Categoria: Sicurezza

Passkey: la novità che potrebbe sostituire le password

Posted on by Lorenza Mariani

Le password sono il modo attraverso il quale cerchiamo di impedire l’accesso e l’utilizzo ai nostri dati e risorse informatiche a soggetti non autorizzati. In molti casi però risultano deboli e facilmente individuabili. Questo è dato dal fatto che esistono numerosissimi account che richiedono l’utilizzo di una password così gli utenti preferiscono utilizzare codici alfanumerici facili da ricordare e, spesso, ricadono sulla scelta di utilizzare la stessa combinazione per diversi account, uno dei comportamenti più sconsigliati quando si parla di sicurezza informatica.

Una soluzione che ci permette di ricordare tutte le password dei nostri account, inserendole per noi quando necessario, è l’archiviazione online. Questo però non ci protegge da possibili fughe: se il servizio di password manager (come ad esempio icloud keychain) al quale ci affidiamo viene violato lo saranno anche le password di tutti gli utenti che ne fanno uso.

Molto più efficace risulta essere l’identificazione a due fattori nel quale si inserisce una password e poi un codice otp (one-time password, una password che potremmo definire usa e getta) inviata per sms o mail. Il problema di questo tipo di identificazione è la scomodità della procedura, che viene resa molto più macchinosa, e il persistere del rischio di esposizione ad attacchi di tipo phishing (truffe attraverso le quali un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale).

Le passkey

Negli ultimi anni alcune ricerche in campo informatico si sono concentrate nel trovare un’alternativa valida all’utilizzo delle password, lavorando alla progettazione di nuovi sistemi di accesso, autenticazione o gestione delle password.

Il 5 maggio 2022, in concomitanza con la giornata mondiale delle password – iniziativa avviata dall’azienda intel nel 2013 per promuovere maggiore consapevolezza sul tema della sicurezza informatica – Apple, insieme a Google e Microsoft, hanno annunciato l’impegno ad accelerare il lavoro per implementare e rendere disponibile sui dispositivi uno standard di autenticazione senza password chiamato FIDO. Ad un anno da questo annuncio vediamo questo sistema farsi spazio.

Il nome deriva da Fast Identity Online Alliance, l’associazione internazionale di aziende che hanno lavorato allo sviluppo dello standard nel corso degli ultimi anni e che ha introdotto un protocollo di autenticazione in grado di sostituire le password come forma di identificazione dominante su internet, chiamato passkey.

Le passkey sono composte da una coppia di chiavi, una pubblica, registrata nel sito web o nell’app alla quale vogliamo accedere e condivisa tra i dispositivi che dispongono delle proprie chiavi private, e una privata, presente soltanto sul nostro dispositivo.

La chiave pubblica non ha nessun valore senza quella privata e non è accessibile a nessuno, neanche all’utente, che quindi non può condividerla.

Questo garantisce che seppure in caso di compromissione del server chi lo attacca non avrà a disposizione entrambe le chiavi per ottenere l’accesso agli account.

In un certo senso non si allontana molto dal metodo di identificazione a due fattori nominato poco fa.

Con il sistema delle passkey, quando accediamo a un servizio online, non sarà quindi più necessario digitare il nome utente e la password, ad autorizzare l’accesso ai diversi account saranno i meccanismi di sblocco presenti sui dispositivi di proprietà dell’utente, in particolare dello smartphone, basati per lo più sul riconoscimento biometrico di caratteristiche individuali come l’impronta digitale, la fisionomia del volto o il pin, trasformando lo stesso smatphone in dispositivo di autenticazione.

Il servizio comunque non è limitato al dispositivo, si possono utilizzare le passkey anche su pc e tablet, e apparecchi terzi grazie ai codici QR da scansionare con il nostro smartphone.

