domenica 6 agosto 2023

Lacci e lacciuoli sul WEB

 

Le password

 

Fin da quando si sono cominciati a sviluppare i computer sono comparse le PASSWORD.

 

Per evitare che chiunque potesse accendere un computer e “curiosare” sui dati presenti al suo interno, si pensò che occorreva in qualche modo rendere i dati contenuti nei supporti magnetici delle macchine più sicuri e non accessibili se non al legittimo proprietario o a chi il proprietario lo avesse permesso.

 

La soluzione fu la PASSWORD cioè una parolina nota solo al proprietario del computer o anche a chi era autorizzato ad entrarvi senza la quale nessun accesso era consentito.

 

Con il diffondersi delle reti e del WEB il problema si ripresentò molto più pesantemente nei siti che desideravano mettere a disposizioni i dati in essi contenuti soltanto ad un pubblico selezionato; per molti siti custodi di dati, nacque quindi la necessità di accettare solo gli accessi di chi si era registrato e avesse avuta l’approvazione del suo gestore.

 

Per questi siti, dopo essersi registrati indicando un nome utente ed una password, e dopo aver avuta l’approvazione, si era riconosciuti solo se ci si presentava con quel nome utente e quella password.

 

Le cose continuarono così per molti anni ma il numero di siti che richiedevano una login e una password è aumentato man mano a dismisura creando molti problemi agli utenti che dovevano ricordare per ciascuno di essi sia il nome utente che la password dichiarata alla registrazione.

 

Nacquero e continuano a nascere allora tanti programmi (in genere chiamati password manager) capaci di memorizzare molte login e password proteggendoli tutti con un’unica password; anche io ho scritto uno di questi programmi e così sono riuscito a tenere memorizzati nei miei computer tutte le password e i nomi utente protetti da un’unica password che è l’unica che devo ricordare.

 

In alternativa i sistemi operativi offrono anche la possibilità di memorizzare nella macchina queste informazioni, ma in questo caso però chiunque ha accesso al computer finisce per poter accedere a tutti i siti le cui password sono state memorizzate.

 

Ma successivamente le cose si sono complicate ulteriormente tanto che le password sono diventate per gli utenti una vera scocciatura; per questo molti hanno iniziato ad usare sempre la stessa password per tutti i siti che la richiedevano e molti altri invece hanno cominciato ad usare password molto semplici e brevi per essere facili da ricordare; ma i gestori dei siti hanno reagito richiedendo che le password fossero di almeno 8 o più caratteri, contenessero lettere e numeri e anche qualche lettera maiuscola; poi non contenti hanno iniziato anche a chiedere che ci fosse presente anche almeno un carattere speciale; e poi hanno iniziato anche ad obbligare gli utenti a cambiare la password periodicamente e in più al cambio spesso rifiutano password già usate nel passato o troppo simili a quelle già usate.

 

Una serie quindi di nuove scocciature per gli utenti che finiscono così per passare buona parte del tempo al computer a “combattere” con questi problemi.

 

Ma non è finita qui perché ora molti siti richiedono di utilizzare l‘accesso a doppio fattore; questa nuova diavoleria richiede che gli utenti dispongano di almeno due dispositivi; ad esempio un computer e uno smartphone  per cui l’accesso è consentito solo a chi ha fatto richiesta di accesso con un dispositivo e lo abbia confermato con un altro.

 

In genere viene inviato un codice (codice OTP) con un SMS al cellulare dell’utente che vuole loggarsi ad un sito e l’accesso viene consentito solo se il codice ricevuto per SMS viene riportato in un apposito campo che il computer attende venga riempito; solo se il server del sito riceve dal computer il corretto codice, l’accesso viene consentito.

 

Questa che ho chiamata ultima diavoleria è particolarmente fastidiosa perché richiede che gli utenti che utilizzano un computer abbiano sempre con se anche il cellulare e non solo, occorre anche che esso sia in un luogo in cui i messaggi SMS siano in grado di arrivare.

 

Io per esempio ho i miei computer nel seminterrato della mia villetta mentre il cellulare deve necessariamente essere lasciato al piano terra perché solo lì i segnali telefonici e quindi anche gli SMS possono arrivare.

