Comodo non sempre fa rima con sicuro. Cosa fare e cosa può essere fatto
La scena è gradevole: salotto di casa, PC acceso, connessione a Internet e tutto è pronto.
Facciamo un salto in banca. Scegliamo il sito dai nostri bookmark, oppure digitiamo il relativo URL, et voilà, siamo in banca, nella nostra filiale virtuale. Codice di accesso e password e siamo all’interno del nostro conto corrente, da dove possiamo vedere la nostra situazione patrimoniale, fare bonifici, comprare titoli o fondi. Che altro chiedere alla nostra banca? Nulla, è nel nostro salotto.
Ma facciamo un passo indietro: la nostra user-id. Ogni banca ha la propria definizione, alcune usano un generico numero, altre nome e cognome o l’indirizzo email. Quanto tempo occorre ad un malitenzionato a capire come funziona il meccanismo? Assai poco. Ostacolo successivo: la password. Questa è davvero un ostacolo? Non tanto, nella media le persone scelgono password facili da ricordare, magari legate direttamente a fatti o persone di famiglia (date di nascita, nome dei figli, del cagnolino, targa dell’auto). Sul Web sono disponibili per il download software che si incaricano di ricercare, con metodi diversi, le password: molti di questi oggetti fanno uso di un vocabolario standard che viene utilizzato per accelerare le operazioni. Con o senza vocabolario, dai nostri test risulta che una password “banale” viene identificata in pochi minuti. Ed il vostro conto è nelle mani di un malintenzionato che può fare quel che gli pare.
E che dire di una nota banca italiana i cui sportelli ATM o Bancomat se preferite, sono in rete, basati su Windows NT 4.0, hanno un indirizzo IP e l’utente di gestione è, guarda caso “Administrator” e la password è “admin”: che si può dire?
Pensiamo allora alle difese, quelle che possiamo attuare personalmente: la password, per esempio, deve essere strutturata in modo da mettere in difficoltà i software di crack, quindi, visto che i sistemi cosiddetti “brute force” usano sempre la sequenza a..z,0..9, “spingete” la vostra password verso la fine della sequenza e usate abbastanza caratteri per mettere in difficoltà il sistema. Qualche “9” e qualche “z” su dieci caratteri di password rendono inutile ogni tentativo di crack (ci vorrebbero migliaia di anni).
Che può fare la banca? Passare alla smart card per esempio, ma soprattutto, oggi, tracciare i tentativi sospetti, bloccando gli account dopo un certo numero di tentativi di acesso, come avviene per i Bancomat. Sull’uso di firma elettronica e smart card, vale la pena di dare un’occhiata ai siti www.aipa.it e www.posteitaliane.it .
