Crittografia informatica: cos’è e come funziona

La pratica di proteggere le informazioni sensibili con codici e cifrari ha migliaia di anni. Oggi, è una forma d’arte tecnica che protegge i dati digitali che vengono inviati, ricevuti o memorizzati. Meglio conosciuto come crittografia, questo metodo di protezione maschera le informazioni digitali in modo che solo chi è in possesso della chiave crittografica corretta possa decifrarle.
Capire la crittografia informatica è fondamentale se gestisci il tuo sito web e sviluppi o progetti siti e applicazioni per i tuoi clienti.

Tipi di crittografia

Ci sono diversi sistemi di crittografia – gli algoritmi o cifrari utilizzati per codificare i dati – che i designer e gli sviluppatori possono utilizzare. Per criptare i dati, hai bisogno di una chiave per alterarli. Potresti usare una chiave di crittografia simmetrica, che utilizza una singola chiave privata generata casualmente che il mittente condivide con il ricevitore. Oppure, potresti usare una chiave di crittografia asimmetrica che utilizza una chiave pubblica per crittografare i dati o il messaggio e una chiave privata per decifrarli.

I metodi da utilizzare dipenderanno dalla sensibilità delle informazioni che vengono inviate o memorizzate, dalla dimensione del file di dati, da come i dati saranno inviati (e-mail, FTP) e dagli standard di crittografia che il tuo destinatario preferisce.

Esempi di crittografia: quando si usa?

Esistono diversi standard di crittografia informatica, ed è bene sapere quando è meglio usarli.

• AES, o Advanced Encryption Standard: è uno dei metodi di crittografia dei file più popolari al mondo. È un cifrario a blocchi simmetrico e offre la protezione dei dati sensibili condivisi in sistemi chiusi e memorizzati in grandi database. È una buona scelta anche per l’invio via e-mail di informazioni non estremamente sensibili, come un nuovo catalogo di prodotti e il listino prezzi o l’invio di un grande file ZIP via e-mail.
• Open PGP, o Pretty Good Privacy: usa una chiave simmetrica per criptare e una chiave asimmetrica per decriptare i dati. Le chiavi private possono anche verificare l’autenticità del mittente. Questo aggiunge un ulteriore livello di protezione quando si condividono informazioni attraverso reti aperte. Open PGP è una buona scelta quando si condividono informazioni sensibili come i dati delle buste paga con la tua istituzione finanziaria.
• SFTP o Secure File Transfer Protocol: comunica su una connessione sicura. Utilizza la crittografia a chiave pubblica e l’autenticazione tramite password. La crittografia SFTP è più comunemente usata nei trasferimenti di file da server a server.
• FTPS, o protocollo di trasferimento file sicuro: utilizza due connessioni dati. Una chiave pubblica cripta i dati, un certificato di chiave pubblica fornisce l’autenticità e una chiave privata decripta i dati. Le entità legali, governative e di servizi finanziari si affidano alla sicurezza del trasferimento di file tramite FTPS.
• Secure Mail: utilizza la crittografia asimmetrica. Protegge le informazioni di identificazione personale presenti nel corpo di un’e-mail, come informazioni aziendali proprietarie o informazioni personali come un numero di conto.
• AS2 o AS4: utilizzano certificati digitali e vari standard di crittografia. Con AS2 o AS4, puoi richiedere una notifica o una ricevuta che verifichi che il tuo destinatario ha ricevuto e decifrato il messaggio. In questo modo si ottiene la prova legale che si è inviato il messaggio e che è stato ricevuto. AS2 e AS4 sono comunemente usati nei trasferimenti EDI per informazioni commerciali come fatture o ordini di acquisto.

Nel caso dei web designer e gli sviluppatori che usano WordPress come piattaforma, le chiavi SALT aiutano a proteggere le informazioni di accesso a WordPress. Queste chiavi di sicurezza aiutano a proteggere qualsiasi informazione di accesso memorizzata nei cookie da WordPress. Invece di usare una sessione PHP, infatti, WordPress salva le informazioni in modo da non doverle inserire ogni volta che si accede. Anche se comodo, tutto ciò può rappresentare un rischio per la sicurezza. Le chiavi Salt criptano la tua password in una serie di caratteri casuali rendendola più difficile da decrifare.

