EasyApple puntata 430: “Si parla di sicurezza e Password insieme a Giorgio Sbaraglia”

Nella puntata numero 430 del Podcast EasyApple sono stato invitato a partecipare alla trasmissione dai conduttori Luca Zorzi e Federico Travaini.

EasyApple è uno dei podcast realizzati da EasyPodcastche è un network di distribuzione di trasmissioni audio-podcast improntate sulla tecnologia, con un occhio di riguardo sul mondo Apple. EasyPodcast è un progetto nato il 19 Settembre 2012 da un’idea di Federico Travaini e Luca Zorzi che, dopo essersi ritagliati un posto nell’olimpo dei podcast grazie ad EasyApple, decidono di intraprendere una nuova avventura nel mondo del podcasting fondando EasyPodcast “il network che prima non c’era” (come piace definirlo ai due fondatori).

In quasi sette anni EasyPodcast ha pubblicato quasi mille podcast.

Dopo la mia precedente partecipazione nella puntata n.414 (nella quale avevamo parlato di Spyware) sono ritornato nella puntata numero 430 di EasyApple.

È stata l’occasione per presentare il mio ultimo libro: iPhone. Come usarlo al meglio”.

Quale migliore occasione farlo in un podcast dedicato al mondo Apple, con due conduttori come Luca e Federico che da anni svolgono un’attività di divulgazione su come usare l’iPhone in modo migliore. Abbiamo quindi illustrato quello che si trova nel mio libro: dalla storia dell’iPhone, alle basi per impostarlo, ai segreti meno conosciuti, fino alle oltre 60 applicazioni “utili per la produttività” che ho recensito.

Tra i tipi di applicazioni che propongo nel libro ci sono anche gli utilissimi Password Manager: ne elenco quattro tra i migliori disponibili su AppStore. E questa è stata l’occasione per parlare di Password con Luca e Federico.

Due di queste app sono a pagamento: 1Password e LastPass e rappresentano i “leader di mercato” tra i Password manager.

Ma ho consigliato anche due applicazioni gratuite (perché progetti open source) di provata affidabilità: KeePass e Bitwarden.

Oggi queste applicazioni – che sono multipiattaforma, quindi disponibili anche per computer- rappresentano il miglior compromesso possibile tra sicurezza e praticità. Le statistiche ci dicono che ciascun utente si trova ormai a dover gestire circa 100 password (dalle più critiche, quali l’internet banking e la casella email a quelle meno importanti). Pensare di poterle ricordare tutte a memoria è un’utopia, quindi si finisce per cadere nell’errore gravissimo del password reuse, cioè usare la stessa password in tutti i siti (ne parlo in questo articolo). Se la password viene scoperta (e quindi rubata), perchè il sito viene violato, ci avranno rubato in un colpo solo tutte le nostre password! E riusciranno ad accedere ai nostri account. L’attacco che sfrutta la nota e pessima abitudine di usare sempre la stessa password è conosciuto con il nome di credential stuffing ed ha ottime probabilità di successo, proprio a causa degli errori commessi dagli utenti distratti o inconsapevoli.

Proprio parlando di come vengono scoperte le password e del credential stuffing, non potevamo non citare l’utilissimo sito https://haveibeenpwned.com, che si potrebbe tradurre con: “Sono stato violato?”, Questo sito, gratuito ed assolutamente sicuro, è stato creato dall’esperto australiano di cybersecurity Troy Hunt (personaggio che io cito da anni nei miei corsi e che ora, proprio grazie ad Haveibeenpwned, è diventato famoso nel mondo). Troy Hunt ha classificato tutti i data breach più importanti degli ultimi anni, creando un archivio che oggi contiene oltre 8,5 miliardi di account violati.

L’uso è assai semplice: basta digitare nella homepage il nostro username (cioè l’indirizzo email con il quale ci siamo registrati nei vari siti) e cliccare sul pulsante “pwned?” per sapere se il nostro account è presente nell’archivio degli account compromessi. Se così fosse, la schermata diventa rossa e compare la scritta “Oh no — pwned!”. E vengono elencati i “Breaches you were pwned in”, gli incidenti nei quali il nostro account è finito. Con il consiglio, ovvio, di cambiare subito la password dell’account violato!

Il sito è diventato ormai molto noto, tant’è che viene utilizzato anche da Google che ha creato un’apposita estensione (chiamata “Password Checkup”) la quale, ogni volta che inseriamo una password nel browser, interroga in modo sicuro (crittografato) il database di Haveibeenpwned per sapere se la password risulta essere stata hackerata.

Anche di questo abbiamo parlato nella puntata, consigliando agli ascoltatori di utilizzare questa utile estensione che è disponibile per il browser Chrome (non ancora per Firefox eSafari).

Ho concluso l’intervista segnalando il fondamentale documento SP800-63 “Digital Identity Guidelines” pubblicato dal NIST (National Institute of Standard and Technology) nel quale sono illustrate le migliori regole per gestire le password in modo sicuro. Purtroppo quello che viene fatto dagli utenti e – ancora più grave – anche da molti siti, compresi quelli di alcune istituti finanziari italiani, sembra essere esattamente l’opposto (!) di quello che indica l’autorevole Istituto americano. C’è ancora tanto da fare per portare la cultura informatica del nostro paese ad un livello per lo meno accettabile! In questo articolo “Sicurezza delle password: le nuove regole del NIST” ho illustrato quali sono le linee guida indicate dal NIST sull’uso delle password.

In questo link è disponibile la registrazione integrale della puntata n.430 di EasyApple, con il mio intervento che inizia al minuto 17:30 e prosegue fino al minuto 38:45.


© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento