Nei corsi di informatica di base, nei seminari e nella vita lavorativa di tutti i giorni, mi ritrovo a spiegare l’importanza dell’autenticazioni, della scelta di password sufficientemente robuste e di come sia sempre più potenzialmente pericoloso il furto d’identità online.
Se ci pensiamo, solo una password ci separa da n servizi, vedi google ad esempio.
Regola numero 1: non veicolare la password su canali insicuri.
Regola numero 2: se è necessario veicolarla, MAI nella stessa comunicazione sia login che password (vedi banca: pin in una spedizione e carta bancomat rigorosamente in un’altra).
Bene. Oggi l‘inefficienza di 3 Italia H3G mi ha costretto a creare un account su shoptre.it per poter fare online una ricarica urgente (la venticinquesima, appunto) ed è riuscita a fregarsene di entrambe le suddette regole in un unico processo. Spettacolo.
Registro l’utenza, mi arriva un codice sul cellulare 3 indicato in fase di registrazione. Ok. Il link di attivazione cioè dove inserire il codice arrivato via sms mi perviene per mail:
Bene, estrema attenzione: multicanalità che permette di verificare sia la bontà del cellulare che quella dell’indirizzo di posta.
Inserisco il codice, accettato. Mi chiede di scegliere una password, riscriverla per verifica. Fatto.
Adesso la fiera dell’assurdo.
Mi arriva sia per sms che per mail una comunicazione dove c’è scritto ecco il tuo login, ecco la relativa password.
Allucinante. Ecco la mail oscurata di, ahem, alcune parti.
Come si evince dando un’occhiata alla colonna destra dei link sponsorizzati, l’algoritmo di google adwords ed il parser delle nostre mail funziona perfettamente, i processi di sicurezza di H3G decisamente meno.
#FAIL
P.S.: anche il pagamento con carta di credito Mastercard (con SecureCode) ha avuto problemi: si pianta con firefox e funziona perfettamente con Safari.
One thought on “Shop3 e le strane scelte di (in)sicurezza”