venerdì 23 ottobre 2009

Come prevenire la violazione dell'account di Facebook (e non soltanto)


La sicurezza della password.
Non utilizzate password che possano essere facilmente ricondotte a voi (nome, cognome, data di nascita, squadra del cuore, nome di parenti ecc.) – Esempio: la mia password non sarà mai “protezione”. Create una password realmente complessa. Ricordate che ogni password è case-sensitive, cioè lettere maiuscole e minuscole fanno la differenza. Inserite almeno un numero ed un simbolo. Esempio: una password più sicura di quella di prima potrebbe essere “Qn*4k<3^ì”.

Evitate il più possibile riferimenti a parole reali. Giusto per citare un motivo: quando si eseguono attacchi a brute-force (forza bruta: tentare tutte le possibili combinazioni fino a trovare la password corretta), per prima cosa si usano dei dizionari, in modo da provare parole reali. La password citata nel caso precedente, in questo caso, sarebbe un ottimo esempio.

Molto importante è anche la scelta della domanda di riserva che moltissimi siti (soprattutto quelli che forniscono account e-mail, come Hotmail, Gmail ecc.): le domande possono essere predefinite o personalizzate. In ogni caso non fornite risposte veritiere, ma ricordatevi comunque di tenerle bene a mente: per un malintenzionato che vi conosce, azzeccare la risposta a una domanda così semplice e prendere possesso dell’account sarà veramente un gioco da ragazzi.

Diffidate.
Un possibile malintenzionato può avere tantissimi modi di attirarvi in una trappola. Pensateci sempre bene, prima di aprire un link che vi viene inviato o che trovate in giro per il web. E’ sempre utile fermarcisi prima sopra con il mouse e osservare, generalmente in fondo a sinistra del vostro browser, l’indirizzo a cui vi porta quel collegamento.

Non accettate file inviati da sconosciuti e non accettate trasferimenti su MSN di file di cui non conoscete con certezza la provenienza e la natura. MSN è forse il protocollo di chat più debole che ci sia. Per la privacy, sarebbe bene anche evitare di utilizzarlo quando non vi state collegando dalla vostra rete casalinga. Non fate operazioni importanti (login, acquisti online ecc.) quando siete connessi attraverso una rete wireless non vostra.

Non sentitevi mai al sicuro.
L’eccessiva sicurezza è il motivo per cui molti operano con leggerezza. Ci sono tanti semplicissimi trucchi che possono tornarvi utili per evitare le frodi informatiche. Quando vi collegate ad un sito in cui fare login (come Facebook) anzichè scrivere http://www.facebook.com, scrivete https://www.facebook.com . Quella semplice “s” fa la differenza tra una connessione sicura (e quindi cifrata) ed una connessione normale, potenzialmente pericolosa. Questo vale per tantissimi siti.

Mantenete sempre aggiornati antivirus e antispyware. E' buona norma farne almeno una ogni 1-2 settimane al massimo. Evitate  i siti che vi promettono di farvi scoprire chi vi ha cancellato o bloccato in MSN. Sono solo truffe organizzate per rubare nome utente e password a chi ci cade. Il funzionamento è semplice: il sistema fa una interrogazione al server di MSN per controllare se il contatto di cui si vuole scoprire l’informazione è in linea o meno, ma lo fa con il vostro username e password! 

In pratica, è come guardare dal vostro MSN se il contatto è in linea o meno. Con l’unica differenza che stavolta vi hanno rubato username e password. Quando un vostro contatto MSN vi manda un link sospetto (un link al cui interno è contenuto anche il vostro username, generalmente), chiedetegli bene se è stato lui a inviarvelo. I virus di MSN si diffondono ad una velocità allarmante. Se il link è sospetto e il messaggio vi arriva quando il contatto non è in linea, i dubbi sono pochi. Si tratta di un virus.

Dinamica di un attacco.
Nascondete bene i dati personali che avete sparso qua e là per i siti web. Il social engineering è una delle tecniche di attacco più efficaci, e si basa proprio sul raccogliere semplici informazioni personali lasciate qua e là, oppure contattando qualcuno che vi conosce o addirittura chiedendo a voi le informazioni personali e che potreste inavvertitamente lasciar scappare. Fornite i dati personali ai siti che ve li chiedono, solo se è veramente necessario.

Evitate di iscrivervi a qualsiasi servizio esistente su internet, se qualcuno riesce a scoprire un problema di sicurezza in quel servizio e a rintracciare la vostra password, è probabile che avrà accesso anche a tutti gli altri servizi a cui avete aderito (difficilmente vengono usate password diverse per ogni sito a cui si è registrati, anche se sceglierne più di una e cambiarle spesso è un buon modo per proteggersi).

Via: Gioggi 2002

Nessun commento:

Posta un commento