Proteggere gli account web e migliorarne la sicurezza

Il furto di identità online è uno degli incidenti che, purtroppo, si verificano con maggiore frequenza. L’accesso non autorizzato a uno dei tanti account creati online dall’utente può poi fungere da testa di ponte per sferrare attacchi mirati e, potenzialmente, distruttivi.

Proteggere gli account web e renderli sicuri è un’operazione che non andrebbe mai trascurata. Si pensi all’account Google: se un malintenzionato riuscisse ad accedervi potrebbe consultare la posta elettronica dell’utente, aprire tutti gli allegati e, ad esempio, visualizzare il contenuto dei documenti salvati su Drive.
Queste informazioni permetterebbero di aggredire l’utente-vittima su più fronti, ottenendo l’accesso immediato ad altri servizi (la posta elettronica è spesso fonte inesauribile di credenziali d’accesso e altri dati strettamente personali…).

Ma non è necessario “scomodare” Google: nel caso in cui l’utente si dimenticasse di proteggere account web meno “ricchi” di dati, il loro contenuto potrebbe essere comunque sfruttato per guadagnare l’accesso ad altri account.

Di seguito presentiamo quelle che riteniamo le dieci metodologie più efficaci per migliorare la sicurezza degli account web.
Tantissimi sono infatti gli account di cui oggi disponiamo: indirizzi di posta elettronica di vari provider, account Google, Microsoft, Apple, Facebook, Twitter, PayPal, Ebay, Amazon, Dropbox e così via.

Proteggere gli account in maniera adeguata significa scongiurare qualunque rischio di attacco.

Come proteggere gli account web in poche mosse

1) Non utilizzare mai, per nessun motivo, le stesse credenziali per più account
È la “regola numero uno”. Purtroppo ancor’oggi buona parte degli utenti ancora non si rende conto di quanto sia importante scegliere sempre una password diversa per ciascun servizio online che si utilizza. Nel caso in cui un account venisse malauguratamente violato o si verificasse un furto dei dati lato server, un malintenzionato avrebbe gioco facile per accedere ad altri account del medesimo utente che “condividono” la medesima password.

2) Scegliere attentamente la password a protezione dell’account
Quando si sceglie la password da usare a protezione di un qualunque account, vanno sempre accuratamente evitate tutte le password “deboli” e soprattutto contenenti riferimenti alla propria persona, a date importanti, parenti, ricorrenze, animali domestici e così via. Spesso le informazioni utili per violare un account vengono “rastrellate” sui social network e sfruttate per provare a guadagnare l’accesso non autorizzato.
Le password dovrebbero poi essere sempre lunghe (preferibilmente almeno 14 caratteri) e complesse, utilizzare caratteri alfanumerici e almeno un simbolo. Queste attenzioni permettono di scongiurare qualunque rischio di attacco brute force oppure basato sui dizionari.

3) Utilizzare l’autenticazione a due fattori
Soprattutto per la protezione degli account che contengono molti dati personali (si pensi a Facebook, Google Drive/Gmail, Microsoft OneDrive/Outlook.com, Dropbox), consigliamo l’attivazione dell’autenticazione a due fattori.
Per accedere all’account non si dovrà così conoscere ed introdurre solamente le normali credenziali (username e password) ma si dovrà affiancare l’utilizzo di un dispositivo che si possiede (sul quale verrà inviato un codice di conferma) o di un parametro biometrico.

Per proteggere l’account Google suggeriamo di attivare l’eccellente meccanismo Messaggio di Google (Google Prompt, in inglese). Esso permette di attivare un sistema di autenticazione a due fattori dispensando però l’utente dall’inserimento manuale di qualunque codice di conferma.
Grazie a Messaggio di Google, ogniqualvolta venisse rilevato un nuovo tentativo di accesso al proprio account Google, sul proprio dispositivo Android comparirà una schermata con l’avviso “Stai tentando di accedere?“.
Dalla stessa schermata, si potrà autorizzare oppure negare l’accesso all’account Google.
Lo strumento di protezione Messaggio di Google è attivabile seguendo le istruzioni riportate nell’articolo Accedere a Google in sicurezza da più dispositivi e comunque da questa pagina.