 

Quando uno di questi dannati siti mi invita a digitare un codice che mi è stato inviato per SMS devo risalire le scale per andare a leggere il codice sul telefono che è al piano terra.

 

E’ stato poi inventato lo SPID che richiede sia computer che smartphone e che richiede un doppio accesso uno all’ente certificatore e un altro al sito a cui accreditarsi e sempre con vari SMS da ricevere e, nel mio caso, con relative salite e discese di scale.

 

Penso che tutti questi accorgimenti potrebbero essere validi in casi molto particolari (ad esempio accesso al computer di una banca per fare operazioni sul proprio conto e poche altre) ma invece queste idiozie le troviamo dovunque anche per l’accesso a siti di scarsissima importanza che non custodiscono nulla di importante.

 

Addirittura il browser CHROME di Google di tanto in tanto richiede che venga digitata una password o altrimenti non consente all’utente di navigare; ma vi pare giusto questo? Quale protezione pensa di ottenere Google con questa stupida richiesta?

 

Io penso che la password sia un sicurezza per chi la crea e la usa e che se chi ne usa una semplicissima e magari la divulga a tutti i suoi amici e parenti vuol dire che non gli importa niente se essi o chiunque altro faccia accesso al sito in cui ci sono magari anche dei suoi dati.

 

E’ l’utente infatti che dovrebbe difendersi nella misura che gradisce e, solo quando lo ritiene necessario, potrebbe creare delle password veramente difficili da essere individuate e magari in qualche caso decidere anche di cambiarle periodicamente,.

 

A ME PARE che il sito non ha alcun dovere né diritto di decidere quanto deve essere sicura una password, né nessun dovere e diritto di definirne la complessità e tanto meno di richiedere un cambio della stessa con una periodicità  da lui definita.

 

I siti dovrebbero lasciare liberi i propri utenti di utilizzare le password che l’utente crea e limitarsi a mettere a disposizione tutte le diavolerie che hanno inventato lasciando che ogni utente possa decidere se e quale di esse utilizzare.

 

Se così fosse ogni utente, IN FUNZIONE DI QUANTA SICUREZZA DESIDERA, e caso per caso, potrebbe scegliere di creare password difficili o non, di cambiarle con una periodicità di SUO gradimento e anche di richiedere che l’accesso sia a due fattori; sarebbe l’utente stesso a decidere giustamente della SUA SICUREZZA e ad assumersi il rischio che vuole.

 

Ma i siti insistono e a titolo di esempio voglio citare la sfrontatezza di APPLE che, con una frequenza approssimativamente mensile, mi ifa arrivare una email automatica informandomi che mi ha cambiato DI SUA INIZIATIVA il tipo di l’accesso, adottando per me l’accesso a due fattori; per fortuna nell’email è disponibile un link che mi consente di ripristinare il tipo di accesso a quello precedente cosa che faccio immediatamente; ma devo stare ben attento a farlo in tempo perché mi hanno spiegato che se lascio passare 15 giorni senza tornare indietro, il provvedimento diventa DEFINITIVO e non sarà più modificabile!

 

Voglio ripetere ancora che il rischio è tutto e solo dell’utente ed è quindi giusto che sia lui stesso a decidere che tipo di scudo desidera attivare. Se un utente scegli di rischiare lo deve poter fare visto che al server niente accade se qualche malintenzionato riesce ad utilizzare i dati di qualcun altro.

 

 

 

La privacy

 

Da un po’ di anni si è deciso di proteggere in qualche modo la privacy degli persone e questo naturalmente ha creato nuovi problemi anche ai navigatori della rete.

 

I provvedimenti imposti dalla legge sono serviti a molto poco per l’obiettivo che ci si era proposto di raggiungere, mentre le regole imposte hanno reso molto più complessa la navigazione e gli accessi al WEB.

 

Come è noto i browser si sono sempre serviti dei cookie (cioè piccoli file di dati) che vengono installati nei computer dei navigatori e che consentono nei successivi accessi di ricordare quali sono state nel tempo le azioni fatte dai proprietari delle macchine utilizzate.

