Facebook, impostazioni di sicurezza. Qualche suggerimento.

facebook-privacy

È strano, ma nonostante gli utenti di Facebook siano ormai centinaia di milioni, ci sono ancora moltissime persone che guardano con diffidenza il famigerato social network e cercano di capire quali sono gli strumenti che hanno a disposizione per proteggere i propri dati, le proprie foto e, con gli ultimi aggiornamenti, i propri pensieri da eventuali accessi indesiderati.

È il caso di due miei amici Giancarlo, alias Gino e di Alex alias Par Bleu che mi hanno chiesto qualche informazione in più su Facebook e su quali funzioni di sicurezza attivare fin dal primo click successivo alla registrazione.C’è da dire che le perplessità di Gino e Alex non sono del tutto infondate, il 2012 infatti è stato un anno che ha visto una forte crescita degli incidenti informatici e purtroppo il 2013 non è da meno. Ma da questo punto di vista Facebook è sempre stato molto attento sia alle questioni relative alla privacy, come scriveva qualche giorno addietro anche il nostro Rosario Dep, che a quelle della sicurezza.

Quando si crea un nuovo account, il processo di registrazione guida l’utente nella scelta di alcune impostazioni, ma per poter selezionare opzioni specifiche o per gli utenti già registrati che vogliono verificarle, è necessario accedere alla sezione sicurezza dall’icona a forma di rotellina in alto a destra e scegliere “Account Settings”. La sezione Security è la seconda nell’elenco di sinistra.

facebook security settings
facebook security settings

La prima impostazione è chiamata Secure Browsing. Consente l’abilitazione del protocollo di comunicazione cifrato (HTTPS) tra il proprio dispositivo e i sistemi remoti di Facebook. Serve per fare in modo che i contenuti delle pagine web non siano visualizzabili da terzi nel caso in cui malintenzionati intercettino la connessione, un rischio molto più alto nel caso di connessioni wifi rispetto alle tradizionali connessioni su cavo (per esempio l’ADSL).

La funzione Login Notification è molto utile perché consente l’invio di notifiche (a scelta via e-mail o via SMS) per ogni accesso effettuato al proprio profilo. Se un utente malevolo riuscisse a effettuare un accesso al posto dell’utente legittimo, quest’ultimo verrebbe informato tempestivamente tramite il sistema di notifica e potrebbe intervenire  cambiando la password del proprio account.

Se si configura un numero di telefono cellulare è possibile attivare Login Approval. In pratica Facebook invia una password aggiuntiva tramite SMS che viene richiesta quando l’utente si connette da un computer non accreditato.

facebook security code
facebook security code

Il meccanismo realizza una vera e propria autenticazione forte, grazie al fatto che l’SMS è utilizzabile esclusivamente dal possessore del cellulare. Se il segnale telefonico per qualche motivo non permette la ricezione degli SMS, il codice aggiuntivo può essere prelevato dall’applicazione Facebook per cellulari dopo aver attivato Code Generator. Per  abilitare quest’ultima caratteristica è possibile agire dalla sezione Security tramite pagina web, oppure tramite il menu della mobile app. Maggiori dettagli dal sito di Facebook.

Con App Password si possono specificare password ad hoc per le applicazioni esterne collegate a Facebook (es. skype, xbox, ecc.). In genere viene abilitata quando è attiva la login approval per continuare a garantire il funzionamento delle applicazioni integrate con il profilo. Nonostante si tratti di una comodità, sarebbe bene che non ci siano applicazioni esterne integrate con il nostro account perché la compromissione di una di esse creerebbe una vera e propria falla di sicurezza per i nostri dati.

Trusted Contact, è invece, una funzione avanzata che permette di rientrare in possesso del proprio account Facebook in caso di furto o di problemi di accesso. In pratica si richiede all’utente di selezionare alcuni “amici fidati” che, durante il processo di recupero dell’account, riceveranno le informazioni necessarie (e alcuni codici) per aiutarci a recuperare il nostro profilo.

In genere ognuno di noi può accedere a Facebook da vari dispositivi, ossia dal cellulare, da un pc pubblico o dal computer di un amico per esempio. La funzione Recognized Devices è molto interessante perché contiene l’elenco di tutti i browser che sono stati autorizzati all’accesso senza l’invio di e-mail di notifica al proprietario del profilo. Per questo motivo sarebbe bene verificarla e riorganizzarla periodicamente, tenendo in elenco solamente i dispositivi noti e fidati. Attenzione però, eliminare una voce dalla lista dei Recognized Devices significa solo cessare l’invio di notifiche al login per quel dispositivo, non vietarne per sempre la connessione.

Active Sessions è un’atra caratteristica di sicurezza molto utile. In pratica contiene la lista dei luoghi dai quali è stato effettuato l’accesso al proprio account Facebook. Consultando questa sezione si possono visualizzare gli accessi da posizioni geografiche sospette, per esempio se abitate a Milano e sono registrati accessi da Roma. È doveroso aggiungere che, nonostante gli sforzi, il sistema non è molto preciso e nel caso dei cellulari è probabile che si possano verificare situazioni anomale.

Facebook ha anche la capacità di capire se si accede da un luogo sufficientemente distante dal luogo di utilizzo abituale, per esempio un altro paese magari estero. In questo caso sono attivati dei meccanismi di verifica aggiuntivi, come ad esempio il fatto che l’utente debba riconoscere il nome di un certo numero di amici presenti tra i suoi contatti prima di poter rientrare nella propria pagina personale.

Lo scorso 20 agosto 2013 anche il profilo di Mark Zuckerberg, il papà di Facebook, ha subito una violazione ad opera di un ricercatore palestinese che voleva dimostrare di aver trovato una falla nel sistema (zuckerberg-facebook-hack). Grazie al bug scoperto, lo studioso è stato in grado di scrivere un messaggio sulla bacheca di Zuckerberg senza che i profili dei rispettivi utenti fossero in qualche modo collegati da una delle relazioni tipiche del social network (amicizia, amicizia/parentela o amicizia/legame sentimentale).

Anche se si è trattato di un atto dimostrativo e non di una vera e propria intrusione informatica, l’accaduto prova che nonostante le contromisure messe in campo e l’impegno costante per migliorare la sicurezza dell’infrastruttura informatica, esiste la possibilità che malintenzionati siano in grado di escogitare nuove tecniche per accedere illegalmente ai dati degli utenti, in Facebook come in qualunque altro sistema informatico o social network. Per questo motivo sarebbe bene utilizzare un indirizzo e-mail dedicato a Facebook e un numero di cellulare per usufruire delle funzionalità avanzate di ripristino e di autenticazione forte. Inoltre se si sospetta che il proprio account sia stato compromesso, consultare la pagina dedicata alla gestione di questo tipo di eventi, www.facebook.com/hacked.

Le impostazioni descritte in questo articolo costituiscono una sorta di best practice, cioè suggerimenti da seguire per diminuire il rischio di compromissione del proprio account. Questo significa che non esiste un modo per annullarne completamente il rischio, ma la gestione delle funzionalità di sicurezza rappresenta un buono strumento per contenerlo: l’alternativa infatti è quella di rinunciare al servizio.

P.S.

Copio Rosario e aggiungo che questo sito è presente nelle nomination ai MacchiaNera Italian Award. Se vi va di passare qui per votare Voices come miglior community (categoria 5) sarebbe carino. Non si vince nulla, se non un meraviglioso fermacarte, ma a noi fa piacere. Gino, Alex tocca a voi!