CORSO DI FORMAZIONE E AGGIORNAMENTO DOCENTI
IDENTITÀ DIGITALE PROTETTA
Gabriella CangelosiDEFINIZIONE DI IDENTITÀ DIGITALE
È la rappresentazione virtuale dell'identità reale, che può essere usata durante interazioni elettroniche con persone o macchine (Eric Norlin e Andre Durand,
“Federated Identity Management”, Whitepaper on towards federated identity management, 2002).
Benefici/rischi
Strumento per accedere a numerosi servizi
Fattore di rischio per la tutela della privacy.
Fonte image:
http://www.firmadigitalefacile.it/spid/
IN ITALIA SI PARLA DI IDENTITÀ DIGITALE
“identità digitale” ex D.L.14 agosto 2013, n. 93 (c.d. decreto sul femminicidio), art. 9, c. 2
al reato di frode informatica, già previsto nel nostro c.p.
all’art. 640 ter, si aggiunge un’aggravante, per il caso in cui “il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti”.
«chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da cinquantuno euro a milletrentadue euro».
DUE PARTI DELL’IDENTITÀ DIGITALE
1) Chi uno è (identità).
2) Le credenziali che ognuno possiede (attributi), ovvero credenziali di autenticazione.
Le credenziali possono essere molto variegate sia dal punto di vista numerico che qualitativo.
Identità digitale più semplice:
username e password (segreta).
Fonte image:
http://www.firmadigitalefacile.it/spid/
NELLO SPECIFICO…
Con identità digitale si intende l’insieme di dati che descrive una persona o una cosa ma anche le informazioni sulle
relazioni esistenti tra il soggetto ed altre entità.
Ad es., il nostro account di un social network come Facebook.
Questa identità digitale può essere violata in svariati modi: attraverso un
software keylogger (o da remoto o pendrive).
Cattura tratta dal sito facebook.
COSA STA SUCCEDENDO?
Sono in aumento:
1) il numero degli attacchi informatici 2) la loro complessità
3) i timori per la privacy
L’UTENTE NON SI SENTE PROTETTO E GARANTITO
Fonte image:
http://www.firmadigitalefacile.it/spid/
QUALCHE PERCENTUALE ALL’INIZIO DEL
SECOLO XXI…
Fonte: Sicurforum ItaliaTECNICHE DI FURTO DI IDENTITÀ DIGITALE
Phishing
Vishing o Voice Phishing
Sniffing
Pharming
Password Cracking
…
COME FUNZIONA IL FISHING?
ESCA E PESCE
Due parti:
1) l’email esca ovvero contraffatta che si presenta simile a quella
istituzionale, es. ricevi una mail da unicredit (graficamente uguale all’originale) mail che contiene una richiesta urgente con un link, che a prima vista sembra genuino, visibilmente, se passi il mouse sopra il link compare il vero sito
contraffatto, link scritto con collegamento ipertestuale falso: FONDAMENTALE CHE I SITI UFFICIALI MANDANO AVVISI CON ISTRUZIONI E MAI LINK!
Oppure si può vedere il formato html della mail per vedere la sorgente, in quel testo puoi cercare il link incriminato;
2) fai click sul link, ti apre il browser sulla pagina truffa e ti ritrovi sul sito contraffato ove ti chiedono di aggiornare la password o la tua mail o i dati della carta di credito…e così passi i tuoi dati…abboccando!
Fonte image:
http://www.blogstudiolegalef inocchiaro.it/privacy-e- protezione-dei-dati- personali/furto-identita- bologna-clonazione-carta/
COME CAPIRE SE LA PROPRIA IDENTITÀ È STATA RUBATA ?
Ci sono società che notificano ai propri utenti l’accesso di personaggi esterni ai loro database, ovvero accessi anomali.
Ma dovete prestare attenzione voi stessi ad alcuni segnali!
SEGNALI
Inusuali o inaspettati addebiti/prelievi sul conto corrente.
Ricezione di fatture di prodotti o servizi di cui non si è in possesso.
Mancata ricezione di resoconti o fatture…
AUTENTICAZIONE
determina se un utente o un’identità digitale è chi dichiara di essere…tre differenti paradigmi:
1) qualcosa che l’utente conosce (ad es. una password);
2) qualcosa che l’utente possiede (ad es. token);
3) qualcosa che ha a che fare con le proprietà biometriche dell’utente (es. impronte digitali).
Fonte image: cfr. slide n. 4
Fonte image: www.sostariffe.it
ALCUNI METODI E TECNICHE DI
opportunità di crescitaPRINCIPALI METODI DI AUTENTICAZIONE
Tramite ID e PASSWORD -più diffuso
-poco sicuro, l’utente ricordare ad es.
user id e password per accedere.
Cattura tratta dal sito virgilio.it.
