Come Aumentare la Sicurezza del Telefono Cellulare

Importanza della Sicurezza del Telefono Cellulare

Quanto è importante l’aspetto della sicurezza del telefono cellulare e in generale dei dispositivi di mobile health (m-health)? E quanto sforzo dobbiamo dedicare per metterli in sicurezza? Ottime domande con risposte tutt’altro che semplici…

Talvolta, infatti, non ci si sofferma abbastanza a pensare che uno smartphone non è solo un telefono portatile molto sofisticato. È molto molto di più. È uno strumento digitale multifunzionale complesso che viene anche usato come:

• portafoglio elettronico, con carte di credito, biglietti e documenti
• macchina fotografica/videocamera, per immortalare i nostri ricordi più personali
• navigatore, che ricorda le nostre ultime destinazioni
• strumento di allarme, in base alle nostre abitudini
• calendario, che memorizza i nostri eventi pubblici e privati
• elenco dei contatti, personali e/o di lavoro
• block notes per fissare appunti e ricordi
• archivio della posta elettronica, personale e/o di lavoro
• elenco dei dati sanitari per le emergenze
• cartella clinica elettronica
• registratore audio delle nostre conversazioni

Inoltre, contiene tutte le nostre password dei siti web che visitiamo abitualmente se si usa un password manager, come Smart Lock di Google su Android.

I password managers sono app di terze parti (es. LastPass, 1Password, ecc.) o funzionalità native dello smartphone altamente consigliate per aiutare a generare password a caso, molto difficili da “craccare”, e poi memorizzarle in forma criptata per essere usate automaticamente dal sistema.

Allora è tutto qui? Il consiglio potrebbe quindi essere di usare i password managers per generare password a caso che siano impossibili da indovinare?

Se fosse così, allora l’articolo sarebbe praticamente concluso.

Hummm, beh, le cose non sono mai così semplici!

Abbattiamo dunque qualche mito in questo articolo…

Indice

• Importanza della Protezione dello Smartphone con Password
• Approccio “Olistico” alla Sicurezza dello Smartphone
• La Sicurezza del Telefono Cellulare Parte dalla Password
• GrayKey per Craccare uno Smartphone in Poche Ore
• Come Alzare le Difese e Contrattaccare
• Grazie al NIST Abbattiamo dei Miti!
• Pass-word, Pass-Code o Pass-phrase

Importanza della Protezione dello Smartphone con Password

Inutile dire che non ha senso parlare di sicurezza dello smartphone se il dispositivo non ha impostata una password o “codice” (passcode) di sblocco schermo.

Gli smartphone più recenti inoltre supportano delle tecnologie di autenticazione biometrica che usano le impronte digitali o la struttura del volto di una persona per sbloccare il dispositivo (le più note sono Touch ID e Face ID dell’iPhone di Apple).

Tuttavia anche in questi casi è richiesta la configurazione di una password o “codice” per lo sblocco del dispositivo e per la protezione dei dati.

Perciò è essenziale che la password o codice di sblocco dello smartphone sia in grado di resistere a tutti i tentativi di “craccarla” (ossia indovinarla) da parte di un pirata informatico che mira a violare l’intero sistema.

Facile a dirsi, molto più difficile a farsi, come vedremo dopo.

Approccio “Olistico” alla Sicurezza dello Smartphone

Gli americani usano spesso il termine holistic (anche abusandone a volte) per rifersi a un tipo di approccio che considera tutte le parti di un problema e le affronta e risolve in modo globale e completo.

Anche questo è più semplice a dirsi che a farsi.

Per gli smartphone sono emblematici i casi di star e celebrity a cui sono state rubate fotografie compromettenti conservate sui loro iPhone.

Invece di passare per la porta principale e cercare di avere accesso diretto al loro smartphone, gli hacker sono passati da una porta secondaria che hanno trovato sguarnita. In pratica hanno ottenuto l’accesso ai file di backup online, che contenevano una copia di tutti i dati presenti sugli smartphone, e hanno scoperto le password (talvolta molto deboli) di alcune persone famose usando una tecnica nota come social engineering in inglese.

In poche parole, usando dati trovati su Internet e/o usando tecniche di manipolazione psicologica (ad esempio via email, con la tecnica nota come phishing in inglese), sono riusciti a raccogliere abbastanza informazioni per indovinare le password usate per criptare i backup. A quel punto è stato facile per loro estrarre le foto.

