Domande mal poste. E mal conservate

Yahoo!, grido di terrore

di

thumbnail

12

ott

2016

Amministrare mezzo miliardo di password è una bella responsabilità, che diventa brutta quando qualcuno le ruba.

L’hanno scritto tutti i quotidiani, dal Wall Street Journal in giù: Yahoo! a fine settembre 2016 ha comunicato di essersi resa conto che oltre mezzo miliardo di password le sono state sottratte in una massiccia penetrazione opera di hacker avvenuta nel 2014. Oltre alle password, sono stati sottratti altri dati personali tra cui date di nascita, nomi, indirizzi email e numeri di telefono. L’azienda californiana si dichiara certa di essere oggi libera da quegli hacker, e getta il sospetto del misfatto su una nazione straniera — ma non avanza accuse precise.

C’è anche chi dice che Yahoo! non abbia mai posto particolare attenzione alla sicurezza informatica, e che le accuse al non meglio identificato stato nemico sia una foglia di fico, un modo di accampare scuse. Come dire siamo stati attaccati da forze soverchianti.. Ne scrive il New York Times.

Accuse e difesa sono vaghe e insostanziali. L’unica cosa certa è che si tratta del più grande furto di dati personali di tutti i tempi — o, perlomeno, del più grande di cui si sia avuto notizia… Il comunicato del gigante statunitense, da qualche tempo in condizioni di salute non proprio floridissime (si sta trattando la cessione dell’impresa alla compagnia telefonica Verizon) non dice molte cose che sarebbe interessante sapere. Tanto per cominciare, le password sono state rubate in chiaro, quindi immediatamente utilizzabili, o in forma cifrata? In quest’ultimo caso, qual era il sistema utilizzato per proteggerle? Bigino per il lettore da consultare nel caso in cui questa informazione emerga tra qualche giorno, e consultabile anche per altre eventuali fughe di dati personali:

  • Password in chiaro: peggio che andar di notte.
  • Password cifrate con hash MD5: OK, panico.
  • Password cifrate con hash SHA-1 e senza salt: scialuppe in mare.
  • Password cifrate con hash SHA-1 e con salt: media gravità.
  • Password cifrate con hash SHA-2 e senza salt: si preoccupi solo chi aveva una password banale (breve o di senso compiuto).
  • Password cifrate con hash SHA-2 e con salt: non grave.
  • Password cifrate con hash SHA-3: dormite tra due guanciali.

Nel dubbio, però, c’è un dettaglio nel comunicato stampa emesso da Yahoo! che mi fa drizzare i capelli in testa. La società raccomanda ai suoi utenti di cambiare le password, e sin qui ordinaria amministrazione, e anche le domande di sicurezza. Che sarebbero quelle domandine tipo cognome della madre, o nome del tuo primo animale domestico che molti siti e social network chiedono agli utenti di inserire, per usarle nel caso in cui la password venga persa.

[Cueball sits at a computer.]<br />
Computer Screen: -Email Account Setup- To verify your identity, we need to ask you a question nobody else could answer.<br />
Computer Screen: Q: Where are the bodies buried? A:<br />
[A text field is shown with "Behind the" typed.]<br />
[Cueball sits back and thinks.]<br />
[Three stick figures, two wearing police hats and one wearing headphones, watch another computer.]<br />
[The same text field is shown with "Behind the ... nice try." typed.]<br />
Figure in Headphones: Damn.

A chi servono davvero, le domande di sicurezza?

 

Come avrebbe potuto dire il ragionier Ugo Fantozzi, le domande di sicurezza sono una cagata pazzesca. Perché ce ne sono di due tipi: quelle che vi chiedono una cosa che voi ricorderete con facilità se mai ne avrete bisogno, tipo appunto il cognome di mamma, e che chiunque può scoprire passando cinque minuti sulla vostra pagina Facebook. E quelle che, se vi verranno chieste di nuovo, vi lasceranno madidi di sudore gelido nel dubbio più totale, tipo il vostro film preferito. Avrò scritto Guerre Stellari o Star Wars, con le maiuscole o senza, o magari proprio il nome del film L’impero colpisce ancora, con o senza l’articolo, e magari avevo risposto cinque minuti dopo aver visto Deadpool che m’è piaciuto pure quello da morire.

Viviamo purtroppo in un’era in cui non solo i nostri errori, ma anche quelli delle grandi aziende cui ci affidiamo cadono sulle nostre spalle. Lo so, è una gran seccatura, ma il consiglio resta: password lunghe, insensate e incomprensibili, tutte diverse e salvate in un programma che le gestisce tutte ed è protetto da una password principale. Autenticazione a due fattori per i siti importanti che muovono denaro, come Amazon, Apple, Microsoft, e per quelli che sanno molto di voi, come Google e Facebook. E le domande di sicurezza? Se ve le chiedono, scrivete cose insensate e irriproducibili come risposta. In questo modo potrete star certi che non solo voi ma anche gli hacker non potranno azzeccarle mai, e non finirete a braghe calate come può succedere a un tonto e/o candidato vicepresidente degli Stati Uniti.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 2.422 volte | Tag: , , , , ,

Lascia il tuo commento