Categorie
tecnologia

Credenziali e sistemi informatici: come gestirli.

Riempimento automatico.

Un’interessante novità di Oreo per chi, come me, ha un telefono Android – nello specifico un Note 8, aggiornato proprio in questi giorni – è la possibilità di definire, a livello di sistema, un gestore di credenziali, con il quale appunto il sistema operativo provvederà a riempire automaticamente i campi nome utente e password quando richiesti.

Cosa significa tutto questo?

Voglio spiegartelo in modo semplice, perché ognuno di noi, in un modo sempre più digitale, deve essere in grado di gestire al meglio le proprie credenziali.

Cosa sono innanzitutto le credenziali?

Sono, di solito, una coppia di valori, consistente in un nome utente, con il quale si dichiara chi si è, e una password, con la quale lo si dimostra. Tramite le proprie credenziali si ottiene l’accesso ad un sistema informatico, laddove per «sistema informatico» si devono intendere molte cose anche abbastanza diverse tra loro, dal proprio computer locale o cellulare o tablet a un servizio di streaming come Netflix o un social come facebook o un servizio di home banking.

Ora, la grande notizia.

Mai, mai, mai usare le stesse credenziali.

Le credenziali devono essere diverse per ogni sistema informatico cui si accede.

Non ci credi?

Te lo ripeto: le credenziali devono essere diverse per ogni account.

Non si può fare che si mette in ogni account la stessa password, ad esempio il nome di un figlio «Marco» o del gatto «Pucci».

Questo è sicuramente quello che la gente fa tutti i giorni tranquillamente, ma è una cosa da non fare assolutamente.

Perché non va mai fatta una cosa del genere?

Perché succede questo che adesso ti spiego.

Tu ti iscrivi ad un sito del menga di appassionati di, che ne so, tiro con l’arco. Il sito è realizzato da babbei, come il 90% dei siti che ci sono in giro sulla rete internet. Un cracker (il termine hacker, usato dai giornalisti italiani, che sono spesso degli idioti, non è corretto) riesce ad entrare nel tuo sitarello del menga e a ottenere le tue credenziali.

Bene. Ora, se tu hai messo le stesse, identiche credenziali nel sitarello sul tiro con l’arco e nel tuo home banking, cosa credi che succeda dopo?
Queste cose succedono ogni giorno, eppure ogni giorno le persone usano le stesse credenziali per dozzine di siti diversi, vantandosi pure di avere trovato una «soluzione semplice» al problema delle credenziali: «tanto metto sempre le stesse!».

Ormai deve esserti chiaro che questa non è una soluzione, ma tutto al contrario una vera e propria disgrazia.

Da questo discende che devi rassegnarti ad avere centinaia di credenziali diverse, ognuna di esse con una password non solo difficile, ma impossibile da ricordare a memoria.

Un gestore di credenziali è necessario.

Da ciò consegue la innegabile necessità di disporre di un gestore di credenziali.

Io personalmente uso Enpass, sia sul Mac che su Android, ma ce ne sono molti altri, anche validi.

Ovviamente un gestore di credenziali è utile se si integra col sistema, cioè se, ogni volta che nel sistema, o nel browser, tipicamente, ma anche in un’app, si apre una finestra che richiede credenziali di accesso, deve aprirsi un’altra finestra del gestore di credenziali che a) riconosce il sistema informatico cui si sta tentando di accedere; b) precompila automaticamente i due campi dello user name e password; cosicché all’utente poi non resta che premere «Accedi».

La novità di Oreo è appunto che i gestori di credenziali sono finalmente integrati nel sistema, per cui ora dovrebbero automaticamente accadere le cose descritte sotto a) e b).

Di seguito ti mostro come appare la relativa impostazione nel mio Note 8, dove ho la scelta tra Samsung Pass, di default sui telefoni Samsung, e Enpass, che è il mio gestore preferito e che ho quindi impostato di default.

Ormai dire che la sicurezza informatica è molto importante non è più sufficiente.

In realtà la sicurezza è indispensabile: se non si è disposti a prestare attenzione e tempo a questi aspetti è meglio utilizzare i vecchi sistemi cartacei ed analogici – ci sono troppi pericoli concreti, seri, reali.

Per i terminali Android un valido passo in avanti.

Categorie
diritto

cosa fare quando si subisce una truffa su ebay?

Lunedì 8 luglio alle 18:34 ho vinto un asta su ebay. Dopo tutte le varie mail di notifica e comunicazione coordinate bancarie, procedo col bonifico e comunico sia ad ebay, che al”truffatore”, che ho provveduto al pagamento tramite bonifico bancario. La mattina successiva, alle ore 03:43 (quasi 9 ore dopo), mi è arrivata una email da ebay avvertendomi che è stata bloccata l’offerta e di non proseguire col pagamento. Direi che è un po’ tardi per avvertire un utente, visto che un bonifico allo scattare della mezzanotte non è più possibile revocarlo! Sicuramente hanno bloccato la vendita perchè si sono accorti in ritardo che per certo l’account era clonato (aveva il 100% di feedback positivo, 101 traslazioni perfette…). Mi ha consigliato di contattarvi il signor Terrazzano di ebayabuse,visto che la cifra che mi han fregato è 3.772,36€! E sono un operaio…2 anni di risparmi… Vi volevo chiedere, prima di andare da un giudice di pace, vale la pena andare contro ebay alla luce di questi fatti?