Password come la propria data di nascita alla rovescia o il nome della città di provenienza usate per i propri account email e poi “riciclati” per la sicurezza del proprio smartphone non sono difficili da scoprire per un hacker… ormai infatti sul web e sui social media si trovano un sacco di informazioni sui personaggi pubblici!

È questo un problema di robustezza delle funzionalità di privacy e crittografia di uno smartphone? Certamente NO.

È un problema di vulnerabilità su più fronti di un sistema complesso che ha molti punti di attacco, non ultimo quello umano.

L’approccio corretto è che questi molteplici fronti vanno messi tutti in sicurezza!

Bene vediamo cosa si può fare a riguardo…

La Sicurezza del Telefono Cellulare Parte dalla Password

Il discorso della sicurezza dello smartphone è molto complesso e non può essere trattato nella sua completezza in un singolo articolo. E neanche in due… (Esistono infatti intere guide a cui rimanderemo i lettori più interessati).

Il punto di partenza essenziale comunque è sempre una adeguata disciplina nella scelta e configurazione delle password che usiamo tutti i giorni.

A riguardo possiamo fornire utili spunti pratici basati sulle più recenti linee guida rilasciate dall’agenzia americana chiamata National Institute of Standards and Technology (NIST), ossia l’ente che fornisce le indicazioni su principi e metodi di sicurezza da usare dal governo americano e non solo.

Sono linee guida da applicare a tutti quei casi in cui non si può o non si vuole semplicemente generare una password a caso, ad esempio perché è necessario che sia digitata da un essere umano che deve poterla ricordare facilmente. (In effetti password come, ad esempio, wqY-5Ek-XMP-Gzq non sono per nulla facili da memorizzare…).

Un caso molto importante è quello della password/passcode di sblocco di uno smartphone, che deve poter essere digitata quotidianamente con facilità per risultare conveniente all’utente.

Per analizzare questo caso, per motivi di robustezza, prenderemo come riferimento l’iPhone di Apple i cui ultimi modelli possiedono un chip hardware dedicato alla sicurezza (chiamato Secure Enclave) che ha impedito all’FBI di accedere a tutti i modelli di iPhone successivi al 5/5C.

Nota: Alcuni dei lettori forse ricorderanno che dopo la sparatoria a San Bernardino in California l’FBI ha assunto un hacker specializzato nel forzare la sicurezza degli iPhone per poter accedere ai dati dell’assassino morto, che possedeva per l’appunto un iPhone 5C.

A quei tempi, con iOS versione 9, il PIN (ossia codice numerico) a 4 cifre dell’iPhone poteva essere craccato in circa 26 minuti, ma solo utilizzando la sofisticata tecnica dell’hacker, che evitava le varie protezioni del software di iOS (come autodistruzione dei dati dopo 10 tentativi oppure aggiunta di ritardi forzati tra un tentativo di accesso e il successivo).

Apple infatti normalmente aggiunge un ritardo forzato quando si cerca di sbloccare senza successo l’iPhone troppe volte seguendo questo schema:

Ritardi aggiunti in una sequenza di tentativi di inserimento del codice

• Tentativi 1-4
  • Nessun ritardo forzato
• Tentativo 5
  • 1 minuto di ritardo forzato
• Tentativo 6
  • 5 minuti di ritardo forzato
• Tentativi 7-8
  • 15 minuti di ritardo forzato
• Tentativo 9
  • 1 ora di ritardo forzato

Nel 2015 inoltre, sempre con iOS 9, Apple passò da una lunghezza minima del codice di accesso di quattro numeri a una di sei. Per i modelli di iPhone “rinforzati” con chip di sicurezza Secure Enclave questo significava essere a prova di hacker (e di agenzia governativa).

Ma non per molto. Ben presto aziende israeliane e americane avrebbero avuto a che ridire in materia.

Facciamo quindi un salto in avanti nel tempo fino ad oggi (Aprile 2018) e quella lunghezza estesa di sei caratteri numerici è diventata tutto d’un tratto facilmente craccabile in una media stimata di sole 11 ore, evitando le protezioni sia hardware che software dell’iPhone.

GrayKey per Craccare uno Smartphone in Poche Ore

Esistono vari pretendenti al titolo di campione di “sbloccaggio” (unlocking in inglese) di un iPhone. Alcuni sono top secret e di loro si sa poco o nulla.

