Gestione delle password online
Quando si tratta di sicurezza online, molti utenti si sentono sopraffatti. Mark Risher e Stephan Micklitz di Google parlano dell'importanza di considerare queste emozioni durante lo sviluppo di misure di sicurezza
Sig. Risher, lei è Director of Product Management in Google e lavora nell'ambito della sicurezza in Internet. È mai stato vittima di una frode online?
Mark Risher: "In questo momento non mi viene in mente un esempio concreto, ma posso solo supporre di sì. Commetto degli errori quando navigo sul Web esattamente come chiunque altro. Ad esempio, di recente ho inserito la mia password Google sul sito web sbagliato. Fortunatamente, ho installato il plug-in Password Alert di Chrome, che me lo ha fatto notare. Quindi ho subito cambiato la password, ovviamente".
Stephan Micklitz, Director of Engineering del team di Google responsabile di privacy e sicurezza: "È umano. Dopo aver memorizzato una password, può facilmente accadere che la inseriamo senza prestare abbastanza attenzione a dove la stiamo digitando".
Risher: "Mi piacerebbe molto abolire tutte le password, ma purtroppo non è così facile".
"Molte misure di sicurezza sono già in atto dietro le quinte."
Mark Risher
Qual è il problema con le password?
Risher: "Hanno moltissimi svantaggi: si possono rubare facilmente, ma sono difficili da ricordare e gestirle può essere noioso. Molti utenti pensano che una password debba essere più lunga e complicata possibile, anche se così il rischio per la sicurezza in realtà aumenta. Le password complesse invogliano gli utenti a usarle per più di un account, rendendoli ancora più vulnerabili".
Micklitz: "Più raramente si inserisce una password, meglio è. Ecco perché non è consigliato disconnettersi e riaccedere agli account ripetutamente. Col passare del tempo, questo comportamento può far sì che gli utenti non prestino più attenzione al tipo di pagina web che stanno visitando, rendendo le cose molto più facili ai ladri di password. Pertanto, consigliamo ai nostri utenti di mantenere l'accesso".
Il sito web della mia banca mi disconnette automaticamente se è rimasto inattivo per qualche minuto.
Micklitz: "Purtroppo, diverse società seguono ancora regole ormai superate. Il consiglio di disconnettersi sempre risale a un periodo in cui la maggior parte delle persone navigava online all'interno di Internet cafè o condivideva un computer con altri utenti. La nostra ricerca dimostra che maggiore è la frequenza con cui viene inserita la password, maggiore è la probabilità di essere vittime di un attacco informatico. Quindi è più sicuro attivare semplicemente il blocco schermo sul cellulare o sul computer e utilizzare una password sicura".
Risher: "Esatto. Purtroppo, ci sono diversi consigli falsi o poco pratici in circolazione, che possono confondere molti utenti. Nel peggiore dei casi, le persone si sentono così insicure da arrivare ad arrendersi: «Se è così difficile proteggermi, tanto vale smettere di provarci». È un po' come lasciare sempre la porta aperta perché si sa che ci sono i ladri in giro".
Mark Risher è Director of Product Management in ambito sicurezza e privacy in Google. Nel 2010, ha fondato la startup di cybersicurezza Imperium, acquisita da Google nel 2014. Da allora, Risher lavora presso la sede centrale della società a Mountain View, California. A destra: un token di sicurezza utilizzato nel programma di protezione avanzata. È disponibile a un prezzo conveniente e può essere utilizzato per diversi siti web.
Se le password venissero abolite, in che modo Google garantirebbe la sicurezza agli utenti?
Risher: "Abbiamo già preso diverse misure di sicurezza aggiuntive che vengono eseguite dietro le quinte. Un hacker potrebbe scoprire la tua password e il tuo numero di cellulare, ma noi potremmo comunque garantirti il 99,9% di protezione per il tuo Account Google. Ad esempio, verifichiamo da quale dispositivo o paese viene eseguito l'accesso. Se qualcuno tenta di accedere al tuo account più volte di seguito con una password errata, nei nostri sistemi di sicurezza si attivano degli allarmi".
Micklitz: "Inoltre, abbiamo sviluppato Controllo sicurezza, che consente agli utenti di configurare nel dettaglio le proprie impostazioni di sicurezza nel proprio Account Google. E con il programma di protezione avanzata, ci spingiamo ancora oltre".
Qual è l'idea alla base di questo programma?
Micklitz: "In origine, il programma è stato sviluppato per persone come politici, CEO o giornalisti che potevano attrarre particolarmente l'interesse dei criminali, ma ora è disponibile per chiunque voglia una maggiore protezione online. Solo gli utenti che hanno uno speciale dongle USB o Bluetooth possono accedere al proprio Account Google protetto".
Risher: "Sappiamo per esperienza che il sistema è efficace, infatti tutti i dipendenti Google utilizzano un token di sicurezza per proteggere il proprio account aziendale. Dall'introduzione di questa misura di sicurezza, non si è verificato nemmeno un caso di phishing che possa essere ricondotto alla conferma della password. Il token migliora moltissimo la sicurezza degli Account Google, perché anche se un utente malintenzionato conoscesse la password, non potrebbe accedere all'account senza questo elemento. In genere, un account online può essere violato da qualsiasi parte del mondo, ma ciò non vale per gli account protetti con un token di sicurezza fisico".
