Perché Fineco suggeriva di controllare la password su Google

di Raffaele Angius wired.it 15.11.19

Il consiglio su Twitter nel mirino degli esperti di cybersicurezza. La difesa dell’azienda: la password non è l’unico elemento di difesa. I consigli tecnici su come gestire la tutela dei dati

lucchetto hacker
crediti immagine: Blogtrepreneur (CC)

Di tutte le password che ci fanno impazzire nel quotidiano, una in particolare ha fatto infuriare esperti di sicurezza informatica e curiosi su Twitter. Si tratta di quella per l’apertura di un nuovo account Fineco, che nelle sue procedure chiedeva ai clienti di cercare la chiave d’accesso prescelta su Google. “Se ti restituisce meno di dieci risultati – si leggeva nel sito fino al 12 novembre scorso – significa che è una buona password”.

Il consiglio era dunque quello di verificare la popolarità di una stringa di testo di otto caratteri, lunghezza stabilita dalle misure di sicurezza della banca, per determinare se fosse adatta o meno a proteggere il conto online degli utenti. Ma quante cose possono andare storte inserendo la propria password su un motore di ricerca? Tante secondo gli esperti di sicurezza informatica che hanno commentato, a partire dalla più banale delle considerazioni: lacronologia di ricerca potrebbe svelare quale password abbiamo cercato, esponendola alla cognizione di una persona non autorizzata.

“Un errore che abbiamo individuato non appena ci è stato segnalato – ha spiegato a Wired un portavoce della banca -. Infatti abbiamo rimosso l’avviso non appena ne siamo venuti a conoscenza”. Era dunque un timore fondato quello espresso da chi ha sollevato la questione sui social network, se gli stessi tecnici della banca hanno chiesto la rimozione di quel suggerimento.

E se di errore si è trattato, probabilmente è uno che le cui radici risalgono a tantissimo tempo fa, come dimostra un post sul blog dell’esperto di sicurezza informatica Stefano Zacchiroli, pubblicato a febbraio del 2007, nel quale già si menzionava la possibilità di confrontare la propria password con i risultati di un motore di ricerca.

Soluzioni alternative

Sembra infatti che il suggerimento apparso recentemente sul sito di Fineco sia stato frutto di una confusione tra i testi di vecchie policy e di altre più recenti. 

“Un suggerimento che ho trovato quantomeno insolito e al quale preferirei piuttosto buoni consigli sull’installazione di applicativi specifici come i password manager, che aiutano a generare e ricordare le chiavi di accesso di un utente in modo più semplice”, ha spiegato a Wired l’esperto di sicurezza informatica Gianluca Varisco, che per primo ha segnalato sui social la frase incriminata sul sito di Fineco. “Seguendo il loro consiglio, oltre a lasciare una potenziale traccia della password all’interno delle ricerche effettuate sul proprio browser, il motore di ricerca in questione potrebbe cedere tale stringa a terze parti o contribuire ad alimentare le raccolte (o dizionari) anonime di password facilmente reperibili sul web”. Che sono quelle utilizzate generalmente dai criminali informatici per provare a indovinare, con milioni di tentativi, quale possa essere la chiave giusta per aprire le porte virtuali di un servizio.

Altre barriere

Un rischio che non dovrebbero correre i clienti di Fineco, stando a quanto ha precisato il portavoce della banca, in quanto questo tipo di attacchi non sono possibili sulla piattaforma di home banking, progettata per respingere molteplici tentativi e per interpretare in ogni caso il comportamento dell’utente alla ricerca di anomalie. Mentre non trovano riscontro altre accuse mosse all’istituto in merito alla procedura per la sostituzione della password, che in una pagina sul sito Fineco sembra sia possibile solo tramite il pagamento di 95 centesimi di euro e per posta cartacea. In realtà si tratta di una procedura aggiuntiva, per chi dovesse manifestare la necessità di ricevere una nuova chiave d’accesso tramite posta ordinaria. Come accertato da Wired, l’utente ha la possibilità di modificare la password attraverso il sito e in modo digitale tutte le volte che vuole, senza incorrere in costi o limitazioni.