Tra le caratteristiche delle passkey possiamo evidenziare:

  • Una protezione efficace;
  • Non devono essere create, salvate o ricordate. Il salvataggio avviene automaticamente sul portachiavi icloud per i dispositivi apple (e automaticamente disponibili su tutti i dispositivi che hanno l’accesso con lo stesso idapple) e su google password manager per android e chrome;
  • Sono protette dalla crittografia end-to-end;

Iniziare ad utilizzare le passkey

Per iniziare ad utilizzare questo nuovo sistema di accesso dobbiamo assicurarci che il sito web o l’app abbia già implementato le passkey come modalità di accesso alternativa alla password.

Alcuni siti ci permetteranno in automatico l’accesso tramite le passkey, per altri dovremmo abilitare il sistema tramite le impostazioni.

Una volta abilitata una passkey questa sarà visualizzata nella compilazione automatica quando accederemo a quell’app o sito.

Nuove norme per la gestione dei cookie

Posted on by Dam Company

È risaputo ormai che lo scorso 9 luglio l’Autorità italiana per la protezione dei dati personali ha iniziato ad applicare le nuove linee guida sui cookie.

Queste normative tra le tante cose riguardano: il consenso attraverso lo scrolling e le raccomandazioni sulle policy; i siti web italiani hanno quindi avuto sei mesi per conformarsi alle nuove linee guida, che però dal 10 gennaio 2022 sono entrate ufficialmente in vigore.

Questo perché con i loro comportamenti, essi hanno forzato i legislatori a modificare ulteriormente la norme in vigore, nonché a diffondere continuamente nuove istruzioni.
Ma cosa sono i cookie? I cookie non sono nient’altro che degli strumenti informatici, grazie ai quali i siti web possono tracciare i nostri clic al loro interno, così da migliorare la nostra esperienza d’uso suggerendoci contenuti coerenti alle nostre attività.

Inoltre, già con le prime redazioni della normativa sui cookie, era indispensabile che i titolari dei siti web chiedessero un’altra volta il consenso agli utenti prima di poter registrare alcune classificazioni di questi strumenti informatici.

Questo, in ogni caso, non ha vietato a sviluppatori e operatori di marketing di schivare tali regole in vari modi.
Il bisogno di emanare nuove leggi per la gestione dei cookie viene alla luce dall’utilizzo che ne viene fatto da diverse reti pubblicitarie per attività concernenti il digital marketing, o dai siti di e-commerce per motivi non molto distanti dai precedenti.

Per predisporre alla tutela i fruitori di Internet, l’Unione Europea e il Garante Privacy si sono incuriositi sull’argomento, avviando già da svariati anni una diramazione di regole che ordinano, ad esempio, l’esigenza di chiedere nuovamente all’utente il consenso o meno dell’adopero dei cookie.

L’EDPB (European Data Protection Board) ha affermato che lo scorrimento da parte degli utenti di una pagina web non costituisce un consenso valido.

Tuttavia, l’Autorità Italiana ha precisato che lo scroll down può intendersi addirittura come consenso inequivocabile dell’utente all’uso dei cookie.

Si sottolinea per di più che l’utente può respingere il consenso all’uso dei cookie chiudendo la schermata dei cookie presente sul sito senza che sia essenziale effettuare l’accesso ad alcuna pagina web.

Esaminando quanto descritto in questo momento, ci sono certune modalità generalmente usufruite da numerosi siti che saranno adesso considerate illegittime.

Ad esempio, non è possibile interpretare il naturale fatto di spostarsi nella parte bassa della pagina come consenso, così come non sarà avverabile “bloccare” i contenuti a quegli utenti che non accolgono i cookie.

Oltre a ciò, è d’ora in avanti impedito ripresentare la richiesta di consenso, a meno che non siano trascorsi almeno sei mesi dall’ultimo consenso raccolto (salvo nei casi in cui la gestione dei cookie sia stata cambiata per altre ragioni).

Per concludere, è bene sempre ricordare che non è richiesto alcun consenso per i così chiamati “cookie tecnici”, così come per quelli collegati ad analisi statistiche, a patto che vengano ottenuti in forma anonima.

Di conseguenza, non è possibile registrare dati come gli indirizzi IP.

