Pubblicato il 22/11/11 - aggiornato il  | 6 commenti :

Come proteggere le password dei nostri account Facebook, Google e degli altri servizi a cui siamo iscritti.

Stare in rete in modo assiduo vuoi per lavoro, per studio o per semplice divertimento comporta l'utilizzo di un sacco di strumenti per vivere al meglio questa esperienza. Anche il frequentatore di internet più disincantato non può fare a meno di iscriversi a diversi servizi che sono essenziali alla navigazione. Nel caso di un blogger con forte senso della curiosità e della sperimentazione il numero di account che vengono creati diventano molto presto delle decine.
La gestione di tutte le credenziali quali indirizzo email, nome utente e password per ciascuno dei servizi a cui ci siamo registrati diventa ben presto un problema complesso che comporta anche un rischio per la sicurezza dei nostri dati e dei nostri account.

QUESTIONI DI TIPO GENERALE

In linea di massima bisogna usare una password diversa per ogni account a cui ci siamo registrati. La ragione è evidente perché se una singola password venisse violata non potrebbe servire per accedere a un altro dei servizi a cui siamo iscritti. Le password dovrebbero essere sempre formate da un mix di lettere maiuscole, lettere minuscole e segni ortografici. Per esempio è sconsigliato l'utilizzo di una password come "rosarossa" che potrebbe essere sostituita da una simile ma molto più efficace "RoSa%RoSsA36?12". Se si usano delle password di questo tipo possiamo dormire sonni tranquilli rispetto a eventuali tentativi di hackeraggio con programmi specifici. Dobbiamo solo preoccuparci che non venga a conoscenza di estranei e soprattutto bisogna trovare il modo di ricordarcela. Questo ultimo aspetto è fondamentale e riguarda il luogo e la modalità con cui archiviamo le password. Lo tratterò nella parte finale dell'articolo.


COME PROTEGGERE LE PASSWORD DI GOOGLE E DI FACEBOOK

Le password non sono tutte uguali. Ci sono servizi a cui ci registriamo così tanto per curiosità e altri invece che sono fondamentali. In questo senso rivestono particolare importanza le password di Google e di Facebook. Una compromissione della password dell'account di Google comporta non solo un possibile accesso di estranei al nostro account GMail ma determina anche la compromissione di tutti gli account collegati quali Google Reader, Google Plus, Google Sites, Google Documenti, Blogger, Picasa, Google Maps e anche l'account di Adsense se abbiamo scelto di accedere con le stesse credenziali.
Oltre all'utilizzo di una password abbastanza lunga è opportuno che sia formata da maiuscole, minuscole, numeri e segni ortografici come già detto in precedenza. E' altamente consigliabile anche la verifica in due passaggi. Questo comporta che se un nuovo browser o una nuova applicazione tenta di accedere al nostro account, debba venir inserito il codice che viene inviato per SMS al numero di cellulare che abbiamo indicato in fase di attivazione. Inoltre ogni 30 giorni tutti i browser abilitati dovranno effettuare nuovamente la verifica telefonica.
Apparentemente può sembrare una scocciatura ma non è così perché tutti abbiamo il cellulare sempre con noi, il codice arriva dopo pochi secondi e inserirlo è cosa  da poco. Inoltre possiamo indicare anche un numero telefonico secondario o anche entrare con delle password di backup che vengono generate in numero di dieci e che possono essere usate una volta soltanto. Nel caso dovessimo finirle si possono sempre crearne altre dieci.
Anche per Facebook è opportuno prendere delle protezioni aggiuntive. Occorre andare nella sezione Account > Protezione in questa pagina e modificare in senso restrittivo alcune impostazioni che, se troppo blande, potrebbero prestare il fianco a furti di identità.

