Olimpo Informatico

[arkypita]

E' da un po' di tempo che mi prefissavo di scrivere questo post.

Molte persone sono abituate a usare la webmail, consultando la propria posta sul server e lasciandola li senza cancellarla, complice il fatto che lo spazio è ormai diventato illimitato.
Mi chiedo se sono l'unico ad essere seriamente preoccupato per quanto riguarda la semplicità con cui è possibile "rubare" una casella email e attraverso questa scoprire tutti i collegamenti di una persona, risalire agli account che gestisce su vari siti e magari fare anche dei danni economici.

Questa semplicità è dettata in da:

1 Uso di password banali
2 Uso della stessa password su più siti, magari inaffidabili
3 Possibilità di reimpostare la password rispondendo ad una domanda di sicurezza
4 Informazioni di login memorizzate su computer condivisi (biblioteche, internet point, scuole)

1) Diciamo semplicemente che se uno usa una password banale se la va a cercare.

2) Purtroppo spesso e volentieri ci troviamo a doverci registrare ad un sito qualsiasi anche solo per poter mettere un commento o vedere le immagini inviate dagli utenti. La registrazione consta normalmente nel fornire un indirizzo email ed una password.
Nel caso si usi la stessa password della casella email praticamente si forniscono le proprie credenziali d'accesso a chi gestisce il sito, se questo è onesto non succede niente, ma se non lo fosse?

3) Questo è quello che mi preoccupa di più.... la domanda segreta!
E' il modo più semplice per permettere a qualcuno di fregarci la casella email. In pratica molti siti prevedono di poter recuperare l'accesso alla propria casella email nel caso ci si dimentichi la password attraverso questo sistema: durante la registrazione vi viene fatta scegliere una domanda tra una serie di opzioni ed inserire la risposta a questa domanda. Alcuni esempi di opzioni sono: il cognome di mia mamma, il mio libro preferito, il nome del mio migliore amico, il nome del mio animale domestico o della scuola elementare che ho frequentato.

E' assurdo... uno sta li a mettere una password principale complicatissima e poi si scade alla domanda segreta che praticamente equivale ad una password banale, con in più il suggerimento sull' ambito di questa password. Senza contare che l'enorme successo di blog e social-network ci porta a riempire pagine che parlano di noi, di quali sono i nostri interessi, di dove abitiamo, di quali sono i nostri amici, libri preferiti etc etc

4) Usare le proprie password da postazioni condivise è assai rischioso. Oltre al rischio che vengano memorizzate temporaneamente sul computer e che quello che arriva dopo di voi acceda alle pagine che avete appena visto, c'è il rischio che qualcuno abbia installato dei keylogger o che intercetti il traffico sulla rete locale. Come si può essere sicuri che il computer dove ci si trova è sicuro sotto questo punto di vista?

Trovo che non si sensibilizzi abbastanza su questi problemi, tutti fanno campagna su antivirus, antispam, antispyware, firewall e nessuno che sottolinea questi rischi.

[kingofworms]

Correggimi se sbaglio, ma...

2) Se anche si crea un account da qualche parte (es. qui in Olimpo) e si imposta una password, all'amministratore è permesso cambiare le password di tutti gli utenti (così da poterle "resettare" casomai vadano perse) ma non di vederle. Il salvataggio avverrà sempre (nel database, in un file di testo) con qualche forma di cifratura che andrà forzata per ottenere il contenuto in maniera comprensibile a un essere umano. Almeno, ho sempre pensato che fosse così ma non ho mai controllato a fondo.

3) Ovviamente non sono a conoscenza di come funzionano le cose presso ogni provider, ma quando si imposta la domanda di sicurezza il comportamento di default dovrebbe essere che, dando la risposta giusta, la password viene inviata a un indirizzo e-mail alternativo specificato al momento della registrazione. Per esempio Microsoft, per Live Mail, fa così (cito Microsoft perché un mio amico ha aperto un account proprio oggi e quindi l'ho appena visto fare). Permettere di cambiare la password semplicemente rispondendo a una domanda banale sarebbe davvero un gran bel guaio.

[arkypita]

[bdoriano]

Ciao arkypita e benvenuto,

1. Se qualcuno utilizza una password banale, come dici giustamente tu, se la va a cercare.
   E' utile, secondo me, utilizzare programmi come KeePass per generare le password e per tenerne traccia.
   
   
2. L'uso della stessa password su più siti... idem come sopra.
   
   
3. Per quanto riguarda la domanda segreta?
   Effettivamente, le domande preimpostate sono ridicole.
   Per fortuna, alcuni siti, consentono di impostare una domanda libera.
   