Verso la fine del 2017, però, ha iniziato a diffondersi la notizia che esisteva un nuovo dispositivo chiamato GrayKey (vedi figura sotto), prodotto dalla società Grayshift di Atlanta, per sbloccare l’iPhone.

Matthew Green, un professore del John Hopkins Information Security Institute esperto in crittografia ha stimato che con un dispositivo simile che evita tutte le protezioni di Apple un codice di accesso di 4 numeri è craccabile in media in 6.5 minuti e uno di 6 numeri in 11 ore.

Ha diffuso le sue stime con un tweet:

Guide to iOS estimated passcode cracking times (assumes random decimal passcode + an exploit that breaks SEP throttling):

4 digits: ~13min worst (~6.5avg)
6 digits: ~22.2hrs worst (~11.1avg)
8 digits: ~92.5days worst (~46avg)
10 digits: ~9259days worst (~4629avg)

— Matthew Green (@matthew_d_green) April 16, 2018

Il professore ha anche mostrato come per avere un livello di sicurezza minima accettabile con tempi medi di sblocaggio dello smartphone di 46 giorni si deve usare un codice numerico di almeno 8 cifre.

Ciò presuppone che il dispositivo GrayKey “sprechi” un pochettino di tempo ogni volta che cerca di scavalcare le protezioni hardware e software di Apple. Se invece ora o in futuro una sua versione migliorata diventasse ancora pìù efficiente nell’evitare le difese dello smartphone, il tempo teorico di sbloccaggio potrebbe essere ancora più breve!

Che fare dunque?

Come Alzare le Difese e Contrattaccare

È certo che Apple nei suoi futuri modelli di iPhone implementerà varie contromisure e rafforzerà ulteriormente la sicurezza dell’accesso alla sua Secure Enclave, in tal modo rendendo la vita più difficile a dispositivi come GrayKey. A quel punto solo tecniche molto sofisticate di accesso diretto all’hardware potrebbero in teoria permettere di svelare le password (tipicamente però con costi sostenibili sono da enti come agenzie governative).

Per tutti coloro che usano un modello di iPhone esistente (o anche uno smartphone non Apple…), la soluzione alle minacce offerte da questi dispositivi di nuova generazione di “craccaggio” comunque esiste già.

Apple ad esempio fornisce la possibilità di scegliere un passcode/codice numerico di lunghezza arbitraria oppure una password alfanumerica anch’essa di lunghezza arbitraria.

In iOS when you choose a passcode, the system defaults to six digits. But under “passcode options” you get a choice of a custom numeric passcode or a custom alphanumeric passcode. (Let’s not talk about the 4-digit option. ?) pic.twitter.com/3LouPSYYbz

— Matthew Green (@matthew_d_green) April 16, 2018

Matthew Green con le sue stime ci dice che in caso si volesse usare un codice di sblocco numerico si dovrebbe almeno sceglierlo di 8 o addirittura di 10 cifre per poter stare tranquilli con la tecnologia esistente.

Matthew aggiunge anche che: «Molte persone reagiscono chiedendo “perché [un codice] decimale, perché non usare un passcode alfanumerico?” Certo, provaci. Ma tieni presente che, a meno che tu non scelga la tua password molto bene, potresti non essere messo effettivamente molto meglio».

A lot of people responding to this saying “why decimal, why not use an alphanumeric passcode?” Sure, go for it. But keep in mind that unless you choose your password very well you might not be *that* much better off.

-Matthew Green

Alle affermazioni di Matthew Green corrispondono quelle di Apple nella sua dettagliatissima Guida sulla Sicurezza di iOS:

Considerazioni sul codice

Se viene inserita una password lunga che contiene solo numeri, in “Blocco schermo” compare un tastierino numerico anziché la tastiera completa. Un codice numerico lungo può essere più facile da inserire rispetto a un codice alfanumerico breve, pur fornendo un livello di sicurezza equivalente.

Inoltre Apple commenta sull’utilità delle funzioni di autenticazione biometrica come Face ID e Touch ID, sottolineando come queste tecnologie rendano meno frequente l’uso di un codice per sbloccare un iPhone e perciò rendono più pratico l’uso di codici più lunghi e quindi più sicuri.