Su Facebook l’autenticazione a due fattori è attivabile da questa pagina.

Sia Facebook che Google così come Dropbox supportano anche l’utilizzo delle chiavette U2F (Fido) come alternativa per l’autenticazione a due fattori: Accedere a Google, Gmail e Dropbox senza digitare password.

Nel caso degli account Microsoft, per attivare l’autenticazione a due fattori basta accedere a questa pagina quindi, in corrispondenza della sezione Verifica in due passaggi scegliere Imposta verifica in due passaggi.

4) Richiedere la ricezione delle notifiche per accessi sospetti o non autorizzati
Google invia automaticamente notifiche circa eventuali tentativi di accesso sospetti o non autorizzati. Su Facebook, invece, è bene verificare manualmente l’attivazione di questa impostazione accedendo a questa pagina di configurazione e selezionando le opzioni Ricevi le notifiche e Avvisi di accesso via e-mail.

5) Non utilizzare i gestori di password online
Sebbene alcuni prodotti siano ormai apprezzati e universalmente molto utilizzati, preferiamo non affidarci mai ai gestori di password cloud.
Molte soluzioni garantiscono la memorizzazione delle proprie credenziali in forma sicura utilizzando la crittografia sia lato server che durante le operazioni di invio e ricezione di nomi utente e password.
Periodicamente, però, ricercatori indipendenti e società attive nel settore della sicurezza, individuano qualche lacuna nei password manager online o comunque nelle applicazioni usate per interfacciarsi con i vari servizi: Password manager Android vulnerabili secondo il Fraunhofer Institute.
Certo, nella stragrande maggioranza dei casi, le vulnerabilità vengono tempestivamente risolte ma ci sembra oggettivamente poco ragionevole demandare a terzi la gestione di tutte le proprie credenziali d’accesso, alcune delle quali molto delicate.
Molto meglio servirsi di soluzioni installate in ambito locale come Keepass: Gestione password: come farlo in sicurezza.

6) Controllare gli ultimi accessi al proprio account
Nel caso di Google, accedendo a questa pagina, è possibile effettuare un controllo del livello di sicurezza del proprio account.
La procedura passo-passo aiuta a revisionare, da un’unica schermata, tutte le impostazioni più importanti che consentono di proteggere adeguatamente l’account.

Nella sezione Controlla i dispositivi collegati, Google visualizza l’elenco completo dei dispositivi dai quali si è effettuato l’accesso.

Nella schermata delle impostazioni di Facebook, in corrispondenza della voce Dove hai effettuato l’accesso, si troverà un’informazione analoga.

7) Controllare le applicazioni autorizzate ad accedere al contenuto degli account
Google, Facebook, Microsoft, Dropbox e così via permettono di interfacciare l’account dell’utente con le applicazioni sviluppate da terze parti.
Le credenziali di accesso ai vari account non vengono mai condivise e si ricorre invece, generalmente, al protocollo OAuth che – attraverso un token software – consente di abilitare un’applicazione a usare una parte dei dati dell’account.

Gli utenti, con il passare del tempo, tendono ad accordare l’accesso a molte applicazioni. Queste avranno la possibilità di utilizzare i permessi accordati dall’utente e utilizzare le informazioni contenute nell’account.

Consigliamo di utilizzare le seguenti pagine per controllare quali app hanno diritto di accedere al proprio account e revocare i permessi alle applicazioni che non si utilizzano più:

– App collegate all’account Google
– App e servizi che possono accedere all’account Microsoft
– App che possono accedere ai dati Facebok
– App che hanno accesso all’account Twitter
– App che hanno titolo per accedere ai contenuti salvati nell’account Dropbox (scorrere la schermata fino alla sezione Applicazioni collegate)

8) Non fare affidamento sulle “domande segrete”
Già nel 2015 Google evidenziò come le domande segrete sono ormai un sistema di protezione vetusto e, spesso, controproducente: Domande di sicurezza: tutt’altro che sicure.