Una password è sempre un elemento fragile di una catena di protezioni ed è per questo che le banche investono complessivamente per fare sì che non sia il più centrale degli elementi che proteggono i profili dei clienti. “Un mondo digitale sempre più esposto e l’approvazione di norme più stringenti da parte della Comunità europea hanno imposto al mondo bancario diaumentare i propri livelli di protezione, cosa che noi facciamo trasferendo l’onere della sicurezza su un sistema più efficiente piuttosto che sulle spalle dell’utente”, spiega il portavoce di Fineco. Come la gran parte delle banche al mondo, anche l’istituto di Piazza Durante ha sviluppato una propria infrastruttura in grado di analizzare il comportamento dell’utente e, in base a migliaia di diversi parametri, determinare se vi siano dei comportamenti anomali che possono indicare un possibile abuso del suo profilo.

Geolocalizzazione, tipo di browser, sistema operativo in uso, lingua del sistema: questi sono solo alcuni degli elementi impiegati dall’infrastruttura alla ricerca di anomalie o indicatori di un abuso, che nel terzo trimestre del 2019 hanno permesso alla banca di segnalare al regolatore nazionale una quantità di frodi subite praticamente nulla. Risultato raggiunto anche con password poco lunghe e non particolarmente complesse, come segnalato da alcuni. Quella di Fineco in particolare è di otto caratteri alfanumerici, che da molti sono considerati insufficienti a proteggere adeguatamente un profilo. “Ma anche su questo tema, l’importante è che l’ecosistema sia robusto: password più lunghe tendono a essere dimenticate facilmente, ragione per la quale un utente potrebbe scriverla anziché memorizzarla, esponendola così a sguardi indiscreti – precisa Fineco -. Tutto è aggiornabile e anche la sicurezza si progetta facendo tesoro di tutte le esperienze, ma è centrale trovare un equilibrio tra usabilità e protezione, e a volte abbassare troppo l’usabilità finisce per danneggiare anche la sicurezza”.

Affaticamento da cybersicurezza

Il riferimento è alla cyber-fatigue, ovvero la difficoltà a rimanere concentrati su ogni alert di sicurezza o misura di prudenza richiesta nel muoversi all’interno di un servizio. In breve, tanto più un sistema è complesso, tanto più facilmente l’utente cercherà delle scappatoie in modo da alleggerirne l’onere.

Questo succede quando scegliamo sempre la stessa password e periodicamente la modifichiamo con una quasi uguale, oppure quando scegliamo una chiave d’accesso estremamente complessa ma poi finiamo per scriverla su un post-it attaccato al monitor del pc. Con questo tema si era confrontata, a giugno di quest’anno, anche Microsoft, decidendo di eliminare dalle proprie procedure le password a scadenza dal momento che “troppo spesso le persone ricorrono a password facili da indovinare o prevedere, e quando sono costrette a cambiarle, troppo spesso fanno modifica piccole e prevedibili, oppure le dimenticano”.

“Un tema sicuramente discusso ma che talvolta può diventare una scusa dietro cui nascondersi – osserva Varisco -. Ci sono semplici, piccoli passi che ogni azienda può e deve cercare di seguire, dal mantenere aggiornati i propri sistemi aproteggere chiavi di accesso e credenziali in maniera consona. Certo, il tema della rotazione delle password crea non pochi malumori, ed è per questo che punto sempre a consigliare l’utilizzo dei password manager, che permettono di archiviare migliaia di chiavi d’accesso all’interno di un unico applicativo protetto da un’unica password complessa. Il tutto affiancato dai sistemi di autenticazione a due fattori, che sono ormai necessari per rafforzare la protezione data dalle password”.