L’addio alle password è alle porte

 

 

La novità del momento sono i passkey. A inizio maggio Google ha dichiarato l’inizio di una nuova era: quella dell’addio alle password ed entro il prossimo anno, potremmo non averne più bisogno.

 

Arrivano i passkey e tramontano le password

Immaginate un mondo in cui le password sono superflue. In questo scenario rivoluzionario, si potrà accedere a tutti i propri account online senza problemi, dai siti WordPress fino alle banche. Sarà più semplice e sicuro che mai creare e accedere agli account senza utilizzare password.

Non sarebbe fantastico? Ebbene, il declino globale delle password è già iniziato, e la vita al di là di esse è decisamente migliore.

La vita senza password: come funziona?

Partiamo da un esempio Un mese dopo aver iniziato a utilizzare il mio Apple Watch, ho scoperto che potevo accedere e sbloccare automaticamente i miei computer desktop e laptop con l’ultima versione di MacOS. In passato, l’alternativa più semplice alla password era il login biometrico di Apple Touch. Talvolta, quando mi trovo lontano, devo ancora inserire la password, ma il mio orologio riduce tale evenienza grazie a un passkey collegato al mio ID Apple e a tutti i dispositivi Apple. Anche i dispositivi Windows e Android supportano funzioni simili, grazie ai passkey.

Cos’è un passkey

Un passkey è un identificatore digitale unico e criptato che autentica l’identità dell’utente senza necessità di password tradizionali. Creati da algoritmi crittografici, i passkey possono essere conservati in modo sicuro su dispositivi come smartphone, tablet o chiavi hardware di sicurezza. A differenza delle password, che richiedono di ricordare combinazioni complesse di caratteri, i passkey offrono un metodo user-friendly, sicuro ed efficiente per autenticarsi e accedere ai servizi online.

Perché i passkey soppianteranno le password

I passkey stanno emergendo come opzione di autenticazione accanto alle password e all’autenticazione a due fattori (2FA). È possibile utilizzare qualsiasi di essi. Tuttavia, con il tempo, poche persone vorranno conservare password insicure o gestire codici 2FA dispendiosi in termini di tempo. I passkey diventeranno rapidamente l’opzione prediletta per vari motivi:

1️⃣ Maggiore sicurezza: i passkey offrono una sicurezza superiore, riducendo il rischio di violazioni dei dati causate da password deboli o rubate.
2️⃣ Esperienza utente migliore: i passkey semplificano il processo di autenticazione, eliminando la necessità di ricordare numerose password complesse per vari account.
3️⃣ Niente più gestori di password: i passkey rendono superflui i gestori di password, riducendo i rischi associati e semplificando l’autenticazione.

Futuro senza password con passkey

Il futuro senza password: pro e contro

I passkey presentano numerosi vantaggi in termini di sicurezza e semplicità, ma esistono anche alcuni svantaggi da considerare:

I vantaggi

1️⃣ Autenticazione senza soluzione di continuità: con l’aumento dell’uso dei passkey, il processo di autenticazione e accesso ai servizi online diventerà sempre più fluido, consentendo agli utenti di accedere ai loro account attraverso dispositivi di conservazione dei passkey o metodi di identificazione biometrica, come il riconoscimento delle impronte digitali o del viso.
2️⃣ Facilità nell’autenticazione multifattoriale: i passkey supportano intrinsecamente l’autenticazione multifattoriale (MFA), combinando qualcosa che l’utente sa (il passkey) con qualcosa che l’utente possiede (il dispositivo che conserva il passkey). Questa integrazione dell’MFA nel processo di autenticazione porterà a un ambiente online più sicuro senza compromettere l’esperienza dell’utente.
3️⃣ Riduzione delle violazioni dei dati: l’adozione dei passkey come standard per l’autenticazione ridurrà il numero di violazioni dei dati causate da password deboli o rubate, rendendo più difficile per i criminali informatici compromettere gli account degli utenti e contribuendo a un panorama digitale più sicuro.

Gli svantaggi

1️⃣ Phishing sofisticato e hacking sociale: sebbene i passkey siano difficili da rubare e decifrare, i criminali si adattano e trovano nuovi modi per sfruttare vulnerabilità. Pertanto, potremmo assistere a un aumento del phishing e dell’hacking sociale in risposta all’adozione dei passkey.
2️⃣ Sicurezza fisica e privacy: i dispositivi Apple, ad esempio, non sono in grado di riconoscere se una persona diversa dall’utente sta indossando l’orologio al polso opposto. Ciò solleva alcune preoccupazioni riguardo alla sicurezza fisica e alla privacy personale, soprattutto con l’aumento dell’uso dei dati biometrici e la progressiva intrecciatura delle nostre relazioni con i nostri dispositivi.

Nonostante le sfide che ci attendono in un futuro senza password, è chiaro che ci stiamo dirigendo verso questa direzione. Le password sono un metodo di autenticazione obsoleto e inadeguato che deve essere sostituito il prima possibile. Accogliere l’autenticazione senza password migliorerà non solo le nostre esperienze online, ma contribuirà anche a proteggere le nostre vite digitali.