E ANCORA…
Autenticazione a chiave pubblica (in inglese PKI - Public Key Infrastructure)
- Il contenuto della richiesta di accesso crittografato con una chiave privata e decifrato solo utilizzando la chiave pubblica
corrispondente. Identità fornita attraverso un certificato digitale emesso da una cd. Certification Authority (CA).
Tramite token
Tramite TAN (transaction authentication numbers)
I codici TAN, autenticazione in due passaggi, la banca invia una lista di codici TAN (stampati, su carta) e ogni volta che si vuole realizzare una transazione online, si deve inserire uno per autorizzare la transazione.
Autenticazione Biometrica
si basa sul riconoscimento di un nostro attributo fisico
digitalizzato per un suo successivo riconoscimento.
Cattura tratta dal sito firmadigitalefacile.itAutenticazione per reti (cd. Network Authentication) - garantisce ad un soggetto identificato di poter accedere alle risorse
distribuite della propria organizzazione.
Quasi tutti questi meccanismi sono basati su LDAP (Lightweight Directory Access Protocol: protocollo standard per l'interrogazione e la modifica dei servizi di directory, come ad esempio un elenco aziendale di email).
Wireless Authentication
Document Authentication
Single Sign On Authentication…
TRE LIVELLI DI AUTENTIFICAZIONE
Sono io in virtù di qualcosa che so (something I know):
password
Sono io in virtù di qualcosa che ho (something I have): chip Sono io perché sono io (something I am): impronte digitali
Cattura tratta dal sito foegio.com
BUONE PRASSI FAI DA TE
1. limitare il più possibile la diffusione dei dati personali in rete, 2. impostare un buon livello di privacy nei social network
3. monitorare periodicamente la propria presenza sulla rete
4. cambiare spesso le password sicure e facilmente memorizzabili e da ricordare, anche in vacanza
1. non usare la stessa password per risorse e account digitali diversi
PROTEGGI LA TUA PASSWORD
- Non riutilizzare le password
- Crea password non facili da indovinare es. C3rcoUn@!Casa - Custodisci la tua password
- Cambia regolarmente la tua password.
Fonte image: https://blog.artera.it/social- network/furto-di-identita-digitale-ecco-come- difendersi
PROTEGGI IL TUO SMARTPHONE
- Blocca lo schermo del tuo smartphone
- Disattiva l’opzione di connessione Wi-Fi automatica
- Utilizza solo le applicazioni provenienti dai market ufficiali - Disabilita l’anteprima degli Sms
- Mantieni aggiornato il tuo dispositivo
- Resetta il tuo smartphone quando lo dai via.
Fonte image: applicazionimania.it
PROTEGGI LA POSTAZIONE
- log out o blocca schermo
- utilizza software antivirus e personal firewall - usa software sempre aggiornato
- scanzione antivirus di pendrive che immetti nel tuo computer - cancella le tue tracce su computer pubblici
- verifica i siti quando utilizzi la tua Identità
verifica sempre che la pagina di login sia quella ufficiale e sulla barra degli indirizzi sia presente il prefisso https e l’icona ”lucchetto chiuso”.
Non immettere i tuoi codici su altri siti, specialmente se corrispondenti a link inviati via e-mail.
SEGNALO ALCUNE NOVITÀ
Sistema Pubblico di Identità Digitale SPID
permette a cittadini e imprese di accedere con un’unica identità digitale, da molteplici dispositivi, a tutti i servizi online di pubbliche amministrazioni eimprese aderenti
il Governo ritiene che saranno 3 milioni i cittadini dotati di SPID entro la fine del 2016 e 10 milioni entro la fine del 2017.
eIDAS (electronic IDentification Authentication and Signature)
formalizzato con il regolamento pubblicato il 28 agosto del
GRAZIE PER L’ATTENZIONE!
Queste trasparenze (slide) sono protette dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo e il copyright delle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica, testo, tabella, disegno) sono di proprietà dell'autore. Le slide possono essere riprodotte e utilizzate liberamente dagli istituti di ricerca, scolastici e universitari italiani afferenti al Ministero dell’Istruzione, dell’Università e della Ricerca per scopi istituzionali e comunque non a fini di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altro utilizzo o riproduzione, completa o parziale (ivi incluse, ma non limitatamente, le riproduzioni su supporti ottici e magnetici, su reti di calcolatori e a stampa), sono vietati se non preventivamente autorizzati per iscritto dall'autore.
L'informazione contenuta in queste slide è ritenuta essere accurata alla data riportata nel frontespizio. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, etc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L'autore non assume alcuna responsabilità per il contenuto delle slide (ivi incluse, ma non limitatamente, la correttezza, la completezza, l'applicabilità, l'adeguatezza per uno scopo specifico e l'aggiornamento dell'informazione). In nessun caso possono essere rilasciate
