L'importanza della crittografia secondo Mozilla

Mozilla, che già si era schierata a spada tratta accanto ad Apple nell’affaire legato allo sblocco dei terminali iPhone cifrati (vedere Le aziende che supportano Apple contro FBI e governo), torna ancora una volta ad evidenziare l’importanza della crittografia e quanto lo strumento debba essere tenuto lontano dalle ingerenze dei governi.

Mozilla ha addirittura aperto un sito web appositamente concepito per spronare gli utenti a riflettere sui benefici derivanti dall’utilizzo di soluzioni crittografiche.

“La crittografia è la tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in esso contenuta possa essere recepita solo dal destinatario“, ricorda Mozilla. “Nel momento in cui, quindi, un giudice federale chiede all’azienda Apple di fornire assistenza ispezionando un iPhone per ricavare informazioni utili ad un’indagine, si sta chiedendo alla stessa di creare un precedente pericoloso che rappresenta una minaccia per la privacy degli utenti: le aziende dovrebbero essere incoraggiate a rafforzare la sicurezza dei loro prodotti e non minarla“.

Su IlSoftware.it, ad esempio, abbiamo frequentemente parlato di crittografica asimmetrica o a chiave pubblica spiegando quanto il suo utilizzo sia essenziale per proteggere la riservatezza e l’integrità delle informazioni scambiate.

Uso della crittografia: i sette consigli di Mozilla

Mozilla ha pubblicato sette consigli per il corretto utilizzo della crittografia che, di seguito, abbiamo voluto integrare con alcune nostre considerazioni.

1) Capire che è necessario crittografare la comunicazione.

Soprattutto allorquando si prevedesse di utilizzare servizi attraverso i quali debbono essere fatte transitare informazioni personali o dati sensibili, è importante verificare le misure di sicurezza implementate. In questo modo solo i destinatari del messaggio potranno accedere al suo contenuto e si eviterà che altri soggetti (ad esempio anche il gestore del servizio) possano accedere alle proprie informazioni.

I siti web più sicuri non usano solo il protocollo HTTPS, ma ricorrono all’impiego di protocolli sicuri (i.e. TLS 1.2) e di certificati digitali EV-SSL (vedere ad esempio l’articolo Riconoscere virus, malware e minacce di ogni genere: Kaspersky dà le pagelle – PRIMA PUNTATA al primo punto Riconoscere tentativi di phishing).

La maggior parte dei sistemi di comunicazione moderni utilizza la crittografia: iMessage, Signal, e WhatsApp forniscono ad esempio sevizi di messaggistica crittografata mentre Facetime, Signal, Firefox Hello, e Google Hangouts forniscono servizi di video crittografati.
Le email offrono una protezione adeguata solo nel caso in cui si utilizzino i protocolli SSL/TLS lungo l’intero tragitto del messaggio di posta (vedere Email: SSL, TLS e STARTTLS. Differenze e perché usarli).
Le telefonate e gli SMS non garantiscono una protezione così avanzata.

2) Assicurarsi che il proprio software sia sempre aggiornato.

Aggiornando regolarmente app e dispositivi si usufruisce delle nuove scoperte che hanno fatto gli sviluppatori in tema di sicurezza. Diverse app moderne e sistemi operativi si aggiornano automaticamente per garantire maggiore sicurezza.
Nell’articolo Browser più sicuro, quali i passaggi da seguire abbiamo evidenziato, innanzi tutto, quanto sia importante tenere aggiornato il browser, gli eventuali plugin/addon/estensioni ed il sistema operativo.

3) Quando si inseriscono proprie informazioni personali è necessario appurare che il sito internet utilizzi la crittografia.

Senza la crittografia, qualsiasi dato privato inviato ad un sito Internet è potenzialmente a rischio. È bene non fermarsi alla sola icona del “lucchetto” visualizzata nella barra degli indirizzi del browser.
Nell’articolo Riconoscere virus, malware e minacce di ogni genere: Kaspersky dà le pagelle – PRIMA PUNTATA al primo punto Riconoscere tentativi di phishing abbiamo spiegato perché.

4) Capire come funziona il tracciamento online.

Alcuni siti Internet tracciano le abitudini di navigazione dell’utente quando questo è online. A volte, questi siti lo dichiarano apertamente per poi utilizzare i dati per migliorare l’esperienza di navigazione. Altre volte tracciano la navigazione senza che l’utente ne sia consapevole.
Ne abbiamo parlato nell’articolo Come evitare malware ed altre minacce online – SECONDA PUNTATA all’ultimo punto I siti web possono controllare abitudini e preferenze dei visitatori?

5) Utilizzare l’autenticazione a due fattori quando possibile.

L’autenticazione a due fattori utilizza strumenti aggiuntivi rispetto all’accoppiata username/password per garantire un login più sicuro. L’autorizzazione per l’accesso e l’utilizzo di un servizio, nel caso dell’autenticazione a due fattori, viene accordata anche usando un dispositivo che l’utente possiede (invio di un codice su cellulare o smartphone) oppure facendo riferimento ad una caratteristica fisica (biometria).

Ne abbiamo parlato negli articoli Impostazioni account Google, scoprire anche quelle meno conosciute (paragrafo Scelta della password ed autenticazione a due fattori) e Accedere a Google, Gmail e Dropbox senza digitare password.

6) Prendere seriamente le password.

La scelta di una password lunga e complessa, diversa per ciascuno dei servizi e dei siti ai quali ci si registra è una delle operazioni migliori per evitare di incorrere in problemi.

Nell’articolo Riconoscere virus, malware e minacce di ogni genere: Kaspersky dà le pagelle – PRIMA PUNTATA, al punto Scelta delle password e loro conservazione ci siamo soffermati sull’importanza della corretta scelta delle password e della loro memorizzazione sicura.

7) Cancellare gli account che non vengono utilizzati.

Capita a tutti di creare un profilo su un social network ma di perdere rapidamente interesse, in questo caso se il profilo non viene utilizzato è necessario cancellare l’account, molti servizi e app vendono infatti i dati degli utenti anche quando i dispositivi non sono utilizzati.