Ciò che è consigliato, con ogni ragionevolezza, è affidarsi a servizi di terze parti in grado di coprire, in modo minuzioso, tutte le caratteristiche di questa normativa, che come molte altre è in continua trasformazione.

Nuovi strumenti per Google Cloud IDS

Posted on by Dam Company

Google ha di recente annunciato l’introduzione di vari strumenti che si concentrano sulla risoluzione di problemi di sicurezza dell’infrastruttura Google Cloud per prevenire in maniera sempre più efficace attacchi di hacker, minacce malware o spyware, e altri rischi simili.

Google Cloud IDS è proprio una di queste soluzioni annunciate e, in questo articolo, andremo a scoprire di che si tratta.

Google Cloud IDS: cos’è

Google Cloud IDS è un sistema di rilevamento delle minacce completamente cloud-based e implementato nell’infrastruttura stessa di Google Cloud. Il suo funzionamento si basa sull’utilizzo delle tecnologie di rilevamento delle minacce (threat-detection) di Palo Alto Networks. 

Questo tipo di tecnologie sono tutte basate sui cosiddetti next-generation firewall, un firewall di terza generazione con caratteristiche di sicurezza avanzate in grado di identificare e bloccare le minacce in maniera sempre più efficiente (paragonato ai firewall di generazione precedenti).

L’algoritmo di analisi delle minacce di Palo Alto Networks, inoltre, aggiorna continuamente il suo catalogo delle minacce conosciute, in modo che possano essere immediatamente riconosciute, ma usa anche un sistema di identificazione delle anomalie per riconoscere anche le minacce sconosciute.

Cloud IDS svolge anche l’altra importante funzione di monitoraggio del traffico da e verso internet, rilevando minacce malware, spyware, e attacchi hacker che arrivano da internet verso l’infrastruttura, oltre che altri rischi legati alla rete. 

Infine, Cloud IDS permetterà di aumentare la conoscenza che abbiamo su tutte le possibili minacce relative alla rete, contribuendo allo sviluppo di nuove soluzioni sempre più efficaci e sempre più facili da utilizzare.

Chi può utilizzare Cloud IDS?

I servizi di sicurezza offerti da Google con Cloud IDS sono indicati per tutte le aziende che desiderano consolidare la sicurezza dei propri sistemi informatici. In quegli ambiti in cui la sicurezza è particolarmente importante, in quanto i sistemi gestiscono grandi quantità di dati personali (sensibili e relativi a conti correnti e carte creditO) – settore finanziario, sanitario e settori vendite – Cloud IDS diventa una soluzione ancor più importante.

Oltre Cloud IDS

Cloud IDS fa parte di un progetto di semplificazione di gestione della sicurezza annunciato da Google che include anche l’implementazione di altri servizi. Tra questi, i più interessanti sono sicuramente quello di Automic Security Operations e Google Active Cyber Threat Detection.

Automic Security Operations

Per perseguire l’obiettivo di semplificare la gestione della sicurezza relativa all’utilizzo del cloud, Google introdurrà Automic Security Operations, un servizio che aiuta ad aggiornare i programmi di sicurezza.

Se i programmi diventano obsoleti non possono essere più efficaci contro le minacce. Il programma di Automic Security Operations include quindi integrazioni, piani, documentazione tecnica per aiutare le aziende ad espandere il proprio sistema di sicurezza informatico.

Google Active Cyber Threat Detection

Essendo i nuovi servizi Cloud di Google destinati anche alle aziende governative, essi devono essere in grado di fornire un ulteriore livello di sicurezza. Google Active Cyber Threat Detection è un programma sviluppato con questo obiettivo: è un sistema che aiuta le aziende governative ad analizzare i dati log passati e attuali.

Con queste soluzioni di sicurezza, Google diventa una soluzione cloud sempre più performante e adatta ad aziende private, pubbliche, Pubbliche Amministrazione e, addirittura, aziende governative.

© Tutti i diritti riservati | Dam Company S.r.l. – S.S. 155 Maddalena N 110 – 03011 Alatri (FR) – Partita IVA 03179480607 – Capitale sociale i.v. 10.000 €