Le password, nel numero di OUCH! di maggio 2013

Le password sono uno dei modi utilizzati per provare la nostra identità quando accediamo a servizi come
email ed e-banking, quando facciamo acquisti online o utilizziamo dispositivi come il laptop o lo smartphone. Possiamo considerare le password come le chiavi del nostro regno: sono talmente importanti che se qualcuno si impadronisse anche solo di una di esse potrebbe rubare la nostra identità, trasferire il nostro denaro o accedere alle nostre informazioni personali
Le password forti sono fondamentali per proteggere identità e informazioni: nel numero di OUCH! di questo mese impareremo cosa rende forti le password e come utilizzarle in modo sicuro.

Come sempre, vi esortiamo a scaricare e condividere OUCH! con i vostri amici e colleghi.

Potete trovare la versione italiana di OUCH! all'indirizzo http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201305_it.pdf

OUCH! è disponibile in varie lingue: trovate gli ultimi numeri su http://www.securingthehuman.org/resources/newsletters/ouch/2013

Buona lettura!

Apps con falle di sicurezza per iPad, iPhone e Android

Il Wall Street Journal riporta un'analisi della società viaForensics che ha analizzato le apps per accedere ai servizi di E-banking di alcune tra le maggiori banche americane, individuando alcune falle di sicurezza presenti nelle applicazioni di E-banking che potrebbero permettere a un malware di ottenere dati sensibili come i dati di autenticazione o informazioni finanziarie.

Il problema viene creato dalla modalità in cui le apps memorizzano le informazioni dell'utente nella memoria del telefono: nell'applicazione di Wells Fargo, ad esempio, l'utente e la password vengono memorizzate sul telefono semplicemente come testo. L'applicazione salva inoltre altre informazioni sensibili riguardanti i dettagli della situazione bancaria del cliente.

Anche altre applicazioni salvano informazioni di dettaglio dei clienti in formato testo, mentre altre conservano in una cache le pagine di E-banking che ha visitato il cliente, incluse quelle con le informazioni sullo stato del suo conto corrente.

Il trend di sviluppo delle apps per accedere ai servizi di E-banking dai telefoni cellulari è decisamente in aumento e questa analisi ha mostrato come ci siano ancora delle evidenti falle nel processo di sviluppo di questi programmi, che spesso devono essere sviluppati e lanciati sul mercato al più presto possibile per attirare l'interesse di clienti vecchi o nuovi, senza però considerarne la sicurezza, fattore questo che potrebbe avere l'effetto contrario da quello desiderato dai dipartimenti marketing delle banche.

SafePlace: l'ambiente protetto da cui accedere all'e-Banking

Eccolo qui, il frutto dei nostri ultimi sforzi: SafePlace che, come dice il titolo, è un ambiente protetto a cui accedere ai servizi di e-Banking.
Stanchi di essere potenziali prede di trojan horse, worm, man-in-the-middle, associazioni a delinquere di cracker, abbiamo sviluppato una soluzione semplice e meno vulnerabile del sistema Windows su cui lavoriamo abitualmente.

Come funziona:
- la banca che eroga il servizio di e-Banking permette ai suoi clienti di scaricare l'applicazione dal suo sito, oppure regala una chiave USB con l'applicazione già installata;
- l'utente, se scarica l'applicazione dal sito della banca, la installa sul PC. SafePlace si configura automaticamente e richiede un intervento minimo all'utente;
- una volta installato, il cliente lancia SafePlace e si collega al suo e-Banking automaticamente. N.B.: l'unico collegamento possibile è verso il sito o i domini dell'e-Banking. Nessun altro tipo di collegamento è consentito.

Trattandosi di una macchina virtuale, i cui tempi di partenza sono normalmente più lunghi di quelli di un'applicazione, abbiamo sviluppato una tecnologia che ci permettesse di lanciarla in meno di 10 secondi, rendendola così più gradevole per l'utente.

Volete vedere come funziona?



E questa è una breve presentazione:





Avvertenza: ogni soluzione di sicurezza, e quindi anche SafePlace, può essere "più sicura", non "sicura" nella totalità. Non è possibile eliminare il rischio, ma solo mitigarlo.

Maggiori informazioni qui.