli smartphone che per i telefoni più semplici che inviano solo testi. (In un certo numero di paesi, Twitter ha un numero di SMS a cui è possibile inviare aggiornamenti.)
“Abbiamo un sacco di persone che ci contattano per dirci che hanno perso il loro telefono, e abbiamo bisogno di noi per disattivare i loro aggiornamenti SMS,” dice Harvey. Implementare l’autenticazione a due fattori per le persone che perdono il telefono “significherebbe bloccarli dal loro account sul Web e rendere anche incredibilmente difficile per loro iniziare di nuovo”.
Anche se lei usa Gmail, e l’autenticazione a due fattori, Harvey sa che se si ottiene un numero sufficientemente elevato di utenti si otterrà alla fine un numero ingestibile che sono riusciti a non seguire le istruzioni. “Hanno perso il loro telefono, o non hanno annotato i codici di backup, o – questo accade – hanno abbattuto i codici di backup ma li hanno memorizzati sul telefono. E ora hanno perso il telefono…”
La fede di Harvey nella fallibilità umana è commovente, ma ben fondata. “Gli utenti non sono propensi a utilizzare cose che rendono più difficile utilizzare il proprio account”, afferma. Invece, Twitter si è concentrato sull’aggiunta di una sicurezza semplice che impedisce ai tuoi dati di essere “sniffati” sulle reti: tutte le connessioni a Twitter ora avvengono su collegamenti SSL sicuri (il prefisso https: in una barra degli strumenti del browser: se ti trovi su quello che sembra un sito Twitter ma non ha quel prefisso, termina la sessione).
Un portavoce di Twitter ha dichiarato: “Gli utenti possono attivare https. Attualmente non è attivo per impostazione predefinita. Ma ci stiamo lavorando.”
Costruire una password migliore
Che ovviamente non impedirà alle persone di indovinare la tua password se è debole — una parola in un dizionario o una semplice combinazione di lettere e numeri. (Sì, molte persone usano “abc123” come password. Non e ‘ una password complessa.)
È possibile controllare la forza della password a howsecureismypassword.net, che Le dirà quanto tempo prenderebbe il PC desktop medio per rompere la Sua parola d’ordine. Non memorizza le password e non chiede un nome utente, quindi puoi fidarti.
Per “abc123 “la risposta è”questa è una delle 500 password più comuni – probabilmente dovresti cambiarla”. (Per il mio account Twitter personale, la risposta è stata “24.000 anni”.)
Facebook e Twitter cercano password deboli: se si tenta di creare un account con una password debole, o uno che ha dimostrato di essere ampiamente utilizzato (come accade quando gli hacker violare i sistemi e pubblicare enormi liste di nomi utente e password), poi si bloccarlo.
“Quando vediamo quei massicci negozi di e-mail e password, ci assicuriamo di vedere le e-mail e le password”, afferma Sullivan di Facebook. “Se scopriamo che qualcuno ha la stessa configurazione di e-mail/password su Facebook, lo cambiamo e li costringiamo a cambiarlo quando accedono.”
Il vantaggio di Facebook è che può anche costringere le persone a dimostrare la loro identità mostrando loro immagini di amici-qualcosa che la persona reale sarà generalmente brava a fare, e chiunque altro non lo farà.
Sullivan dice che ovunque tra l ‘ 1% e il 10% delle password sono le stesse tra i siti – indicando un altro problema: le persone che usano la stessa password tra i siti. È la più grande fonte di vulnerabilità, oltre alle password deboli.
L’ideale è che si utilizza una password diversa in ogni sito – che può essere fatto, se si utilizza un po ‘ di immaginazione. È anche bene includere numeri e segni di punteggiatura – quelli aggiungono alla complessità, e quindi alla difficoltà di romperli.
Soprattutto, se usi una password diversa in ogni sito, se per qualche disgrazia il tuo nome utente (spesso un’e-mail) viene rubato insieme alla tua password in un sito (imperfetto), gli strumenti automatici che gli hacker usano su altri siti (tra cui Facebook, Gmail, Hotmail, Twitter e Yahoo) non riusciranno a farli entrare. Questo è il successo-almeno in quanto ti impedisce di avere una giornata peggiore di avere il tuo account violato.
{{topLeft}}
{{bottomLeft}}
{{topRight}}
{{bottomRight}}
{{/goalExceededMarkerPercentage}}
{{/ticker}}
{{heading}}
{{#paragraphs}}
{{.}}
{{/punti}}{{highlightedText}}
{{#choiceCards}}
{{/choiceCards}}
- Condividi su Facebook
- Condividi su Twitter
- Condividi via e-Mail
- Share on LinkedIn
- Condividi su WhatsApp
- Condividi su Messenger