Un decalogo utile per gli utenti finali dei social network e per le aziende che devono proteggere le proprie reti. Ce lo suggerisce Taher Elgamal, uno dei massimi esperti mondiali di information security.
Taher Elgamal è uno dei creatori dei protocolli SSL e DSS; è uno dei massimi esperti mondiali di information security, oltre che Chief Security Officer di Axway.
Ci offre un’interessante chiave di lettura, praticamente un decalogo, del tema della protezione delle identità nel social networking. Sono misure pratiche, che tanto gli utenti finali quanto le organizzazioni possono adottare.
A seguito del crescente peso che il mondo digitale ha acquisito in tutte le nostre attività, sia professionali che ricreative, o comunque personali, infatti, il rischio di violazione dell’identità è ormai divenuto parte integrante della vita moderna, un fattore che nessuno può cancellare del tutto (se non rinunciando alla connessione), ma che tutti noi dobbiamo attentamente e costantemente monitorare.
Partiamo dai consumatori.
1. Creare password univoche e composite.
La prassi ottimale consiste nel creare password composte da una sequenza casuale di numeri, lettere e simboli e non utilizzare mai la stessa password per più siti.
2. Utilizzare un’applicazione password-locker per dispositivi mobili.
Consente di generare automaticamente password univoche composte da venti o trenta caratteri, piene di sequenze di numeri, lettere e simboli impossibili da memorizzare; l’applicazione stessa può essere protetta tramite il codice PIN del dispositivo mobile per disporre di due livelli di protezione.
3. Cambiare frequentemente le password.
In tal modo si evita che eventuali utenti non autorizzati riusciti riescano ad ottenere le password degli utenti (ad esempio tramite phishing su siti di social networking) e possano continuare a utilizzarle a lungo.
4. Accedere spesso ai propri account.
Accedere con regolarità a tutti i siti di social networking a cui si è iscritti e verificare che non vi siano tracce di attività non effettuate dall’utente stesso come e-mail inviate a propria insaputa, aggiornamenti dello stato non richiesti o altre attività non effettuate dal titolare dell’account.
5. Utilizzare servizi di tracciatura di identità.
I servizi di tracking dell’identità, come Reputation.com e LifeLock.com, possono avvisare l’utente nel momento esatto in cui si verifica una violazione dell’identità, minimizzando così l’impatto della violazione.
6. Non fare mai clic sui link contenuti in e-mail o messaggi.
Se è assolutamente necessario aprire un link, non digitare mai il proprio nome utente e la password sulla pagina di destinazione, anche se non si nota alcuna differenza rispetto al sito di social networking ufficiale.
Per le aziende, invece, le precauzioni consistono in:
1. Offrire agli utenti una forma di autenticazione a due fattori.
Le procedure di login che prevedono l’invio di un SMS al numero di telefono cellulare registrato dell’utente aumentano notevolmente la sicurezza del titolare dell’account.
2. Proteggere le credenziali dei dipendenti.
È probabile che i dipendenti utilizzino le password dei loro social network preferiti quando accedono a una VPN. Se un hacker dovesse violare la password di un dipendente e a risalire all’azienda per cui lavora, per quella porta potrebbe riuscire ad accedere alla rete aziendale.
3. Promuovere una soluzione Single Sign-On.
Esistono prodotti che consentono di memorizzare le password in forma crittografata e avvisare automaticamente i dipendenti per evitare che le password aziendali vengano utilizzate per siti di social networking e comunque estranei all’attività lavorativa.
Le aziende dovrebbero avvalersi di tutte le funzionalità offerte da questi prodotti per evitare ancora una volta che banali disattenzioni si trasformino in porte aperte ad accessi non autorizzati ai sistemi informativi dell’organizzazione stessa.
- Il nuovo volto dell’attacker
- Le insidie dei QR code
- Il nodo della sicurezza delle operazioni IT
- La tecnologia batte i cybercriminali, costretti a cambiare tattica
- Come prepararsi alle nuove regole UE in materia di protezione dei dati
- Cloud sicuri, ecco le linee-guida
- Tutelare la privacy dei clienti in sei mosse