Stufi delle password? Microsoft le elimina del tutto
noviembre 27, 2018 14:03
Potete già farlo, se siete uno degli 800 milioni di utenti che possiedono un account Microsoft perché usano Windows 10, Outlook, Office, Skype o Xbox Live: pochi giorni fa, infatti, Microsoft ha attivato l’autenticazione sicura senza password su questi sistemi e servizi, sia su computer sia su dispositivi mobili.
Al posto della password potete usare la vostra impronta digitale, il vostro volto oppure un dispositivo speciale, la secure key, una sorta di chiave digitale fisica personalizzata. Invece di dare il vostro nome utente e ricordarvi una password, mettete il vostro dito sul sensore, guardate la telecamerina del vostro dispositivo oppure inserite la chiave digitale e il gioco è fatto.
Questo sistema ha due grandi vantaggi: il primo è che i dati personali, ossia l’impronta del dito o l’immagine del volto, non vengono mandati a nessuno e risiedono soltanto sul vostro computer, tablet o telefonino in un’area protetta della sua memoria, alla quale potete accedere soltanto voi. Non c’è insomma il pericolo che qualche sito vi rubi le impronte digitali, semplicemente perché non gliele inviate.
Il secondo vantaggio è che non essendoci una password, non potete perderla o dimenticarla e il sito che visitate non può farsela sottrarre, come invece avviene spesso. Eliminando le password, insomma, la sicurezza paradossalmente aumenta.
Questa autenticazione senza password usa la crittografia a chiave pubblica, una sorta di doppio lucchetto con una chiave che è appunto pubblica, e quindi può essere condivisa liberamente, e una seconda chiave privata, che non viene mai mandata a nessuno. I siti possono usare la vostra chiave pubblica per fare al vostro dispositivo un challenge, ossia una sorta di indovinello matematico personalizzato che può essere risolto soltanto da chi ha la vostra chiave privata. In questo modo i siti sanno che siete davvero chi dite di essere senza aver bisogno di chiedervi una password.
Potete usare questo sistema anche subito, se attivate l’opzione Windows Hello su un dispositivo Windows 10 aggiornato: vi collegate al servizio che vi interessa, usando per l’ultima volta nome utente e password, e poi attivate in Microsoft Edge la voce Usa Windows Hello. Fatto questo, potrete accedere al servizio semplicemente appoggiando il dito sul sensore o guardando la telecamerina. E per i timidi c'è la chiave digitale, da usare al posto del dito o del viso.
Questa nuova tecnica è più facile da usare che da descrivere, e rende impossibili i classici furti di password basati su siti truffaldini che somigliano a quelli autentici oppure su virus che intercettano le digitazioni. La sua introduzione in massa da parte di Microsoft e la sua presenza in Firefox e Chrome probabilmente ne incoraggeranno molto la diffusione. Certo, le password non spariranno subito, ma il loro regno sofferto si avvia forse alla conclusione, accompagnato da un coro di “Era ora!”.
Fonte aggiuntiva: Naked Security.
Quiz: sapete rispondere a questa domanda di chi nega l’esistenza della Stazione Spaziale Internazionale?
noviembre 26, 2018 22:51Ricevo da un lettore una domanda postagli da un complottista che pensa che la Stazione Spaziale Internazionale sia un falso. Come sia ottenuto questo falso, secondo il complottista, non lo so e francamente non credo di voler esplorare i meandri di una mente così bacata. Ma c’è una domanda divertente posta dal complottista, la cui risposta dettagliata non è immediatamente evidente.
È un esempio perfetto della Teoria della Montagna di M*rda: inventarsi una presunta prova di complotto richiede pochissima fatica, mentre debunkarla ne richiede molta di più. Esattamente come spalare e ripulire una montagna di letame richiede molta più fatica che farla.
La domanda è questa: le osservazioni dicono che la Stazione Spaziale percorre in cielo circa 1° al secondo. Ma allora, dice il complottista, dovrebbe percorrere 360° (cioè un’orbita intera intorno alla Terra) in circa 360 secondi, quindi in circa 6 minuti. Eppure la NASA dice che l’orbita della Stazione dura 90 minuti. Quindi la Stazione è un falso. Dove sta l’errore?
Scrivete la vostra risposta nei commenti. Buon divertimento.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Recuperare le foto cancellate da un iPhone
noviembre 25, 2018 6:15
Avete cancellato di recente delle foto dal vostro iPhone? Siete sicuri di averle cancellate davvero? Se si tratta di foto potenzialmente imbarazzanti, ho una brutta notizia; se invece si tratta di foto che avete cancellato per errore, ho una bella notizia. Esiste infatti una tecnica semplice che in alcuni casi consente di recuperarle.