Quanto più è sicuro il codice impostato dall’utente, tanto più diventa sicura la chiave di codifica. Touch ID e Face ID possono essere utilizzati per migliorare questa equazione consentendo all’utente di stabilire un codice molto più sicuro che altrimenti non sarebbe pratico.

Infine per chi è preoccupato che queste funzioni di autenticazione biometrica possano essere sfruttate da malintenzionati per accedere ai contenuti dell’iPhone forzando l’utente a sbloccare il dispositivo, Apple ha aggiunto una soluzione semplice per disabilitare Face ID e Touch ID, come abbiamo menzionato in un precendete articolo.

Quando si attiva la chiamata SOS di emergenza anche senza effettuare effettivamente la chiamata, Touch ID e FaceID vengono disabilitati automaticamente e l’utente è obbligato a inserire il codice segreto per sbloccare l’iPhone.

Per gli utenti non Apple la conclusione non cambia: nonostante la relativa sconvenienza vale la pena usare codici (numeri o alfanumerici) di almeno 8/10 cifre, specialmente se in concomitanza con tecnologie biometriche di elevato livello di sicurezza.

Anche il NIST stesso per le password alfanumeriche raccomanda una lunghezza minima di otto caratteri.

Grazie al NIST Abbattiamo dei Miti!

Le conclusioni a cui si arriva leggendo le ultime linee guida del NIST servono ad abbattere dei miti a riguardo di come impostare le proprie password, e quindi in ultima analisi servono a scegliere delle password più robuste:

• Mito 1: Una password robusta deve contenere caratteri minuscoli e maiuscoli, numeri e caratteri speciali
• Mito 2: Una buona password deve essere estremamente lunga
• Mito 3: Non scrivere mai le password
• Mito 4: Obbligare al cambio periodico della password migliora la sicurezza

Vediamoli punto per punto:

Mito 1. La password “password” è ovviamente terrible in termini di sicurezza, ma mito 1 ci dice che “Password1”, “Abc123” oppure “Passw0rd” lo sono altrettanto. Sono variazioni/combinazioni che non aggiugono nessun grado di sicurezza.

Ma, non basta. Uno studio del 2012 della Carnegie Mellon University conclude che: “Sebbene il numero e la complessità dei requisiti di composizione delle password imposte dagli amministratori di sistema siano aumentati costantemente, il valore effettivo aggiunto da questi requisiti è scarsamente compreso”. Inoltre lo studio afferma che password di lunghezza minima 16 senza requisiti sui caratteri sono più robuste e facili da ricordare di password di lunghezza minima 8 che devono obbligatoriamente contenere caratteri minuscoli e maiuscoli, numeri e caratteri speciali:

We found several notable results about the comparative strength of different composition policies. Although NIST considers basic16 and comprehensive8 equivalent, we found that basic16 is superior against large numbers of guesses. Combined with a prior result that basic16 is also easier for users [46], this suggests basic16 is the better policy choice.

Mito 2. In realtà è ovvio che più lunga è la password meglio è, ma il NIST ci dice che una lunghezza da otto a dodici caratteri può essere adeguata. Il problema è che la password deve essere facile da ricordare e usare, altrimenti perde il suo valore. Quindi password troppo lunghe possono diventare di difficile utilizzo.

Utilizzando un computer moderno veloce una password di otto caratteri che contiene caratteri minuscoli e maiuscoli, numeri e caratteri speciali impiegherà circa 6 anni per essere craccata, ma solo 30 minuti su una botnet (ossia una rete di computer compromessi) di grandi dimensioni. Aumentando la lunghezza della password a 10 caratteri, la stessa botnet ci impiegherà 83 giorni.

Ciò ci suggerische che in caso di password usate per servizi esposti all’attacco di hackers sulla rete è altamente consigliato scegliere lunghezze superiori nell’intervallo suggerito (8-12 caratteri), ossia di preferire password di almeno 10 caratteri o meglio 12 (o addirittura 14) caratteri per dormire sonni tranquilli.

Mito 3. Scrivere la password su un foglietto da tenere in un posto sicuro finché la password non è completamente memorizzata è una pratica ritenuta accettabile. Poi la si può riporre in cassetta di sicurezza in caso possa servire ai familiari.

Mito 4. Questa pratica è considerata deleteria semplicemente per il fatto che forzare frequenti cambiamenti può portare gli utenti a compiere scelte di password più deboli nel lungo periodo. Ciò può portare a lungo andare a una diminuzione del livello di sicurezza delle password (invece di aumentarlo).