Micklitz: "A proposito, questi token di sicurezza possono essere utilizzati per diversi siti web, non solo per il programma di protezione avanzata di Google. È possibile acquistarli da noi o da altri provider a un prezzo conveniente. Tutti i dettagli sono disponibili all'indirizzo g.co/advancedprotection".
"A volte, per le persone è difficile valutare i rischi che si corrono su Internet."
Stephan Micklitz
A vostro avviso, quali sono i principali pericoli in agguato su Internet oggi?
Risher: "Uno dei problemi consiste nei diversi elenchi di nomi utente e password che esistono online. Il nostro collega Tadek Pietraszek e il suo team hanno trascorso sei settimane scandagliando Internet e hanno trovato 3,5 miliardi di combinazioni di nomi utente e password. Non si tratta di dati sottratti ad Account Google, sono stati rubati da altri provider. Tuttavia, poiché molti utenti usano la stessa password per diversi account, questi elenchi rappresentano un problema anche per noi".
Micklitz: "Penso che lo spear phishing sia un enorme problema. È una truffa che avviene quando un utente malintenzionato crea un messaggio personalizzato talmente realistico che la vittima fa fatica a riconoscerne l'intento fraudolento. Stiamo notando che gli hacker utilizzano questo metodo sempre più spesso e con successo".
Risher: "Concordo con Stephan. Inoltre, lo spear phishing non richiede neanche lontanamente tutto il tempo che ci si potrebbe aspettare. Spesso bastano solo pochi minuti per personalizzare un'email di spam. Gli hacker possono utilizzare le informazioni personali pubblicate online dagli utenti stessi. È un problema con le criptovalute, ad esempio: le persone che dichiarano pubblicamente di avere 10.000 bitcoin non dovrebbero sorprendersi se questa informazione attrae l'attenzione dei cybercriminali".
Micklitz: "È come se fossi al centro di una piazza e dichiarassi con un megafono il saldo del mio conto bancario. Chi mai lo farebbe? Nessuno, ma le persone a volte fanno fatica a valutare i rischi che si corrono su Internet".
Le classiche email di spam sono ancora un problema?
Risher: "Il collegamento di dispositivi e servizi è una grossa sfida per noi. Le persone non usano solo i laptop e gli smartphone per navigare online, utilizzano anche TV, smartwatch e smart speaker. Su tutti questi dispositivi vengono eseguite diverse app, offrendo così agli hacker molti potenziali punti di attacco. E poiché ora i dispositivi connessi a Internet sono tanti, gli hacker possono utilizzarne uno per tentare di accedere alle informazioni memorizzate su un altro. Quindi ora dobbiamo rispondere alla domanda: in che modo possiamo garantire protezione ai nostri utenti malgrado la moltitudine di nuove modalità di utilizzo?"
Micklitz: "Prima di tutto, ci chiediamo quali dati ci servono davvero per ogni servizio e quali informazioni vengono scambiate tra i servizi".
Stephan Micklitz
Director of Engineering del team di Google responsabile di privacy e sicurezza. Ha studiato informatica presso l'Università tecnica di Monaco e lavora nella sede di Google in questa stessa città sin dalla fine del 2007. Micklitz fa parte del consiglio dell'iniziativa tedesca sulla sicurezza online Deutschland sicher im Netz (DsiN).
In che modo usate l'intelligenza artificiale per contribuire a proteggere gli utenti?
Micklitz: "Google utilizza l'intelligenza artificiale da parecchio tempo".
Risher: "Questa tecnologia è stata integrata nel nostro servizo email, Gmail, sin dall'inizio. Google ha persino sviluppato la propria raccolta per il machine learning chiamata TensorFlow, che semplifica il lavoro dei programmatori che lavorano con il machine learning. Gmail in particolare trae benefici da TensorFlow, poiché fornisce un prezioso servizio per il riconoscimento di modelli tipici".
Potete spiegarmi come funziona questo riconoscimento di modelli?
Risher: "Supponiamo ad esempio di notare un'attività sospetta tra diversi utenti che non riusciamo a categorizzare. Una macchina ad autoapprendimento può confrontare questi eventi e, nella migliore delle ipotesi, rilevare nuove forme di attività fraudolenta ancor prima che inizino a diffondersi online".
Micklitz: "Tuttavia, ci sono dei limiti: l'intelligenza di una macchina è pari a quella della persona che la utilizza. Se fornisco a una macchina dei dati falsi o solo parzialmente veri, anche i modelli riconosciuti saranno falsi o solo parzialmente veri. Benché nutriamo molto entusiasmo nei confronti dell'intelligenza artificiale, la sua efficacia dipende sempre dalla persona che la utilizza. Sta all'utente addestrare la macchina con dati di alta qualità e verificare poi i risultati".
Risher: "Una volta, quando lavoravo per un altro provider email, abbiamo ricevuto un messaggio da un impiegato di una banca di Lagos. In quel periodo, circolavano moltissime email fraudolente e si supponeva provenissero dalla Nigeria. L'uomo si lamentava del fatto che le sue email finissero sempre nella cartella dello spam del destinatario, anche se lavorava per una rinomata banca. Questo è un tipico caso di falsa generalizzazione all'interno del riconoscimento di modelli a causa di informazioni insufficienti. Siamo riusciti a risolvere questo problema modificando l'algoritmo".
Fotografie: Conny Mirbach
Cybersicurezza
Scopri come ci impegniamo ogni giorno per rendere internet più sicuro per tutti.
Ulteriori informazioni