Grazie ai passkey e alla loro adozione su tutte le principali piattaforme, il futuro del web sarà un’esperienza più sicura e user-friendly quando accediamo ai servizi online. I giorni in cui si lottava per ricordare le password complesse (e condividerle o riciclarle) saranno presto un ricordo del passato, e questo rappresenta un innegabile miglioramento.

 

Vuoi maggiori informazioni sull’argomento? Contatta i nostri mediatori creditizi lasciando un messaggio attraverso la form di contatto che trovi qui.

 


PC

 

Phishing”, un termine che chiunque usi la rete dovrebbe conoscere

 

 

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale

 

Qualunque utente ha avuto modo di imbattersi nel tempo in questa vera e propria piaga. Phishing è una trappola online che mira a rubare informazioni personali. Non per caso il nome, derivato da una forma modificata dell’inglese fishing, letteralmente “pescare”, richiama, per concetto, l’espressione italiana dell’ “abboccare” utilizzata in un contesto di raggiro o truffa.

Al Phishing si possono ricondurre diverse definizioni, come:

  • il tentativo di indurti con l’inganno a condividere informazioni personali online
  • un elevato livello di SPAM
  • insidiose formea di posta elettronica indesiderata
  • tecniche illecite utilizzata per appropriarsi di informazioni riservate

Sostanzialmente, si tratta di un tipo di truffa effettuata tramite Internet attraverso cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni.
Riguardo questa pratica possiamo tipicamente individuareE si sviluppa solitamente attraverso tre fasi che, rimanendo nella metafora legata alla pesca, è possibile sintetizzare come:

  • gettare l’esca
  • dare lenza
  • catturare il “pesce”

Gettare l’esca: corrisponde all’attività del malintenzionato che prepara la trappola. La tipologia della vittima può essere casuale, nel caso di attacchi massivi e generalizzati non mirati ad un particolare destinatario, o specifica, in caso di attacchi mirati ad un determinato obiettivo o una categoria di soggetti. Una volta che l’esca è pronta, la trappola scatta quando la vittima abbocca.

Dare lenza: è un’attività tipica delle truffe più elaborate, dove serve “sfiancare” la vittima che non abbocca subito ma presenta una predisposizione a cedere.

La cattura: il soggetto che crede, infine, abbocca e fornisce informazioni che lo riguardano a malintenzionati che useranno quelle informazioni per ottenere un illecito guadagno e/o per danneggiare in qualche modo la vittima.
Solitamente alla cattura segue il momento in cui il soggetto raggirato prende consapevolezza di essere stato vittima di un’attività fraudolenta.

 

Phishing 01 1200x900 1

 

Gli approdi privilegiati per chi realizza attacchi di phishing sono sostanzialmente quelli che si legano all’esperienza online degli utenti. In particolare: email, SMS, siti web e social.

Email: Il tramite più tipico fra quelli con cui il Phishing svolge la sua attività è rappresentato dalla posta elettronica. Ecco una tabella riepilogativa di alcune situazioni tipo:
Naturalmente esistono anche altre tipologie o situazioni in cui le casistiche precedenti vanno a incrociarsi per aumentare la possibilità di riuscita.

SMS: nell’era dei social e dei sistemi di messaggistica l’uso di strumenti quasi dismessi torna ad essere una fonte di rischio: proprio dove l’attenzione cala, lì si annida l’insidia.
SMS con inviti a cliccare su link per conferme di prenotazioni, annullamenti di consegna oppure perfino per sentire sedicenti messaggi in segreteria hanno, tendenzialmente, lo scopo di individuare una futura vittima di ulteriori attacchi o aggredire il credito residuo della SIM portando la vittima a chiamare numerazioni a pagamento.
Non sono inusuali finti SMS di consegne di pacchi, prenotazioni inesistenti con richiesta di conferma o di annullamento, sms informativi da finti istituti di credito o da poste con comunicazioni di sedicenti blocchi.

Siti web: esistono siti dalla parvenza istituzionale, realizzati con lo scopo di far provare un senso di sicurezza a colui che ha raggiunto quell’indirizzo magari cliccando distrattamente su di un link presente in e-mail.
Diffidare sempre dei link forniti e svolgere una ricerca autonoma è un buon modo per non incappare in queste trappole.

Social: tramite account finti, creati ad arte, contatti diretti da account fasulli, pubblicità dall’aspetto di notizie, notizie finte, “catene di sant’Antonio” i criminali riescono a raccogliere informazioni sui soggetti che possono poi servire a sferrare attacchi sempre più diretti ed efficaci per carpire informazioni e talvolta soldi alle vittime.
Effetto “Eco” o del “Pescatore ignaro”: un esempio tipico è quello del “re-posting” o del “messaggio inoltrato” da parte di soggetti ben intenzionati.
Suggerendo di rispondere, come chi inoltra il post ha fatto a sua volta, si crede di agire per il bene, da qui la forza del messaggio persuasivo che spesso accompagna questo spam, tuttavia rispondere all’SMS può confermare all’attaccante che quel numero appartiene ad un soggetto pronto a rispondere a “stimoli” di numeri che non conosce.
È sempre opportuno un controllo tramite canali ufficiali e mai chiamando il numero mittente.