Le più recenti linee guida del NIST evidenziano il fatto che le password devono essere “usabili” (ossia user-friendly, in inglese) prima di tutto. Quindi è utile rendere le regole di sicurezza delle password meno complesse, poiché regole eccessivamente elaborate rendono più difficile per gli utenti svolgere il proprio lavoro, aumentando anche i costi. Cambiare le password regolarmente sembra una buona idea sulla carta, tuttavia rende più difficile per gli utenti ricordare la password più recente. Così gli utenti tendono ad esempio a riutilizzare le password o a creare sequenze facili da indovinare come Password1, Password12, Password123 e così via.

Pass-word, Pass-Code o Pass-phrase?

Come si può rendere le password facili da utilizzare e al contempo robuste agli attacchi degli hacker?

Come menzionato in apertura dell’articolo, la raccomandazione principale per la sicurezza dello smartphone è di far uso di uno dei tanti popolari servizi/app di gestione automatica delle password, ossia di un password manager. In tal caso si può lasciare che il password manager generi una password a caso, la memorizzi e la distribuisca sui nostri dispositivi sincronizzandola.

Cosa fare in caso il password manager non funzioni con un sito particolare o che la password richiesta serva in circostanze in cui non si può far uso di un password manager?

Oppure cosa fare nel caso importantissimo di codice di sblocco del dispositivo o di password primaria di un servizio come il password manager stesso?

Vediamo i vari casi individualmente.

Password Che Richiedono Un Basso/Medio Livello di Sicurezza

Ad esempio potrebbe trattarsi di un servizio di informazioni come il New York Times che si vuole poter consultare da qualsiasi dispositivo, anche privo di password manager.

Se non si inseriscono informazioni critiche come numero di carta di credito o di conto bancario, magari perché è solo un servizio in prova, si può usare una password di basso/medio livello di sicurezza.

In questi casi possiamo utilizzare una password facile da ricordare con 8 caratteri, preferibilmente che non formino una parola (specialmente se semplice da indovinare). In generale possiamo seguire le istruzioni fornite da Google ad esempio qui o qui.

Ad esempio:

• Non riutilizzare le password su diversi siti web (può essere okay riutilizzarle su tutti i siti dello stesso editore o della stessa azienda, visto che verrebbero probabilmente memorizzati insieme)
• Evitare password comuni come “password” o “admin”, o parole del dizionario come “new york” o “giornale” (correlate con l’esempio sopra), ma anche schemi sequenziali come “abcd1234” o “giornale123”. Anche sequenze di tasti derivate dai modelli di tastiera come “qwerty” o “qazwsx” sono abusate e ben note agli hacker.
• Aggiungere lettere maiuscole, numeri e simboli, purché facili da ricordare (tuttavia attenzione che la password “Giornale123” non è più sicura di “giornale123” che non è molto più sicura di “giornale”). Meglio usare caratteri particolari solo se aggiungono imprevedibilità alla password.
• MAI usare password basate su dati personali. Non solo le celebrità hanno la loro vita sbandierata su Internet. Molte informazioni su di noi possono essere diffuse anche a nostra insaputa (si veda il recente caso collegato a Facebook…).
• Assicurarsi di avere opzioni per il recupero della password in caso la si dimentichi (anche le password facili possono essere scordate). Per questi livelli di sicurezza tipicamente si fa riferimento alle procedure di reset della password inviata al proprio account di posta elettronica.

Password Che Richiedono Un Livello Alto di Sicurezza

In questo caso si tratta di servizi essenziali come:

• la password del proprio conto bancario
• la password admin del proprio router wireless o di un server
• la password di accesso del proprio computer
• la password dei servizi cloud (come iCloud di Apple)
• la password dei servizi di posta elettronica
• il codice di sblocco e password principale di sicurezza del telefono cellulare
• ecc.

Ciascun servizio ovviamente richiede una password distinta (come hanno scoperto alcune celebrità americane a loro spese…).

Inoltre, vista la loro natura critica, per tutti questi servizi è essenziale alzare delle alte barriere di protezione, che possono essere suddivise in questi due casi principali:

1. Password o passcode di un dispositivo/servizio non attaccabile dall’esterno
2. Password o passcode di un dispositivo/servizio esposto agli attacchi esterni

Nel primo caso può essere adeguata una password di 8/9 caratteri, mentre nel secondo caso come abbiamo già discusso è bene salire a 12/14 caratteri.