protezione-account-facebook

Faccio un breve excursus delle opzioni presenti ricordando che bisogna andare a destra su Modifica per cambiare le impostazioni:
  1. Navigazione protetta - E' meglio mettere la spunta su Naviga su una connessione protetta. In questo caso la prima parte dell'indirizzo di Facebook muterà da http: a https: che indica come lo scambio di dati venga effettuato secondo un protocollo a maggiore sicurezza
  2. Notifiche di accesso - Occorre attivare questa opzione per ricevere una email o un SMS a nostra scelta quando ci sono accessi al nostro account fatti da dispositivi o browser diversi da quelli soliti
  3. Approvazione degli accessi - Si può settare l'opzione che ogni accesso da un dispositivo diverso debba essere subordinato all'inserimento di un codice di sicurezza che viene inviato mediante SMS. Con questa opzione sarà praticamente impedito l'accesso all'account a persone che non abbiano la disponibilità del nostro telefono cellulare per ricevere il codice.
  4. Password per le applicazioni - interessante solo per gli sviluppatori 
  5. Dispositivi riconosciuti - Cliccando su Modifica si apre la lista di tutti i computer, i tablet, gli smartphone e quant'altro abbiamo utilizzato per accedere al nostro account Facebook. I diversi browser utilizzati anche dallo stesso computer sono considerati come nuovi dispositivi. Si può rimuovere un dispositivo quando si vuole. Può essere importante farlo quando abbiamo eseguito l'accesso da un computer pubblico o da quello di un amico.
  6. Sessioni attive - Viene mostrato il luogo da cui è stato aperto l'account. Se ce ne fosse più di una aperta magari da un'altra località è il caso allarmarsi.
Facebook è diventato anche uno strumento essenziale in molte attività. La sua importanza risiede soprattutto nelle pagine fan che possono essere create da un account e che possono servire da supporto per una attività professionale, commerciale o anche per creare contenuti aggiuntivi per un sito web. Investire molto su Facebook potrebbe essere rischioso perché sono a conoscenza di blogger a cui hanno sospeso o addirittura eliminato l'account Facebook. La violazione delle norme spesso avviene semplicemente per la non conoscenza delle stesse. E' chiaro che la soppressione o la semplice disattivazione momentanea dell'account Facebook può provocare grossi danni a chi usa questo strumento per aggiungere sinergie positive al blog. E' quindi opportuno crearsi un secondo account Facebook a cui dare i privilegi di amministratore di tutte le nostre pagine fan per non doversi trovare nella impossibilità di accedervi.

GESTIONE COMPLESSIVA DELLE PASSWORD DI TUTTI GLI ACCOUNT

Oltre ai citati Facebook e Google anche gli account Microsoft, che possono essere del tipo Hotmail o Live, rivestono particolare importanza e devono essere protetti in modo efficace da password esclusive e complesse. Ci sono altri servizi che in questi ultimi tempi hanno accresciuto molto la loro importanza, ricordo per esempio DropBox, o account che per la loro delicatezza hanno bisogno di particolare protezione. Mi riferisco per esempio a quello che viene chiamato Home Banking e che consente di accedere al proprio conto bancario non solo per controllare saldo e movimenti ma anche per effettuare operazioni. Per quello che mi riguarda sono abbastanza tranquillo perché uso il sistema di Intesa San Paolo che utilizza ben tre chiavi di accesso: il codice cliente, la password scelta dall'utente e un numero di 6 cifre generato casualmente da una piccola chiave che viene data agli utenti.
Vediamo come archiviare tutti i dati dei nostri account in modo sicuro e ordinato. E' opportuno creare un file di testo per ogni registrazione anche ai servizi più improbabili. Potrebbero sempre tornare utili anche se sul momento ci sembra difficile. Questi file di testo occorre salvargli con un nome che inizi con il nome del servizio. Per esempio Yahoo registrazione, Facebook secondo account, Skype primo account, ecc.
In questo modo sarà più semplice ritrovarli nella cartella visto che verranno visualizzati in ordine alfabetico. La cartella dovrà avere un nome che non ha niente a che fare con quello che contiene. Al posto di Password potremmo usare per esempio il nome Documenti campione che certo non suscita l'interesse di nessuno. Il punto essenziale è che dobbiamo avere una copia di questa cartella sempre a portata di mano. Se usiamo un solo computer non ci sono problemi ma nel caso accedessimo a internet da diverse postazioni allora è opportuno caricarla su un servizio come DropBox. E' comunque sempre auspicabile fare almeno due copie di questa cartella per una questione di sicurezza ulteriore. Perderla o cancellarla accidentalmente sarebbe una tragedia. Consiglio l'altro servizio di hosting online SugarSync magari caricando il file ZIP ottenuto zippando la cartella con 7-Zip e inserendo una password di accesso.
Ultimamente DropBox ha avuto un bug che ha permesso il libero accesso senza password a tutti gli account per circa tre ore. Quindi non è da maniaci della sicurezza procedere a una ulteriore protezione dei dati presenti nella cartella delle password. Possiamo cioè criptare la cartella che contiene la password con un'altra password che poi alla fine sarà veramente l'unica che saremo obbligati a ricordarci a mente.
Si può utilizzare il programma gratuito AxCrypt che funziona con OS Windows a 32 e 64 bit. Dalla pagina di download si può scaricare la versione che si preferisce. E' possibile anche avere quella portatile da utilizzare per criptare la cartella in una chiavetta USB. L'installazione non comporta problematiche particolari, basta cliccare su Next dopo aver messo la spunta sul quadratino dell'accettazione dei Termini della licenza.
Per criptare una cartella occorre cliccarci sopra con il destro del mouse, scegliere AxCrypt > Cifrare

