What’s the takeaway from all this? Cloud services are convenient and cheap, and can help a company grow more quickly. But security infrastructure is still nascent. And while any single service can be fairly secure, the important thing is that the ecosystem most certainly is not. Combine the fact that so much personal information about individuals is so easily findable on the web with the reality that most people have merged their work and personal identities and you’ve got the seed of a problem.
Il lungo resoconto dell’attacco agli account dei dipendenti di Twitter ha molto da insegnare sul cloud computing e la sicurezza diluita che ne consegue.
Il cloud computing si basa sulle applicazioni web e queste si basano sull’uso degli indirizzi email come forma di autenticazione. Uniamo questo fatto alla pigrizia di generare password complesse, all’uso di parole comuni nelle domande di recupero password e, per effetto domino, arriviamo all’infiltrarci in un’intera infrastruttura.
Nella rete gli umani sono nodi al pari dei computer e le loro abitudini possono costituire un pericolo quando possono essere statisticamente individuate da google e da qualche educated guess (tirare ad indovinare). L’insieme eterogeneo delle web apps non ha ancora un corrispondente insieme omogeneo di policy di sicurezza, questo è il dato più importante.
Non mi lamenterò più dell’obbligo di cambiare le password una volta al mese imposto dalle nostre normative ISO!