In caso di servizi cloud (come iCloud), inoltre, esiste un secondo livello di sicurezza che si può attivare chiamato autenticazione a due fattori (two-factor authentication, in inglese). Questi servizi devono essere ben protetti e sono utili anche per localizzare e/o bloccare uno smartphone in caso di smarrimento o furto.

Come fare dunque per crearsi delle password ottimali e diverse per tutti questi servizi?

Questo articolo e questo sito che fornisce consigli su Linux offrono validi suggerimenti su come creare password robuste e facili da ricordare: il trucco è usare una frase di accesso (passphrase) invece che una password (ossia una singola parola di accesso).

La Pass-phrase

La chiave è di pensare nella propria mente a un’immagine facile da ricordare. (Questa è anche una tecnica per la memorizzazione veloce.) Questa immagine deve contenere concetti e quindi parole possibilmente scorrelati (in apparenza) tra di loro.

Una volta memorizzata questa immagine la si può usare per generare le parole della passphrase.

Ad esempio uno dei miei dipinti preferiti è la Ragazza col turbante o Ragazza con l’orecchino di perla di Jan Vermeer. Ciò che mi colpisce di più del dipinto è:

1. La ragazza
2. L’orecchino
3. Lo sguardo
4. Il turbante

Visto che ragazza e orecchino sono correlati (come anche orecchino e perla), escludo il n. 1 dalla lista e creo la frase separando le parole col segno – e inserendole nell’ordine (apparente casuale) in cui ciascun fattore mi colpisce di più:

orecchino-sguardo-turbante

Poi, visto che questa è una frase piuttosto lunga e scomoda da battere la accorcio troncando le parole con uno stile da “linguaggio giovanile” (es. raga per ragazza):

ore-sgua-turba

Ottimo: 14 caratteri con i segni “-” in posizioni apparentemente casuali, e con nessuna correlazione apparente tra le parole e le informazioni personali della persona che l’ha creata. (Urca, ora mi sa che devo correre a cambiare la password della mia banca… 🙂 )

Ma Se il Servizio mi Obbliga ad Usare Almeno una Lettera Maiuscola e un Numero?

Bene allora scegliete un numero e una lettera qualsiasi. Ad esempio io ho bei ricordi della classe 5C. Inseriteli nella passphrase possibilmente in una posizione casuale. Ad esempio per praticità di battitura scelgo:

5Core-sgua-turba

Ciò comunque non aggiunge molto in termini di sicurezza, visto che la passphrase originale era già solida. Attenzione però alla creazione involontaria delle parole quando si concatenano lettere. Nel caso sopra “Core” è una parola inglese abbastanza comune che preferisco non avere nella passphrase. Meglio quindi usare un’altra coppia di caratteri oppure semplicemente scambiarli:

C5ore-sgua-turba

Con una passphrase diversa per ogni servizio critico, si può anche riutilizzare i due caratteri (ad esempio numero e lettera preferita) per tutte le passphrase, al fine di non confondersi e/o rischiare di dimenticarsi la combinazione scelta “C5”.

E Se il Servizio mi Obbliga a Cambiare la Password Ogni Sei Mesi?

In quel caso, come abbiamo detto, questo servizio sta facendo a voi e a se stesso un… disservizio.

In tali casi si può cercare di “barare”. Bisogna essere certi della robustezza della passphrase. Inoltre bisogna essere certi che non ci sia modo che venga smarrita/divulgata (ad esempio attaccata ad un post-it sullo schermo del proprio PC…).

Quindi attenzione al phishing!

Se la password non viene mai usata al di fuori del servizio che la richiede, si può decidere semplicemente di variarla nel tempo mantenendo traccia della variazione, per esempio così:

• oreC5-sgua-turba
• oreD6-sgua-turba
• oreE7-sgua-turba
• oreF8-sgua-turba
• ecc.

La combinazione di due lettere scelta di volta in volta può anche essere attaccata in un post-it al computer, visto che è in una posizione imprevedibile della passphrase. Inoltre non aggiunge nulla alla robustezza della stessa.

Se invece si ha motivo di ritenere che la passphrase possa essere stata violata o passata involontariamente ad un hacker, è indispensabile cambiarla completamente SUBITO.