Naked Security racconta che questa tecnica di recupero è stata sfruttata pochi giorni fa per vincere a Tokio una gara di hacker, un concorso internazionale per esperti informatici che si chiama Mobile Pown2own, ossia grosso modo “se riesci a prenderne il controllo, te lo porti a casa”. Le regole della gara sono semplici: i concorrenti hanno a disposizione trenta minuti per prendere il controllo delle versioni più recenti e aggiornate di smartphone o altri dispositivi digitali mobili. Se ce la fanno, si portano a casa il dispositivo e anche un cospicuo premio in denaro.
Gare come questa si fanno a fin di bene: i concorrenti, infatti, sono tenuti a non pubblicare la tecnica che hanno usato per superare le protezioni dei vari dispositivi e a spiegarla soltanto ai rispettivi produttori, in modo che possano distribuire un aggiornamento che corregge la falla. La ricompensa monetaria permette di attirare talenti che altrimenti resterebbero inutilizzati o, peggio ancora, verrebbero sfruttati dal mondo criminale.
Nella gara di Tokio, il duo di hacker vincitore, composto da Amat Cama e Richard Zhu, ha incassato in totale ben 215.000 dollari. Fra le varie falle che hanno scoperto, sfruttato e spiegato ai fabbricanti ce n’è appunto una che consente di recuperare e rubare le foto cancellate da un iPhone nuovo e aggiornato, usando una falla di Safari che sarebbe sfruttabile semplicemente inducendo la vittima a visitare un sito Web appositamente confezionato. Niente panico: la falla verrà corretta a breve.
Quello che conta, però, è che la loro tecnica sfrutta una funzione documentata dell’iPhone che è meglio conoscere per poterla gestire bene. Quando si va nell’app Foto e si cancella una fotografia, in realtà l’immagine non viene eliminata davvero. Viene messa temporaneamente in un album che si chiama Eliminati di recente e viene cancellata realmente solo dopo trenta giorni di giacenza. Lo stesso avviene anche per i video che avete ripreso.
Questo è un bene se vi accorgete di aver eliminato per errore una foto o una ripresa video che volevate invece tenere, oppure se cambiate idea dopo averla eliminata. Ma significa anche che chi ha accesso al vostro smartphone può andare a sfogliare le foto e i video apparentemente eliminati e può recuperarli.
Vi conviene quindi vuotare questo deposito temporaneo dopo aver eliminato foto che potrebbero essere usate contro di voi. Basta andare nell’app Foto, selezionare gli Album e poi andare in fondo all’elenco degli album, dove se ne trova uno denominato appunto Eliminati di recente. Si tocca ciascuna foto o ripresa video e poi si tocca Elimina per farla sparire per sempre oppure Recupera per ripristinarla. Ma fate attenzione, perché stavolta la cancellazione è a prova di hacker.
Black Friday e trojan bancari sui siti di shopping: come difendersi
noviembre 23, 2018 22:11
Invece di infettare i dispositivi degli utenti e rubare i dati delle carte di credito usate durante lo shopping online, cosa difficile se l’utente ha installato antivirus e app di protezione antifrode, infettano i siti di shopping.
Ma l’infezione non avviene attaccando direttamente i siti commerciali, che di solito hanno protezioni piuttosto robuste: viene messa a segno attaccando le società che forniscono a questi siti gli script per la gestione dei pagamenti. Queste società spesso sono difese molto debolmente. Ai criminali basta entrarvi in modo da alterare a proprio favore gli script che poi i siti commerciali vanno a scaricare e incorporare.
Magecart, per esempio, è uno script alterato che viene installato fraudolentemente nei siti commerciali e intercetta i dati dei pagamenti effettuati tramite carte di credito: una delle sue vittime più illustri è stata British Airways, che ad agosto scorso si è fatta sottrarre i dati di 380.000 clienti con 22 righe di script. Ma anche Infowars, il sito del complottista Alex Jones, è stato colpito.
Rapid7 ha dei consigli tecnici per i gestori dei siti di e-commerce, ai quali spetta il compito di tenersi puliti; gli acquirenti possono solo vigilare sugli acquisti attivando per esempio i messaggi di allerta e verifica delle transazioni fatte con la carta di credito. Se il sito usato contiene script rubacarte, questi messaggi permetteranno di accorgersi che l’acquisto fatto è fraudolento e di bloccarlo.
Vale naturalmente, come sempre, la raccomandazione classica di fare acquisti solo in siti ben conosciuti e di non farsi sedurre da offerte troppo belle per essere vere.
Puntata del Disinformatico RSI del 2018/11/23
noviembre 23, 2018 15:44
È disponibile lo streaming audio e video della puntata del 23 novembre del Disinformatico della Radiotelevisione Svizzera.
La versione podcast solo audio (senza canzoni, circa 20 minuti) è scaricabile da questa sezione del sito RSI (link diretto alla puntata) ed è disponibile qui su iTunes (per dispositivi compatibili) e tramite le app RSI (iOS/Android); la versione video (canzoni incluse, circa 60 minuti) è nella sezione La radio da guardare del sito della RSI ed è incorporata qui sotto. Buona visione e buon ascolto!