L’impostazione di una risposta a una domanda di sicurezza “scontata” può seriamente mettere a rischio la sicurezza dell’account.

Molti utenti impostano infatti la risposta alla domanda di sicurezza in maniera avventata, fornendo informazioni che spesso sono reperibili, per esempio, da parte di altri utenti, sulla propria bacheca di Facebook.

Il nostro consiglio è quindi quello di mettere da parte l’utilizzo della “domanda di sicurezza”, preferendo l’impiego dell’autenticazione a due fattori, come visto in precedenza.

9) Non effettuare il login ai propri account su sistemi di altri utenti
È vero che tutti i principali siti web utilizzano una connessione HTTPS che impedisce la sottrazione dei dati di login e degli altri dati scambiati con il server remoto. Purtuttavia, è sempre sconsigliabile effettuare il login ai propri account personali utilizzando il sistema appartenente a un’altra persona. La presenza di un componente malevolo o di un keylogger potrebbe essere abilmente celata ed esporre così a un concreto rischio di furto della propria identità digitale.

Ad ogni modo, se ormai si fosse già operato il login su un computer o un dispositivo altrui e ci si fosse addirittura dimenticati di disconnettersi con il proprio account, suggeriamo di procedere seguendo le indicazioni riportate nell’articolo Logout Gmail, Google e Facebook da remoto.
Per sicurezza, sarebbe bene procedere con un cambio della password.

10) Usare account di posta che supportano l’utilizzo della crittografia (protocollo TLS)
I messaggi di posta elettronica spesso contengono informazioni sensibili e dati strettamente personali. Se si utilizza un account che non supporta la cifratura dei dati (non importa se la ricezione delle email avviene via POP3 o IMAP e l’invio via SMTP) e quindi non permette di abbinare l’utilizzo del protocollo TLS eventuali malintenzionati connessi alla medesima rete potrebbero agevolmente intercettare non soltanto i contenuti delle email ma anche nome utente e password per l’accesso all’account di posta.

Soprattutto se si usano reti WiFi gestite da terzi, l’utilizzo del protocollo TLS per l’invio e la ricezione delle email è fondamentale: Email: SSL, TLS e STARTTLS. Differenze e perché usarli.

Nella scelta del miglior fornitore del servizio email, abbiamo inserito ai primi posti la disponibilità dell’accesso autenticato via TLS: Creare un indirizzo email: quale servizio scegliere.

Importante sarebbe che il fornitore del servizio di posta elettronica usasse il protocollo TLS anche per dialogare con i server di posta (MTA, mail transfer agent) degli altri provider.
Quando il server dell’altro provider supporta anch’esso TLS le email verranno cifrate lungo tutto il loro percorso offrendo massime garanzie in termini di sicurezza e privacy (Google Gmail supporta questo tipo di approccio).
Visitando questa pagina quindi inserendo il nome a dominio del provider di posta che si sta usando nella casella Esplora i dati, è possibile accertare subito se il fornitore prescelto attiva o meno la cifratura dei messaggi lungo il loro tragitto.

Proprio l’interfaccia web di Gmail evidenzia con un’icona raffigurante un lucchetto rosso “aperto” quando un’email – con ogni probabilità – non verrà crittografata lungo tutto il percorso prima di raggiungere la casella di posta in arrivo del destinatario.
Cliccando sull’icona, Gmail visualizza un messaggio simile a quello riportato nell’immagine pubblicata di seguito.

Google chiarisce che il server di posta di destinazione non supporta la crittografia e consiglia di usare attenzione nello spedire informazioni personali e dati sensibili.

Suggeriamo anche la lettura dell’articolo Gmail avvisa quando un’email non verrà crittografata.