 

Inizialmente i dati dei cookie venivano usati solo per gestire la singola sessione, ma poi pian piano gli utilizzi sono cresciuti e si è passati sia a memorizzare il numero di accessi fatti da ciascun computer sia anche a identificare le pagine del sito più gettonate.

 

Queste informazioni sono state sempre più utilizzate non tanto per motivi tecnici ma molto di più per riuscire a creare una profilazione degli utenti; in questa maniera i gestori dei site hanno potuto proporre a ciascun utente i prodotti che più gli interessano o possono anche fornire informazioni sulle preferenze di ciascuno ad aziende diverse interessate a fare campagne pubblicitarie mirate.

 

La legge sulla privacy ha puntato ad evitare questa pratica senza però grandi risultati perché i gestori dei siti, pur rispettando le regole hanno trovato mille diversi modi per utilizzare  le conoscenze che bene o male riescono sempre a carpire agli utenti.

Quello che è accaduto quindi è che l’accesso ai vari siti si è complicato visto che gli utenti priva di riuscire ad accedervi si trovano di fronte delle pagine nelle quali viene richiesto di indicare quali cookie si desidera accettare e quali rifiutare; e solo dopo aver fatto questa scelta si può finalmente navigare all’interno di ciascun sito.

 

Questa è un’altra grossa palla al piede che non può essere evitata e che fa solo perdere tempo a chi vuol accedere ad un qualunque sito.

 

Come ho detto però, non solo si è rallentati da queste stupide richieste, ma quelle informazioni che si vorrebbero proteggere vengono comunque acquisita con molti sotterfugi dai siti e anche opportunamente commercializzate.

 

Non si spiegherebbe infatti come mai si ricevono molte email pubblicitarie che in coda portano una scritta che dice: “hai ricevuto questa comunicazione perché ti sei iscritto al sito xyz”; ed il sito xyz è un sito diverso da quello che ci ha inviata una email pubblicitaria.

 

In genere il sito xyz è un sito nel quale nessuno è mai andato e quindi certamente nessuno si è mai registrato; si tratta di un sito strano che sembra non avere alcuna importanza; ma poi si scopre che esso ha una serie di “partner” che qualcuno elenca anche; il sito xyz quindi fornisce gli indirizzi email che si procura in maniera poco corretta ai suoi partner i quali ci scrivono magnificando i loro prodotti sentendosi autorizzati a farlo solo perché si è registrati al sito xyz.

 

Nella maggior parte dei casi si scopre anche che nessuno si è mai registrato al sito xyz.

 

Questo meccanismo ormai è molto diffuso per cui la legge sulla privacy viene tranquillamente aggirata e i vari partner dei siti xyz non vengono perseguiti o quanto meno il loro comportamento viene tollerato visto che dimostrano di avere una certa autorizzazione da parte degli utenti.

 

Ognuno dei siti “partner” ha, come per legge, in calce un link ad una pagina che consente di cancellarsi; ma naturalmente la cancellazione (ammessa che avvenga veramente) riguarderà soltanto un unico partner mentre tutti gli altri rimarranno autorizzati a martellarci; sarebbe necessario cancellare la registrazione a xyz che raccoglie tutti i partner, ma il sito xyz o non è raggiungibile oppure non mette a disposizione la cancellazione.

 

Il risultato di tutto questo è che mentre la nostra privacy rimane completamente non protetta in più siamo costretti a continuare a rifiutare cookie e a leggere eventuali lunghe dissertazioni sull’applicazione della legge, pur senza riceverne alcun vantaggio.

 

L’appesantimento dovuto alla necessità di superare le informazioni obbligatorie sulla privacy e gli accessi difficili spesso anche con l’obbligo di fornire codici ricevuti per SMS sul cellulare rendono sempre più difficile e noiosa la navigazione dovendo dedicare più tempo a difendersi da queste idiozie piuttosto che per ricevere le informazioni di cui abbiamo bisogno.

 

Franco Fellicò

1 commento:

Anonimo ha detto...

Un caro saluto a te e Clelia e ti assicuro che pur non eassendo un navigatore come te le password sono il mio tormento