Come scegliere una password sicura
Qualche settimana fa un evento ha scosso il Web: migliaia di foto di note donne dello spettacolo americane sono state rubate e messe in circolazione da una mano anonima; non se ne sarebbe parlato più di tanto se non fosse per il fatto che 1) erano foto molto intime e 2) l’evento, proprio per la natura delle immagini, è stato battezzato come “The Fappening” per richiamare idealmente il gesto della masturbazione – dal nuovo verbo anglosassone “to fap”.
In realtà, se per qualcuno particolarmente incline al voyeurismo l’evento è stato motivo di svago, non altrettanto può dirsi per le vere vittime dell’accaduto, ossia le protagoniste delle fotografie e i rispettivi partner.
L’aspetto comune a tutte le foto rubate è che esse erano salvate in iCloud, il servizio di cloud storage fornito da Apple ai clienti che usano iPhone/iPad/iPod o un Mac: tramite esso, i contenuti di un dispositivo vengono sincronizzati con altri dispositivi Apple dello stesso proprietario, così se una fotografia è scattata con l’iPhone, immediatamente dopo la si può ritrovare sul Mac o sull’iPad associato allo stesso account.
Naturalmente la stessa Apple è stata additata come responsabile principale per una presunta falla di sicurezza in iCloud ma l’azienda californiana ha subito respinto al mittente le accuse, affermando che iCloud è un sistema sicuro e che la colpa è proprio delle note utenti colpite poiché avrebbero utilizzato “password troppo deboli”. L’ufficio stampa di Apple, anche se l’obiettivo principale era quello di tutelare la reputazione del proprio servizio, tuttavia ha detto una sacrosanta verità: le clienti potrebbero aver protetto i propri account con password troppo deboli e queste, insieme ad un buon lavoro di social engineering agevolato dalla notorietà delle persone, avrebbe consentito di accedere a quel materiale “scottante”.
Dunque dobbiamo chiederci: usiamo password abbastanza forti? Possiamo rispondere positivamente al quesito solo se la password che usiamo per i vari account online (es. quello di Facebook, di Google+, di Twitter, della posta elettronica, ecc…) osserva tutte le regole che nel corso degli anni si sono rivelate le più efficaci per la tutela della nostra libertà online. Le regole sono le seguenti:
- lunghezza della password compresa fra 8 e 16 caratteri (meglio se si opta per la seconda soluzione);
- alternanza casuale di lettere maiuscole e minuscole;
- presenza di almeno un numero;
- presenza di almeno un simbolo speciale (es.: #, |, [, ecc.);
- sequenza di caratteri alfanumerica casuale e senza alcun significato di senso compiuto.
L’errore più comune è quello di prestare poca attenzione alla “cura della password”, optando per l’uso di parole che possano essere ricordate semplicemente: il nome del proprio coniuge, la data del matrimonio, il nome del cane o del gatto, la targa della propria auto e roba del genere rappresentano potenzialmente una porta spalancata sul vostro “io-digitale”. In sostanza, è come dire al nuovo vicino di casa che lasciate le chiavi nascoste sotto lo zerbino. Non va bene e va ancora peggio quando, in un mondo in cui ormai tutto è connesso via Wi-Fi, installiamo il modem/router ADSL prendendolo dalla scatola, collegandolo e accendendolo senza preoccuparsi di cambiare la password del pannello di amministrazione dell’apparecchio. Non so quante volte mi è capitato di andare a casa di amici e usare il mio smartphone per entrare nel pannello di controllo del loro modem per far vedere loro come è possibile entrare nel loro modem e, potenzialmente, prendere il controllo del loro intero sistema. In molti casi il modem/router all’acquisto è “aperto” (senza password a protezione del pannello di controllo) oppure “chiuso” con una password preimpostata in fabbrica: nel secondo caso il manuale d’installazione (questo sconosciuto!) informa della necessità di cambiare la password preimpostata proprio per garantire maggiore sicurezza al proprio sistema ma quasi sempre l’utente inesperto (o poco attento) si limita alle sole operazioni per poter utilizzare la nuova rete senza fili. Giusto per informazione: esiste un sito web con l’elenco di tutte le password preimpostate secondo produttore e modello di modem/router, quindi siete avvisati! Anche in questo caso, le regole per una buona password sono quelle spiegate in precedenza: la password pippo non potrà mai essere forte come la password [email protected]. Verificate usando queste due password nel sito web https://howsecureismypassword.net/ e scoprirete il tempo che ciascuna richiederà per essere violata.
