Internet…. dei giocattoli

Ebbene sì, dopo l’internet delle persone e delle cose sta arrivando anche questa….. l’internet dei giocattoli.
Sì perché sempre più giochi sono connessi ad internet…. e qui nascono i problemi.
Essendo oggetti connessi ad internet possono essere utilizzati come fonti di attacco verso altri servizi internet o essere utilizzati dai produttori per raccogliere informazioni sulle famiglie degli utilizzatori oppure, ancora, essere vere e proprie spie nelle mani di malintenzionati.

La compagnia di giocattoli digitali Vtech con base ad Hong Kong è stata una delle prime ad essere colpita dall’ attacco di un hacker, che lo scorso anno è riuscito ad avere accesso alle informazioni personali come email, nomi, cognomi, foto, password, indirizzi di casa di quasi 5 milioni di genitori e di 200 mila bambini. Circa 190GB di foto sono state sottratte.

Ma non finisce qui: secondo alcuni reclami presentati presso la Federal Trade Commission degli USA e l’Unione Europea, alcuni giocattoli connessi ad internet lanciati da Genesis Toys e dal partner Nuance starebbero violando le leggi sulla privacy. Stando al reclamo, i giochi della Nuance registrerebbero le voci dei bambini per giocare con loro ma, contemporaneamente, tratterebbero informazioni anche senza il consenso dei genitori. Quelli della Genesis Toys, invece, potrebbero non aver bloccato l’accesso Bluetooth da parte dei dispositivi esterni ai giocattoli e questo permetterebbe a qualche utente smaliziato di connettersi ai giocattoli e di ascoltare tutte le conversazioni fatte in presenza del giocattolo.

Ma in un caso più recente, la bambola Cayla, sarebbe tacciata di essere “un apparato illegale di spionaggio”. La legge tedesca vieta di possedere, vendere o creare device che possono essere utilizzati per “spiare” se non possono essere chiaramente identificati come tali. Nel caso della bambola il problema risiede nel fatto che questa possa essere utilizzata per spiare il bambino ma abbia le sembianze di un giocattolo.

Ma la lista dei giocattoli connessi si allunga sempre di più.

WhatsApp e la verifica in due passaggi

Anche WhatsApp ha recentemente abilitato il sistema di verifica in due passaggi usando, però, un metodo tutto suo.
Da qualche giorno è comparsa, infatti, la voce “Verifica in due passaggi” nel menù “Sicurezza” dell’APP. Selezionandola è possibile inserire un codice di sicurezza che dovrà essere digitato ogni volta che si assocerà un device al proprio account Whatsapp. In pratica il sistema continuerà ad inviare un codice di verifica via SMS e poi richiederà l’inserimento del codice scelto.

Il sistema prevede, inoltre, l’inserimento di un indirizzo di posta elettronica che verrà usato per disabilitare questa funzionalità nel caso ci si dimentichi il codice di sicurezza inserito.
Per fare in modo che l’utente non se lo dimentichi, WhatsApp, richiede l’inserimento del codice una volta al giorno. Se l’utente sbaglia e non lo inerisce l’autenticazione in due fattori si disabilita.

Non è esattamente l’implementazione di un’autenticazione a due fattori che prevederebbe che la password, utilizzabile una volta sola, fosse inviata via SMS o generata mediante un’APP installata sullo smartphone.

Diciamo che l’implementazione non è proprio così sicura….

La documentazione ufficiale di Whatsapp è qui.

Autenticazione a due fattori: come attivarla

L’autenticazione a due fattori (o doppia autenticazione, o two-step, o ancora two-factor) è un metodo più sicuro per accedere ai proprio account online, necessita che l’utente inserisca non solo la propria password d’accesso ma anche un secondo codice inviato dal servizio in questione tramite SMS o email, oppure generato da un’app mobile.

Sembra complicato, come tutte le cose diverse dalla normalità sembra più difficile da usare ma se si inizia ad usarlo rende molto più sicuri i nostri account e l’abitudine ci farà capire che non è poi così complicato.

Due parole su come attivarla sui principali servizi, quelli che usiamo un po’ tutti.

Google

L’autenticazione a due fattori può essere abilitata sia per l’uso di Google Authenticator (o di un’applicazione simile) che per l’invio di codici via SMS. Ciò che dovrete fare sarà cliccare sul vostro avatar in alto a destra e selezionare “Account”, dopodiché recarvi su “Sicurezza” (link diretto).