   O, al più, si potrebbe dare una risposta senza senso logico. Es.:
   Domanda: qual'è il nome del tuo cane?
   Risposta: 12345fido54321 (o altra risposta che non c'entra nulla con la domanda vera e propria, ma che ha senso solo per noi).
   
   
4. Come hai detto prima, te la vai a cercare.
   Giustamente, chi mi dice che il pc usato nell'Internet Point non abbia installato un keylogger?
   Conviene portarsi dietro un mini-pc (o un palmare) e utilizzare indirizzi e-mail che usano una connessione protetta. GMail, per esempio, utilizza il protocollo SSL.

PS: se vuoi, puoi presentarti qui

[splarz]

[celestia]

Ciao Arkypita,
Non è che sei troppo pauroso? Da quello che ho capito hai fatto una
brutta esperienza con le password, ma non mi sembra un problema irrisolvibile, io per es, ho risolto utilizzando un solo nickname su tutti
i siti e un'unica password, però per la casella di posta elettronica la
password è differente, e in quanto alla domanda segreta, Ti chiedo
una cosa: prova a indovinare come mi chiamava mamma? Se ci riesci
sei un genio, visto che non lo sanno neppure i suoi parenti, e chi ti dice
che la risposta è sensata? Può essere una risposta priva di senso logico!
Come vedi ci si può difendere, pensa che un giorno ero all'internet-point,
e volevo vedere le e-mail, ma anche con la password esatta mi ha chiuso
la connessione, perchè non ha riconosciuto l'IP, la password era memoriz
zata sul mio computer, ma il gestore mi blocca se il N° di Internet Proto-
collo non coincide, e non rieci a entrare, neppure a piangere!
Comunque c'è modo di difendersi.
Ciao
Celestia

[arkypita]

[ioSOLOio]

Crdo che il punto non sia tanto la sicurezza dei login di per se stessi ma l'uso che se ne fa in base alle esigenze.

Perchè lo stesso comportamento vale nel quotidiano reale.
Lasciare una bici arrugginita per dieci minuti accostata a un muro e lasciare una BMW serie 3 coupé aperta con le chiavi sul sedile mentre si va a prendere un caffè al bar espongono al medesimo rischio di furto.
Ma cambia ovviamente la nostra prospettiva e dunque facilmente anche il nostro comportamento e la nostra propensione a correre il rischio.


La password dovrebbe essere gestita con cura ed essere sufficientemenre articolata. Naturalmente avere n password diventa più difficile da gestire e ricordare (ok, ci sono programmini, uyility, estensioni che lo fanno per noi...non sempre però l'utente ne conosce a fondo il meccanismo per capire come funzionano e dunque quanto sono a loro volta sicuri o insicuri)

Insomma...frequento alcuni siti come semplice utente, navigatore del web e dove di tanto in tanto mi loggo. Non do molta importanza ad una estrema sicurezza di quei login o di come l'amministratore gestisce il tutto.

Ho altri siti dove ho qualche piccola responsabilità in più come sull'Olimpo.
Oppure email che uso per lavoro o per contatti importanti, ed altre che vengono usate come acchiappa-spazzatura.
Le gestisco con priorità e importanze diverse.


Insomma, se perdo il chiavino del lucchetto della bici è una cosa. Mi toccherà rompere il lucchetto e comprarne un altro.
Se perdo la chiave della porta blindata vado incontro a rischi e inconvenienti ben diversi.

[celestia]

Ciao Arkypita
Scusami, forse non mi sono spiegata bene: non ho detto che il tuo non è
un problema serio,del resto Io SOLOIo ha perfettamente ragione, lo quoto
al 100%, però quello che voglio dirti è che puoi difenderTi con poco: basta
essere furbi e avere un pò di fantasia: 1° non mettere mai come password
la data di nascita o dati che possono venire dedotti da documenti ufficiali,
2° le risposte alle domande possono essere prese da libri o film, e magari
leggermente modificate, meglio se non c'entrano con la domanda,
3° cambiare le carte in tavola, cambiando la password e magari dando
dei numeri o parole che non sembrano aver a che fare con noi, i rimedi
esistono, come vedi è possibile difendersi, che poi il problema esista su
questo non c'è dubbio, io ho avuto il problema opposto, per il terrore dei
virus ho rischiato di non poter aprire le pagine del brower, il livello di
protezione era troppo alto, e sono rimasta "chiusa fuori", ma ragionando
così non compri neppure il computer, con un pò di accortezza si naviga
tranquilli, a volte soccorre la fantasia. Comunque tranquillo, vedrai che
risolvi.
Ciao, con simpatia
Celestia

[arkypita]

Aggiungerei un bel c.v.d.
http://zeusnews.it/index.php3?ar=stampa&cod=8251&numero=999

[ioSOLOio]