Sono anni, probabilmente più di un decennio, che dico per fare acquisti su internet, specialmente su siti di aste on line, è assolutamente necessario munirsi di una assicurazione di tutela giudiziaria, ma tu sicuramente non ce l’avrai, perché nel nostro Paese è ancora poco diffusa, non si usa e uno come me, per giunta avvocato (e quindi visto con sfiducia perché, si sa, gli avvocati vogliono solo fregarti), che ne parla purtroppo sempre in solitudine o quasi non può cambiare le cose.

Chiudendo la parentesi, vediamo che cosa si può dire circa il da farsi in una situazione come questa, che purtroppo è tutt’altro che infrequente.

La cosa da chiarire è, per legge, che il primo, vero responsabile dell’illecito è solo il venditore, mentre ebay è solo una piattaforma fornitrice di servizio. Per poter stabilire, giuridicamente, la responsabilità di ebay ce ne corre purtroppo un bel po’.

La cosa è, poi, ancora più aggravata dal fatto che, se anche ci fossero buone basi per sostenere la responsabilità di ebay, comunque il circuito di ebay è gestito da una società, avente sede in Lussemburgo, alla quale è molto difficile mettere il sale sulla coda. Figurati che non rispondono nemmeno alle raccomandate, ignorandole completamente.

Per questi motivi, le possibilità di recuperare i tuoi soldi sono onestamente molto scarse. Se, nonostante tutto, vuoi tentare qualcosa, puoi fare la classica denuncia querela per truffa, che puoi fare sia con l’assistenza di un avvocato (cosa sempre preferibile, ma che naturalmente comporta una spesa), sia in proprio (in questo caso rischi di commettere qualche errore, ma non spendi niente e visto che si tratta più che altro di un tentativo forse ci può stare).

La strada che percorrerà la denuncia che eventualmente farai dipenderà molto dal funzionario di polizia giudiziaria al quale finirà in mano, se ha voglia di lavorarci sopra può darsi che qualche indagine venga fatta, viceversa in caso contrario. Non c’è bisogno di dire che la maggior parte dorme nei cassetti, ma nell’ottica del «tentativo» si può provare.

Ovviamente, in teoria, potresti fare anche tu le indagini tramite un avvocato, sono le famose «indagini difensive», ed eventualmente un perito informatico in collaborazione con il tuo avvocato, per vedere se dall’analisi dei messaggi, degli indirizzi IP e di tutte le altre tracce informatiche sia possibile risalire in qualche modo al responsabile, ma si tratta di attività molto costose, per cui torniamo al discorso iniziale: in mancanza di una tutela giudiziaria, che le avrebbe pagate al posto tuo, ti toccherà rinunciare.

Un profilo rilevante può essere quello che tu chiami di clonazione dell’account, ma che in realtà è un fenomeno diverso. Praticamente, se ho capito bene, un terzo malintenzionato, quello che poi ti ha truffato, ha carpito, tramite pratiche di phishing, craccando un sistema informatico o in altro modo, le credenziali genuine del soggetto titolare dell’account. Quindi l’account non è stato clonato, nel senso che non ne è stato creato un altro, è stato semplicemente violato, o appunto craccato, ed utilizzato da un delinquente che ha inserito aste proprie, indicando un proprio conto corrente come destinazione del bonifico, senza che il titolare dell’account se ne accorgesse fino ad un certo punto.

Ti dico tutto questo perché, a certe condizioni, si potrebbe profilare una responsabilità del titolare dell’account, dal momento che ognuno di noi ha il dovere (è un principio espresso dal diritto italiano, ma che trova corrispondenza nelle leggi di tanti altri paesi) di dotare i propri sistemi informatici di tutte le misure di sicurezza atte ad impedire che terzi possano impadronirsi dei dati conservati al loro interno, in particolar modo le credenziali degli account. La mancata adozione di queste misure potrebbe portare a responsabilità. Si tratta ovviamente di un discorso da valutare approfonditamente e bene, cosa per fare la quale sarebbero necessari accertamenti tecnici e raccolte di informazioni che ricadono in quanto esposto sopra: richiedono tempo e denaro.

In conclusione, purtroppo, non ho una soluzione per il tuo caso. Puoi provare a presentare la denuncia. A tutti gli altri che leggeranno questo articolo raccomando di nuovo esplicitamente di non muoversi da sprovveduti su internet, specialmente per somme di un certo tipo e su siti di aste, non state mica acquistando su Amazon. Munitevi di una assicurazione adeguata e spendete solo se siete sicuri dell’affidabilità del venditore.