Chiamate Vocali: tecnica “vecchia scuola” ma come gli SMS torna in auge nel momento in cui la soglia di attenzione si abbassa. I malintenzionati, spesso spacciandosi per fornitori di servizi di telefonia e rete internet o come operatori di banca e poste, cercano di prendere contatti con la vittima e ottenere informazioni preziose o accessi informativi (a PC con controlli remoti o direttamente a username e password) da poter riutilizzare.

In numerose campagne di phishing, a prescindere dalla tecnica utilizzata, c’è un denominatore che accomuna un po’ tutti i tentativi di phishing e le truffe online in genere: la volontà di colpire l’utente sfruttando le sue debolezze, anche a livello commerciale.

Novità, offerte e promozioni generose sono spesso utilizzate per fare breccia fra gli utenti. E lo dimostrano tutte quelle campagne malevole – condotte via mail, ma non solo – che hanno per oggetto la possibilità di aggiudicarsi facilmente premi di carattere tecnologico, iPhone in primis.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media.

Se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivo, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

 

Phishing 02 1200x684 1

Rischi e possibili conseguenze

Dal Phishing possono derivare conseguenze spiacevoli dirette o indirette.
Conseguenze dirette: a seconda della tipologia di informazioni diffuse possono derivare:

  • Furti di identità da cui possono seguire attività, come ad esempio, intestazione di fatture, consegne indesiderate, o persino sostituzione di persona;
  • Perdite economiche dirette, nel caso sia stato comunicato il numero di carta di credito o si sia pagato per un prodotto o servizio inesistente;
  • Ulteriori tentativi di truffa. Ormai i criminali associano all’utenza, o al nome e cognome della vittima, un soggetto che se adeguatamente “sfiancato”, può cadere in una trappola;
  • Estromissione dall’accesso a determinati servizi, nel caso venissero compromesse credenziali di accesso come username e password dei siti internet o della posta elettronica.

Conseguenze indirette: le informazioni accessorie raccolte dai criminali possono servire a colpire, ad esempio, i componenti della cerchia sociale. Possono scaturire:

  • Comunicazioni inviate a nome della vittima a parenti o colleghi;
  • Richieste di informazioni fatte a nome del raggirato;
  • Danni reputazionali legati a pubblicazione di contenuti inappropriati su social network;
  • Frizioni o diminuzione della fiducia sul posto di lavoro;
  • Raggiri a danno di soggetti deboli (minori e anziani) o non “digitalmente alfabetizzati” con una soglia di resistenza più bassa di quella della vittima stessa.

Questi sono solo alcuni esempi delle conseguenze, più o meno gravi, che nascono tutte da un attacco di Phishing.

 

Phishing 03 1200x675 1

Come difendersi?

È evidente che il Phishing è un’attività subdola e solo parzialmente legata al mondo tecnologico. Il punto su cui fa leva questa metodologia è sempre una caratteristica della vittima più che lo strumento da utilizzato. Si voglia per stanchezza, per disattenzione, per eccessiva bontà d’animo, per estrema ingenuità, per pigrizia o per mancata formazione ci sono dei momenti o dei contesti in cui il rischio di abboccare ad un tentativo di phishing aumenta.

Insomma, spesso non si tratta solo di poca conoscenza o di poca attenzione alle regole basiche della cybersecurity. A volte il cervello dell’utente funziona in un modo un po’ diverso rispetto a come vorrebbero i guru della sicurezza IT, soprattutto quando si lasciano trarre in inganno dalle tecniche di ingegneria sociale.

Ebbene sì, l’ingegneria sociale si avvale della sociologia e della psicologia per elaborare delle tecniche, grazie alle quali si crea un ambiente che porta a un risultato predeterminato.

I cybercriminali fanno leva sulle paure delle persone, sulle loro emozioni e sui riflessi per ottenere accesso a informazioni da utilizzare per i propri scopi. E questa sorta di “scienza” viene ampiamente applicata nella maggior parte degli attacchi mirati moderni.

La più forte difesa che si può utilizzare contro questa attività deriva dal nostro atteggiamento individuale e dalla nostra attenzione. Cerchiamo di essere la difesa migliore per noi stessi e per la nostra cerchia sociale usando ragionevole diffidenza e gli strumenti tecnologici idonei – come quelli indicati in alcuni articoli qui sotto – ad aumentare ulteriormente la sicurezza dei nostri sistemi pur senza affidarsi esclusivamente a questi.

 

Se vuoi maggiori informazioni sull’argomento e su temi correlati, contatta i nostri mediatori creditizi lasciando un messaggio attraverso la form di contatto che trovi qui.