Una nota: dopo che l’autenticazione a due fattori sarà stata attivata, per accedere al proprio account.  a meno non lo si faccia da app ufficiali o quantomeno compatibili con l’autenticazione a due fattori, sarà necessario impostare password singole per ogni applicazione che deve accedere ai servizi di Google. Anche in questo caso la procedura non è complicata, è solo necessario fare un po’ di pratica. Queste password si generano nella stessa schermata “sicurezza” dalla quale si attiva l’autenticazione a due fattori.

Al termine della generazione della password viene consigliato di stampare i “codici per l’accesso di emergenza”. Questi codici sono indispensabili nel caso si perda, per qualche motivo, l’accesso al dispositivo sul quale Google invia SMS o sul quale è installata l’APP per la generazione del codice di accesso. Scontato dirlo ma è consigliato farne una stampa e conservarli in modo sicuro da qualche parte.

Apple

Apple permette di abilitare l’autenticazione a due fattori tramite il sistema di notifica della piattaforma, tale autenticazione sarà poi richiesta da tutti i servizi collegati all’Apple ID (iCloud, Apple Store, iTunes…).
Da web, ci si reca sulla pagina “Il mio ID Apple” ed effettuare l’accesso (link diretto). Cliccare ora su “Password e sicurezza” e selezionare “Inizia” in corrispondenza di “Verifica in due passaggi”. Fatto ciò, non resta che seguire le semplicissimi istruzioni a schermo.

Anche in questo caso, una volta attivata questo tipo di autenticazione, dovremo salvare i codici di backup prodotti e generare una password per ogni applicazione che non supporta nativamente l’autenticazione a due fattori, quasi sicuramente dovremo generarne una per il cliente di posta elettronica.

Facebook

Facebook permette di abilitare l’autenticazione a due fattori sia tramite SMS che tramite l’app mobile. Per farlo si dovrà effettuare il login nel nostro account, dopodiché cliccare sulla freccia in alto a destra e selezionare Impostazioni dal menu che appare (link diretto); infine cliccare su “Protezione” dal menu a sinistra. Cliccare su “Modifica” in corrispondenza di “Approvazione degli accessi” e mettere il segno di spunta su “Richiedi un codice di sicurezza per accedere al mio account da un browser sconosciuto”. Basterà quindi seguire le istruzioni proposte. In questo modo ogni volta che si effettuerà un accesso da un browser non riconosciuto Facebook chiederà la conferma di login dall’app installata sullo smartphone.
E’ anche possibile abilitare un secondo tipo di autenticazione a due fattori, con la generazione del classico codice temporaneo da un’app di terze parti.

Evernote

Evernote supporta questo tipo di autenticazione, sia tramite SMS che tramite le APP per la generazione di codici.
Abilitare l’autenticazione a due fattori su Evernote è abbastanza semplice: basta effettuare il login dalla pagina principale, dopodiché cliccare sulla voce “Impostazioni” in basso a sinistra (link diretto). Da lì fare click sulla voce “Riepilogo sicurezza” dal menu a sinistra re-inserire la password quando richiesto. Cliccare su “Abilita” in corrispondenza della voce “Verifica in due passaggi” e seguire le istruzioni a schermo.
Sarà necessario specificare un indirizzo email valido perché la procedura vada a buon fine. La procedura di attivazione dell’autenticazione a due fattori termina solo quando stamperemo o salveremo i codici di backup proposti.

Dropbox

Permette di ottenere la password “monouso” tramite SMS o tramite app ad-hoc. Anche in questo caso la procedura è molto semplice: basterà accedere a Dropbox, cliccare sul proprio nome in alto a destra e da lì scegliere “Impostazioni”, dopodiché cliccare sulla scheda “Sicurezza” (link diretto).

Le APP

Dato che la generazione di One-time-password per l’autenticazione a due fattori è basato su uno standard (RFC 6238 e RFC 4226) le APP per la generazione delle password sono molte. Personalmente preferisco usare 1Password sia per custodire in modo sicuro le password sia per la generazione dei codici OTP.
Altre APP che ho provato:

Arrivati fino a qui….

Un consiglio spassionato: se leggete questo post…. attivate l’autenticazione a due fattori agli account dei vostri servizi web 🙂