Posto che il nostro ordinamento prevede una fattispecie di reato all’art. 615 ter c.p. – “Accesso abusivo a sistema informatico” – ciò non dovrebbe essere preso come scusa per usare password deboli, pensando che “tanto poi faccio una denuncia e sto tranquillo”. La denuncia alla Polizia Postale e delle Comunicazioni va senza dubbio fatta ma già allora i nostri documenti privati potrebbero essere in qualsiasi parte del mondo e alla mercé di potenziali malintenzionati. Tanti anni fa una campagna pubblicitaria per un dentifricio strillava “meglio prevenire che curare” e quello slogan è valido ancora oggi, anche in campo informatico. Le foto che le attrici USA avevano in iCloud erano salvate senza alcuna forma di cifratura e, anzi, molte di esse, dopo aver scattato quelle fotografie con il proprio iPhone forse nemmeno sapevano che il telefonino provvedesse a copiare automaticamente quelle foto nei server del servizio iCloud, credendo, piuttosto, che quelle immagini intime restassero esclusivamente confinate nei loro cellulari. Come si è visto, così non è stato e questo dovrebbe spingerci ad usare un po’ di più il cervello se usiamo uno smartphone o un tablet. Siamo quasi alla fine del 2014 e pressoché tutti i nostri dispositivi mobili possiedono un’applicazione che carica silenziosamente le nostre foto sui server del social network che preferiamo, così da poterne agevolare la condivisione con gli amici: la prima è stata l’applicazione di Google+ (Google Photo), poi Facebook ha copiato la funzione e a ruota tutte le applicazioni Android e iOS collegate a servizi come DropBox e Microsoft OneDrive, consentono di caricare su server remoti le fotografie scattate con il cellulare o con il tablet già pochi minuti dopo la realizzazione. Sebbene sia una funzione davvero comoda, se ciò che vi interessa maggiormente è la tutela della vostra privacy, allora le strade sono due: o disabilitare del tutto queste funzioni oppure caricare le fotografie (o altri documenti) su tali servizi solo dopo aver usato un’applicazione per la cifratura (usando una password “forte” come spiegato prima).
Da un punto di vista strettamente giuridico la questione è controversa: se l’evento accadesse in Italia, il soggetto legittimato ad azionare l’art. 615 ter c.p. per accesso abusivo dovrebbe essere il gestore del servizio cloud, mentre al cliente resterebbe solo una debole azione civile per responsabilità contrattuale nei confronti del gestore del servizio, il quale, naturalmente, scaricherebbe tutte le responsabilità sull’ignoto autore del furto per “pararsi la schiena”; contro costui, inoltre, una volta individuato ed eventualmente rinviato a giudizio, resterebbe comunque la possibilità di costituirsi parte civile e ottenere un risarcimento danni derivante dalla condanna.
Un consiglio: il fatto che il telefono sia diventato “intelligente” (appunto, smartphone), non implica che l’utente debba necessariamente inebetirsi durante l’uso. Oggi più che mai la privacy va tutelata più online che offline perché ormai tutta la nostra vita passa per Internet, in un modo o nell’altro.
Avv. Matteo Luigi Riso
diritto civile e amministrativo; diritto dell’informatica,
di Internet, delle nuove tecnologie e delle comunicazioni
www.matteoriso.it
[email protected]