axcrypt-criptare

e inserire due volte la password con cui proteggere la cartella. I file di testo presenti all'interno della cartella cambieranno di estensione in .axx e, per aprirli dovremo inserire la password prescelta

axcrypt-password  
Quindi anche se qualcuno riuscisse a accedere alla cartella dovrebbe inserire la password per aprire un singolo file
axcrypt-password[4]

Dopo aver cliccato su OK si apre il file di testo che potremo consultare senza problemi. Per una protezione ulteriore possiamo selezionare un Key-file cliccando sull'icona che sfoglia le cartelle. Con questa opzione per aprire i file, oltre alla password, dovremo conoscere anche il percorso del file usato per criptare. E' ovvio che questo file dovrà essere sempre disponibile per accedere a questi dati. Si può sempre procedere a decriptare la cartella aprendo il menù contestuale cliccando sul destro del mouse e scegliendo AxCrypt > Decifrare, inserendo la password e cliccando su OK. Se qualcuno di voi usa un metodo di archiviazione dei dati degli account a cui è registrato diverso e più efficiente di questo sarei grato che lo comunicasse a me e ai lettori nei commenti.


6 commenti :

  1. Ciao, avevo già fatto tutto con Truecrypt nella cartella di Dropbox ma ora non riesco a trovare un applicazione che mi apre il contenitore criptato in Android, sembra che non ce ne siano, ne conosci una?

    RispondiElimina
  2. No, non sono molto addentro a queste tematiche.

    RispondiElimina
  3. Per quanto riguarda le "sessioni attive" di facebook, spesso non funzionano, io l'ho disattivata perché quando mi collegava rilevava un dispositivo "vicino Roma"... peccato che io sono TUA vicina :)

    RispondiElimina
  4. @Silvia
    Servono più che altro per vedere se le connessioni sono riconducibili a nostri dispositivi

    RispondiElimina
  5. Ciao Ernesto,qualche giorno fa hai fatto un post di prova e hai scritto questo..."Questo è un post temporaneo che non è stato eliminato. Eliminalo manualmente. (2559569f-dfca-460c-ac22-c2a1f4856750 - 3bfe001a-32de-4114-a6b4-4005b770f6d7) ------------------------------ Copyright © Idee per Computer ed Internet. Non è consentito ripubblicare senza il consenso dell'autore. Segui anche su Facebook, Twitter e Google+ . " ..Io ti chiedo come è possibile eliminarlo manualmente.Grazie

    RispondiElimina
  6. @erborista1
    Non l'ho fatto io il post. Viene postato automaticamente da Windows Live Writer quando si aggiorna il tema del blog. Poi viene eliminato ma rimane nei feed di chi è iscritto. Poco male perché è visibile solo su Google Reader ;)
    P.S.
    Quello che segue vale a dire Copyright ... ecc, ecc viene aggiunto automaticamente alla fine di ciascun feed dall'apposita funziona piè di pagina di Blogger.

    RispondiElimina

Non inserire link cliccabili altrimenti il commento verrà eliminato. Metti la spunta a Inviami notifiche per essere avvertito via email di nuovi commenti.
Info sulla Privacy