iCloud “violato”: cosa abbiamo imparato?

La vicenda è nota: gente con poche cose da fare e tanta voglia di godersi un momento di celebrità, ha deciso che valeva la pena provare a violare (pare attraverso tecniche brute e appositi software) gli account iCloud di alcune celebrità, pubblicando online i backup di loro scatti in costume adamitico. Cosa abbiamo imparato (ancora una volta) da tutto ciò?

Non mettete sul cloud le vostre cose personali

Basta avere un po’ di buon senso. Come (mi auguro!) non mettereste sui social le vostre informazioni più private, le foto compromettenti o informazioni relative al vostro stato di salute fisica ed economica, ecc., non mettetele nemmeno sul cloud. Non è questione di “chissà cosa ne fanno della mia roba le multinazionali brutte e cattive”, semplicemente state mettendo in mezzo alla strada la vostra roba, protetta solo da un debole cancelletto. Tenete presente che nelle foto scattate dai cellulari sono quasi sempre inseriti dati di geolocalizzazione, non avete idea della roba che andate a mettere potenzialmente nelle mani di sconosciuti. No buono! Disattivate il backup automatico e la geolocalizzazione.

Self-hosted cloud

Se possibile e se ve ne sentite in grado, utilizzate servizi di cloud gestiti da voi, come ad esempio ownCloud (ne parlo anche qui). Sono più scomodi e lenti ma se siete un po’ sgamati potete monitorare puntualmente gli accessi e impostare il server e il router per impedire l’accesso da indirizzi IP e indirizzi MAC non noti (ovvero: permettere l’accesso solo a quelli noti). Inoltre tenete presente che un maintainer di un servizio cloud online tendenzialmente tiene alla vostra privacy molto meno di quanto ci tenete voi.

Proteggete tutti i login con una password

Sembra stupido ribadirlo, ma c’è qualcuno che ancora non mette la password o usa le password base per il login di qualcosa che è connesso a internet. Se pensate di essere al sicuro solo perché nessuno sa l’indirizzo a cui raggiungere il vostro server, router, computer o quel che è, vi consiglio l’approfondita lettura di questo articolo di Paolo Attivissimo.

Se possibile, usate l’autenticazione a due fattori

Se il servizio lo supporta, utilizzate un sistema di autenticazione a due fattori. Di che si tratta? Vuol dire che per accedere ad un servizio dovete prima inserire username e password e poi un codice alfanumerico una tantum generato “casualmente” da un dispositivo, o un app sul cellulare, o chiavette usb. Uno dei più famosi provider di servizi ad averlo introdotto è Google, ma ad esempio moltissime banche lo utilizzano da anni per i servizi di home-banking.

Password complesse VS memorizzabili

Sarà anche pleonastico dirlo, ma una password banale rende facile violare un account. Password complesse dovrebbero essere lunghe, contenere numeri, caratteri speciali, lettere maiuscole e minuscole con il maggior numero possibile di variazioni. Chiaro che, più la password è lunga e complessa, più è difficile da tenere a mente. Come fare? Sfruttate l’unicità del vostro cervellino e del pensiero umano e inventatevi un personalissimo metodo di generazione password! Strumenti a disposizione ne avete, partite da due o tre parole che vi frullano in testa in quel momento, e poi costruiteci sopra la password utilizzando tecniche da settimana enigmistica e crittografia spiccia: zeppe e bizeppe, anagrammi, scambi di lettere e sillabe, metatesi, associazioni numero-lettera-simbolo secondo schemi di vostra invenzione (non usate il l33t e sue varianti, troppo facile, subito sgamati!), e alternanza di maiuscole minuscole. Partendo da parole o pezzi di parole assemblati, rimescolati, rimaneggiati e rimpinzati di simboli otterrete password semplici da rimembrare (3 parole facili -> applico schema complesso ma noto a me -> ottengo password). Sarebbe questo il modo per generare password infallibili? Certamente NO, le password inviolabili non esistono! Inoltre come base siamo partiti da parole del dizionario, e questa è una cattiva abitudine, meglio partire da espressioni dialettali e storpiate già in partenza 😉 Se volete fare un controllo della bontà della vostra password, ci sono online millemila siti. Vi potete fidare di quei siti? Chiedetevelo! Provate con questo e con questo, il secondo mostra anche indicazioni sulla “varietà” dei caratteri presenti nella password. Non pensate comunque di essere esenti dal reverse-engineering: i vostri metodi possono essere dedotti o forzati brutalmente.

Cambiatele spesso, non riutilizzatele

Sto parlando delle password 😀 Come visto non esiste un sistema infallibile, con tanto tempo a disposizione anche le password che sembrano più complesse possono essere violate, quindi cambiatele spesso e cambiate spesso modalità di generazione 😉 soprattutto: non usate sempre la stessa password per servizi diversi! Piuttosto, se proprio non ne fate a meno di utilizzare sempre la stessa password, integrate nel vostro sistema di generazione password un richiamo non banale al servizio.

Password manager online: fail

Hai millemila password e non te le ricordi, le metti tutte in un bel servizio online di gestione password, così ricordandoti un’unica password puoi accedere a tutte quelle che hai salvato. E come te, anche potenziali furfanti: aperto un account, aperti tutti. Evitare i password manager. E poi usare quotidianamente la funzione “memoria” e “generazione” del vostro cervello vi mantiene svegli e giovani 😉

’nuff said

 

P.S.: l’immagine dell’articolo è ovviamente tratta dall’immortale Frankenstein Junior.

  • Benjamin Sisko

    Ho installato ownCloud…. è una figata !!! desktop client alla DropBox… ma in compenso i dati restano miei… contatti e calendario in protocollo caldav e cardav, ergo supportati nativamente da Osx e iOs, e con un paio di client free sotto android… e volendo c’è anche il client (a pagamento a meno di 1 euro) sia per iOs che Android.
    Quasi quasi me ne faccio uno anche a casa usando una raspberry e un dynamic dns….

    • jeby

      sì è una figata 🙂 poi se completi con BTSync la cosa diventa ancora più interessante, soprattutto per il backup delle foto, grandioso.
      Se posso dare un consiglio, meglio il Banana Pi che ha un processore un po’ più veloce, la connessione SATA e la porta ethernet 1000, le prestazioni dovrebbero migliorare notevolmente se le prestazioni dell’ADSL in upload lo consentono…

      • Benjamin Sisko

        per quanto riguarda la sincronizzazione dei calendari e contatti con Microsoft Outlook (dal 2007 in poi) sei mai riuscito a trovare una soluzione per fargli supportare cardav e caldav ? oppure sai se c’è qualche app (possibilmente free) da installargli sopra per dargli il supporto nativo ?

        • jeby

          purtroppo non so aiutarti, uso outlook solo in ufficio e per ovvi motivi non ci ho collegato i miei calendari/contatti personali. Di sicuro esistono dei plugin per cardav e caldav su Outlook, ma non credo gratuiti.