Perché la crittografia informatica è importante?

Le aziende hanno bisogno di siti web e applicazioni sicure che proteggano i loro dati, quelli dei loro clienti, i loro sistemi e il loro brand. Tenere in mente la sicurezza fin dall’inizio della fase di progettazione o sviluppo è importante per molte ragioni:

• Ogni settore impone regolamenti di conformità specifici per la protezione dei dati. Includere la crittografia nel processo di progettazione e sviluppo può aiutare a ottenere un prodotto finale che non sarà soggetto a multe e sanzioni.
• Il GDPR richiede di utilizzare misure di sicurezza nel proprio sistema di gestione dei dati personali, e la cifratura è uno strumento utile in tal senso.
• Le violazioni dei dati causano danni alla reputazione. La crittografia informatica protegge dalle violazioni e dal conseguente danno reputazionale.
• I clienti apprezzano la privacy e vogliono essere certi che i loro dati siano sicuri. La crittografia migliora la posizione di sicurezza delle applicazioni e dei siti e offre un prezioso vantaggio competitivo.

Come sapere se un sito web è sicuro?

Ecco alcuni modi per capire, a colpo d’occhio, se un sito web è sicuro:

• Controlla l’URL e cerca la “S” dopo “HTTP”. Questo indica che le informazioni passate dal browser al server del sito sono protette da un secure sockets layer (SSL). Questo certificato assicura una connessione criptata. Oltre a controllare che l’URL indichi “HTTPS”, un altro modo rapido per capire se un sito web è sicuro è cercare una piccola icona a forma di lucchetto accanto all’URL nella barra di navigazione del tuo browser.
• Controlla il dominio. Non è raro che i truffatori imitino abilmente l’indirizzo di un sito web affidabile. Per esempio, togliendo la lettera “o” e sostituendola con uno zero, la parola “micr0soft” sembrerà abbastanza simile al gigante della tecnologia per ingannarti e farti condividere informazioni su un sito non criptato.
• Cerca la garanzia di legittimità. Quando visiti un nuovo sito web, cerca esempi di legittimità come una politica sulla privacy, le informazioni di contatto e gli account sui social. Senza questi segni, il sito potrebbe non essere criptato.
• Verifica i sigilli di fiducia. Molti siti, specialmente quelli di e-commerce, presentano un sigillo di fiducia che verifica che una terza parte ne ha controllato la legittimità. Prenditi un momento per cliccare sul sigillo. Dovrebbe reindirizzarti ad una pagina di verifica di quella terza parte. Se non lo fa, questo potrebbe indicare un sito poco sicuro.
• Controlla la presenza di malware. Un sito con scarsa crittografia può essere infettato da malware. Puoi capirlo se il sito in cui ti trovi fa comparire pop-up sospetti, ha un’ortografia e una grammatica scadenti e un design non professionale, o promuove offerte troppo belle per essere vere.

Poiché molti siti web possono sembrare normali in superficie, ma hanno hacker che lavorano dietro le quinte, un trucco facile per verificare la presenza di malware è quello di cercare su Google. Basta digitare “site:nomedeldominio” nella barra di ricerca e si può trovare lo spam SEO all’interno di qualsiasi link indicizzato su Google. Assicurati di utilizzare il nome del tuo sito web al posto di “nomedeldominio” e analizza i risultati per identificare qualsiasi presenza di malware sul sito.

La crittografia SSL del sito

La sicurezza è fondamentale per chiunque faccia business online, quindi è una questione importante per sviluppatori e web designer. Proteggi il tuo sito web, i dati dei tuoi clienti e i siti e le app che sviluppi con un certificato SSL di GoDaddy. Cifra in modo sicuro le informazioni durante la trasmissione e crea fiducia nel tuo brand.

Trova il certificato SSL giusto per proteggere il tuo sito o i tuoi progetti.