Creato da tanksgodisfriday il 26/03/2006
Cose varie al PC, sul Web e nella mente. Puoi scrivermi a: tanksgodisfriday@libero.it
 

 

« La Cina adesso censura a...Le Sneakairs, e a guidar... »

Password, cioccolato e social engineering

Post n°1827 pubblicato il 14 Maggio 2016 da tanksgodisfriday
 

«Posso farle qualche domanda su come utilizza Internet?»
Vi fermate. Le prime domande sono generiche: usa Internet a casa, in ufficio, quali siti visita, e così via. Facebook? Instagram? Si, certo. E poi la posta elettronica, va da sé.

Che tipo di password utilizza? Ah ecco. Quindi sul sito xyz che password ha?
Sembrerà incredibile ma, arrivati a questo punto, il 28% degli intervistati rivela senza esitazione la password richiesta.
A raccontarlo è uno studio della Université du Luxembourg, effettuato intervistando 1208 persone. Il particolare più inquietante deve ancora arrivare, però.

L'intervista prevedeva che l'intervistato ricevesse un piccolo omaggio. Ad alcuni intervistati arrivava alla fine, ad altri invece era proposto appena prima della domanda sulla password.
Bene: l'aver ricevuto il piccolo omaggio aumentava sensibilmente la propensione dell'intervistato a rivelare la propria password, raggiungendo il massimo quando il regalo era un pezzetto di cioccolato: il 48%, vale a dire una persona su due.
When someone does something nice for us, we automatically feel obliged to return the favour. This principle is universal and important for the way we function as a society.
Siamo fatti così, il ricevere un favore, un'attenzione, un piccolo regalo, ci induce a ricambiare.
È uno dei principi su cui si basa il Social Engineering: come sottrarre con l'inganno informazioni utili a frodare il prossimo.
Il Phishing si basa esattamente su forme più o meno elaborate di Social Engineering. Riceviamo un messaggio che promette un fortissimo sconto d'acquisto, oppure ci sollecita ad aggiornare le nostre informazioni di profilo. Il sito su cui atterriamo, però, anche se sembra quello vero, non lo è.

Come difendersi?
Tre regole di base:
  • leggere attentamente il messaggio prima di cliccare su qualunque link, per verificare se è credibile; se il messaggio sembra arrivare dalla nostra banca, non serve cliccare sul link, basta digitare in una nuova finestra l'url della banca, accedere, e verificare se l'avviso ricevuto via email era autentico
  • digitare la propria password solo dopo aver verificato che l'url della pagina sia quella giusta e non contraffatta
  • utilizzare una password robusta e non condividerla con nessuno
Come si costruisce una password sicura? Anche qui tre quattro regole semplici:
  • che sia lunga, non meno di 12 caratteri (es.: ilsolesplendealto)
  • inserire qualche movimento: un po' di maiuscole, sostituire qualche lettera con un numero, inserire uno o più caratteri speciali e qualche errore di ortografia (es.: 1lSolo#splendealto)
  • evitare come la peste informazioni personali: nomi, luoghi, date; sono tutti dettagli che sono reperibili dal nostro profilo Facebook
  • non ri-utilizzare una stessa password su siti diversi; rubata una, rubate tutte
Utilizzare, infine, la 2FA (two factor authentication), se il sito lo consente. In questo caso l'autenticazione avviene inserendo la password e un pin che ci viene inviato sul cellulare. Rubarci la password a questo punto non basta più, occorre anche avere accesso al nostro cellulare.
La 2FA oggi è supportata dai principali sistemi di mail.

Tornando allo studio della Université du Luxembourg, se intendete cominciare una carriera di hacker con il metodo dell'intervista con cioccolato, tenete conto di due dettagli.
Spesso digitiamo in modo automatico la password (e la sbagliamo pure), ma abbiamo difficoltà a ripeterla a voce. Quindi dall'intervista avreste una buona probabilità (stima: almeno il 25%) di raccogliere una password sbagliata.
E poi l'intervistato potrebbe fare il furbo: prendere il cioccolato e darci intenzionalmente una password inventata sul momento.

Vatti a fidare.

[Immagine da maddmaths.simai.eu]

 
Commenta il Post:
* Tuo nome
Utente Libero? Effettua il Login
* Tua e-mail
La tua mail non verrà pubblicata
Tuo sito
Es. http://www.tuosito.it
 
* Testo
 
Sono consentiti i tag html: <a href="">, <b>, <i>, <p>, <br>
Il testo del messaggio non può superare i 30000 caratteri.
Ricorda che puoi inviare i commenti ai messaggi anche via SMS.
Invia al numero 3202023203 scrivendo prima del messaggio:
#numero_messaggio#nome_moblog

*campo obbligatorio

Copia qui:
 

Area personale

 

Ultimi commenti

 

follow us in feedly

 
 

Translate!

 

Ultime visite al Blog

fortunatoioculanothe_doorsJesus0adm_vittorinistefanochiari666Psy1972romyinter94lucapestelli0marioluciano.trottamedri.massimoornella12ortoto.detanksgodisfridaysparusolablumannaro