Cโรจ qualcosa di innegabilmente affascinante celato nei miti; forse perchรฉ a volte ci regalano una piccola dose di evasione dalla realtร ed รจ divertente passare qualche secondo a pensare ai coccodrilli che popolano il sistema fognario di New York o alla testa criogenicamente congelata di Walt Disney in attesa di essere riportata in vita.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Ma mentre queste leggende metropolitane possono essere divertenti, alcuni miti sulla sicurezza informatica sono decisamente pericolosi perchรฉ un malinteso su a cosa serva e cosa concretamente protegga una impronta digitale puรฒ portare a violazioni devastanti.
ร quindi tempo di sfatare le leggende del settore e tornare a una migliore protezione; ne ho individuate 7 sulle quali vorrei concentrarmi:
Lโautenticazione a piรน fattori previene il credential stuffing
Lโautenticazione a piรน fattori (MFA) รจ un ottimo strumento per la sicurezza informatica, ma non impedisce il credential stuffing.
Quando un hacker tenta di accedere con credenziali errate, il server risponderร con un messaggio di errore. Se, invece, le credenziali sono corrette, il server richiederร un secondo fattore di autenticazione. In ogni modo, lโattaccante avrร ottenuto una informazione e questa potrร essere usata a supporto di un ulteriore attacco.
Una volta che gli aggressori sanno quali sono le credenziali corrette, infatti, possono concentrarsi sugli schemi per ottenere lโaccesso al secondo fattore di autenticazione, sfruttando le tecniche di social engineering, il port-out o il SIM swapping.
In sintesi, lโMFA รจ fondamentale, ma non date per scontato che sia una garanzia per impedire il credential stuffing.
Solo una piccola parte del traffico di accesso รจ automatizzato
Le aziende tendono a sottovalutare quanti attacchi avvengano tramite metodi automatizzati. Le botnet, gli open proxy, i dispositivi IoT compromessi, le VPN community powered, i server virtuali, ecc.; tutti questi strumenti consentono agli aggressori di lanciare attacchi altamente distribuiti utilizzando milioni di indirizzi IP in tutto il mondo.
Intermezzo promozionale ... continua la lettura dopo il box:
Le contromisure esistenti, come i web application firewall, in genere rilevano solo una piccola parte del traffico di attacco, di solito quello proveniente dai primi 10 IP piรน โrumorosiโ.
Ciรฒ significa che, per la maggior parte degli IP a basso volume, mancano le contromisure necessarie, e sono proprio questi IP in genere ad essere responsabili della maggior parte del traffico di attacco.
I CAPTCHA fermano i bot
I CAPTCHA catturano subito lโattenzione, ma rappresentano solo una piccola seccatura per gli aggressori. Esistono realtร specializzate nel riconoscimento dei CAPTCHA, come la societร russa 2CAPTCHA, che offrono agli hacker un accesso API automatizzato a un team di lavoratori online che passa la giornata a risolvere i CAPTCHA per consentire attacchi automatizzati.
I CAPTCHA sono poco piรน che una messinscena per la sicurezza informatica, e non fermeranno di certo gli hacker piรน motivati.
Le app di aggregazione in ambito finanziario e di fidelizzazione prendono sul serio la sicurezza
Forse utilizzate applicazioni come Mint o Plaid per accedere ai conti bancari e monitorare le finanze, personali e familiari. Esistono applicazioni simili anche per quanto riguarda i punti fedeltร , che accedono ai diversi account presso rivenditori, hotel e compagnie aeree per aggregare acquisti, prenotazioni e saldi punti fedeltร . Questi servizi offrono una visione semplificata del proprio stato finanziario, che รจ utile quando si hanno molti account e conti bancari diversi e non si vuole dover accedere a ciascuno di essi uno per uno.
Questi aggregatori sono senza dubbio ottimi strumenti per mostrare tutte le informazioni insieme su unโunica schermata, ma per farlo richiederanno il nome utente e la password per ciascun account in modo da collegare lโaccount allโaggregatore e continuare ad accedere e a raccogliere le informazioni da tutti gli account.
Il problema รจ che gli hacker adorano gli aggregatori! Utilizzeranno coppie di nome utente e password rubate, acquistate sul dark web, e le testeranno a livello di codice sul modulo di accesso di centinaia di altri siti Web, proprio tramite gli aggregatori. Le persone spesso riutilizzano nomi utente e password e, in questo modo, il credential stuffing puรฒ consentire a tali malintenzionati di accedere a migliaia di account.
La complessitร รจ necessaria per proteggere i clienti e il brand
Non sono sicuro di come sia successo, ma da sempre esiste la convinzione diffusa che la sicurezza informatica debba essere in qualche modo frustrante per poter essere efficace.
In realtร , la cyber sicurezza non รจ come farsi un tatuaggio, non dovrebbe fare male!
Una vera sicurezza informatica per essere eccellente โ e questa รจ la direzione a cui tutti dovremmo tendere โ deve essere eseguita allโinsaputa dellโutente.
La biometria comportamentale, ad esempio, viene eseguita in background e analizza silenziosamente i tasti, il tatto, la dinamica del mouse e lโorientamento del dispositivo per stabilire il profilo di un utente e proteggerlo. Tutti questi dati vengono analizzati e valutati per calcolare il rapporto di corrispondenza tra il comportamento attuale dellโutente ed il suo comportamento previsto, derivato da dati storici, in modo da impedire ad utenti falsi di assumere il controllo degli account.
Questo tipo di sicurezza informatica รจ significativamente piรน valido rispetto agli accessi tradizionali anche perchรฉ. se i sistemi in background non sono in grado di verificare lโattendibilitร di un determinato utente con un livello di confidenza accettabile, sarร richiesto allโ MFA (autenticazione a piรน fattori) di confermare ulteriormente lโidentitร : questa dovrebbe essere lโunica complessitร ulteriore che un utente dovrebbe mai sperimentare.
Se non abbiamo subito perdite non cโรจ stata una frode
La frode รจ una frode, anche senza una perdita di dati.ย Altrimenti, sarebbe come dire che non puoi avere una malattia se non mostri alcun sintomo, e questo รจ un concetto assolutamente sbagliato. La frode si verifica quando gli hacker commettono la violazione, ed รจ considerata attivitร illegale indipendentemente dal fatto che avvena un furto. Per fare un esempio concreto, se un hacker accede ad un account di posta elettronica, sta commettendo una frode anche se non ha โrubatoโ nulla.
In alcuni casi chi attacca ottiene semplicemente lโaccesso ad alcuni account e rimane lรฌ, silente. Questa รจ giร una frode e, in effetti, non รจ raro che qualcuno si introduca nellโazienda molto prima che venga rilevato un attacco.
I criteri per definire le password devono comprendere i caratteri speciali
I caratteri speciali non rafforzano necessariamente le password. Per capire cosa intendo, date unโocchiata alla tabella qui sotto. La โSโ rappresenta lโentropia, quindi maggiore รจ la quantitร di disordine nella password, maggiore รจ lโentropia.
Certo, โWatch4T! M3โ รจ piรน forte di โqwertyโ, ma โCaterpillar Motorboat Tree Januaryโ รจ tre volte piรน forte di โWatch4T! M3โ e non contiene nessun carattere speciale.
In conclusione, รจ meglio che nel definire una password ci si concentri sulla lunghezza piuttosto che sullโinserimento arbitrario di caratteri speciali perchรฉ servono solo a causare ulteriori frustrazioni allโutente.