E Per Quel Che Riguarda il Codice di Sbocco dello Smartphone?

Il caso del codice di sblocco dello smartphone è speciale perchè, come discusso precedentemente, di norma è più conveniente e rapido usare un codice numerico (passcode) invece che una password alfanumerica (ovviamente è anche un preferenza personale).

Inoltre esistono individui e aziende che possono spendere tempo e risorse per implementare software di malware e dispositivi ultra-sofisticati come la GrayKey per craccare gli smartphone (anche per scopi legittimi). Questo li pone nella seconda categoria di dispositivi ad alta esposizione (potenziale) ad attacchi di natura molto sofisticata (anche non provenienti necessariamente dall’esterno ossia Internet).

Questa considerazione è valida in generale per la sicurezza del telefono cellulare, che sia “smart” oppure no, se questo contiene informazioni di grande valore per un pirata informatico.

Che fare dunque per creare una passphrase con i codici numerici?

È possibile seguire un metodo simile a quello descritto sopra per i caratteri alfanumerici.

Ad esempio, una appassionata di serie TV potrebbe avere meravigliosi ricordi di una famosa serie degli anni ’90 chiamata Beverly Hills 90210. Inoltre la stessa persona potrebbe avere un vivido ricordo noto solo a lei di un lieto evento ad esempio accaduto nel 2005 (per esempio la nascita del primo cucciolo, purché non sia stata postata su Facebook o Twitter, o sbandierata ai quattro venti con uno striscione attaccato ad un aereo… 😉 ).

Una volta scelto un numero a caso come divisore (al posto del trattino), ad esempio 1, ecco il passcode/passphrase:

9021012005

Ottimo! 10 caratteri che non includono date di nascita di sè o dei parenti!

Un problema della scelta effettuata sopra potrebbe essere l’uso troppo frequente dello zero nel passcode. E anche dell’1.

Meglio quindi scegliere un altro numero come divisore, come il 7 e ottenere quindi:

9021072005

A ciascuno/a la sua ricetta in base ai propri ricordi e alle immagini più facili da memorizzare e ricordare…

Conclusione

In conclusione, l’importante è che la passphrase o il codice numerico siano:

• facili/pratici da ricordare
• unici e originali
• non riutilizzati
• non correlabili con dati pubblici personali
• non prevedibili

Oltre alle innumerevoli immagini mentali che si possono scegliere, gli schemi personalizzati di variazione su numeri preferiti, lettere scelte e loro posizione all’interno della sequenza delle cifre, nonchè la scelta dei caratteri divisori (che possono anche essere *, #, =, +, o altro ancora), sono praticamente infiniti.

A ciascuno non rimane quindi che scegliere il proprio schema ideale ed originale.

Per imparare di più sull’importanza delle nuove tecnologie mediche in rapida evoluzione, e per un elenco di riferimenti ad esempi ed applicazioni pratiche in cui si utilizza l’eHealth per salvare vite, consigliamo il lettore di partire dalla pagina dedicata: Cos’è l’eHealth (Salute Digitale), che abbiamo aggiornato ed espanso recentemente. Ulteriori approfondimenti e spunti sono disponibili in articoli come l’Editoriale: eHealth per Salvare Vite.

Volete rimanere aggiornati sull’affascinante mondo dell’e-health? E continuare a leggere di come la salute digitale dopo aver segnato l’inizio di una rivoluzione epocale nel fare medicina e nel curare i pazienti evolverà in futuro? Di come la digital health (ad esempio con la mobile health, ossia m-health) possa entrare ogni giorno nelle case di tutti e fornire importanti ausili per prendersi maggior cura del nostro bene più prezioso, ossia la nostra salute? Allora iscrivetevi alla nostra newsletter!

Che Ne Pensate della Sicurezza del Telefono Cellulare?

Che cosa ne pensate della sicurezza in generale? E in particolare siete preoccupati della sicurezza dello smartphone e della moltitudine dei servizi connessi? Che misure di protezione adottate per il vostro telefono cellulare? Avete delle domande sulla sicurezza del telefono cellulare che vi possiamo aiutare a rispondere? O dei commenti o dei suggerimenti che possono essere utili a noi o agli altri lettori? Se sì, per favore condivideteli nella sezione dei commenti qui sotto!