Una settimana ricca di notizie: riutilizzare le password è una buona idea?

Le notizie di questa settimana: riutilizzo di password, Google e il Project Zero, Apple e la crittografia, e moltre altre patch e soluzioni per vulnerabilità.

Eresia!

Datemi dello scettico, ma io non sono convinto: un gruppo di ricercatori della Microsoft e della Carleton University, Canada, ha pubblicato uno studio dove si afferma che il riutilizzo della password non è un peccato mortale, ma piuttosto una strategia necessaria per gestire un grande numero di account. A prima vista, le loro affermazioni contraddicono le opinioni della maggior parte della gente comune. In realtà, i ricercatori si riferiscono a un “sistema stratificato” di password, in base al quale, gli utenti utilizzerebbero le stesse password, usando quelle più forti per gli account più importanti, e quelle più deboli per gli account meno importanti.

Notizie della settimana 18/07/2014

Non c’è dubbio che avere una password per ogni account è la scelta migliore, nonostante sia fastidioso e scocciante.

Esistono però degli strumenti che aiutano a gestire le password, ma secondo i ricercatori nemmeno questi sarebbero perfetti. La ragione che li spinge a crederlo, come potete immaginare, è essenzialmente che tali strumenti offrono un solo punto di accesso che potrebbe dare a un hacker l’accesso completo a tutte le credenziali di un utente.

Vi starei mentendo se vi dicessi che uso una password diversa per ogni account online. Cionostante, vi raccomando di adottare una password forte e unica per ogni account associato con informazioni sensibili o bancarie. Per quanto riguarda i tool di gestione, secondo me offrono una protezione di gran lunga migliore di quella che noi possiamo offrire a noi stessi.

Per quanto riguarda i tool di gestione delle password, secondo me offrono una protezione di gran lunga migliore di quella che noi possiamo offrire a noi stessi.

Google: Project Zero

Google sta componendo un gruppo di hacker di alto profilo con l’obittivo di sradicare le vulnerabilità presenti in alcuni software terzi e in altri elementi di Internet che interesserebbero i loro clienti e di conseguenza gli interessi di Google. Quando il team avrà individuato i bug, Google comunicherà la notizia ai principali vendor, aiutandoli a risorvere i problemi. L’iniziativa si chiama Project Zero.

“Il progetto non ha confini; lavoreremo per migliorare la sicurezza di tutti i software maggiormente usati dagli utenti, facendo attenzione alle tecniche, ai target e alle ragioni degli hacker”, afferma Chris Evanas, security engineer di Chrome e capo del Project Zero. “Useremo approcci standard come quelli che prevedono la localizzare e il reporting di un gran numero di vulnerabilità. Inoltre, realizzeremo nuove ricerche nel campo della riduzione, sfruttamento e analisi dei programmi, e qualsiasi altro aspetto su cui i nostri ricercatori decideranno di investire”.

Apple e la crittografia

Questa settimana, Apple ha deciso di implementare forti misure crittografiche a tutte le email in uscita e in entrata dai loro server sui domini iCloud.com, Mac.com e Me.com. Questa nuova misura verrà a rappresentare una seria barriera per gli hacker, contribuendo a bloccare i tentativi di spionaggio.

Come sottolinea, Dennis Fisher, redattore di Threatpost, non si tratta di una funzionalità di poco conto:

La decisione di Apple di abbracciare la crittografia TLS per i suoi dominiè un grande cambiamento, soprattutto perché l’implementazione è stata eseguita a livello del server; in questo modo l’utente non dovrà fare assolutamente nulla per migliorare la propria sicurezza. La crittografia delle mail è un processo notoriamente doloroso ed è efficace solo a livello individuale. Poter usufruire di un’implementazione di crittografia realizzato direttamente da Apple, fa la differenza nella lotta contro gli hacker più pericolosi. La crittografia delle mail è una buona misura di difesa contro certe forme di attacco e di sorveglianza mirata, ma per i grandi fornitori di servizi di posta elettronica, come Yahoo, Google o Apple, nelle loro comunicazioni con altri operatori, significherà aiutare a proteggere un gran numero di utenti”.

Patch e soluzioni

Parlando di strumenti di password management, LastPass, un tool browser-based molto popolare per la gestione delle password, ha riparato alcune vulnerabilità che interessavano il suo software. Un hacker pare avesse sfruttato i bug per generare una password usa e getta e accedere così all’account della vittima.

Google sta cambiando gli avvisi che gli utenti visualizzeranno in caso di malware e phishing. Al posto di un avviso bianco su sfondo rosso, l’intera pagina sarà rossa con una grande X nella parte alta del display. Sia l’allerta phishing che malware, avvisa gli utenti che il sito che si sta per visitare potrebbe cercare di scaricare un programma dannoso sul computer e spingere questi a comunicare informazioni personali.

Cisca ha “patchato” una vulnerabilità che aveva interessato il suo prodotto gateway wireless mentre Google ha rilasciato un aggiornamento per il Chrome di Android, risolvendo un problema di spoofing di URL.

Consigli