9: La sicurezza delle password ed il gestore di password
A2 - Een podcast door Roberto Marin e Filippo Strozzi
Categorieën:
Potete ascoltare il podcast sia su Apple Podcast, che su [Spotify](spotify:show:33N9cTw7MHLk58MDt22Cx4) che su Amazon Music. Trovate tutti gli episodi passati con le relative note ai seguenti indirizzi: a2podcast.it e a2podcast.it/youtube per il canale YouTube dove trovate le registrazioni delle nostre dirette. il problema delle password Con lo sviluppo del web e dei servizi correlati l'importanza della password è progressivamente aumentata. Per la vostra email avete una password, per il vostro AppleID o per facebook, twitter e simili avete una password e così via. In un mondo di non informatici tuttavia si sono sviluppati costumi della “gestione” delle password tremendi. Password più usate del 2020 (nel mondo anglofono) che faresti meglio ad evitare: 123456 123456789 picture1 password 12345678 111111 123123 12345 1234567890 senha L'altro grosso problema è il riutulizzo della medesima password Provate a dare un'occhiata su iOS in Impostazioni - Password - Suggerimenti di sicurezza e abbiate paura Pensare come un hacker Ho frequentato alcuni corsi per hackers (non sono minimamente un hackers ma mi interessava sapere come “pensa” un hackers). Una password con 4-6 cifre può essere scoperta nel giro di minuti. Inoltre se si usano le password più usate esistono dizionari di password da "testare". Come dovrebbe essere fatta una password? usa numeri e lettere (maiuscole e minuscole) in combinazione inserisce un simbolo speciale rispetta la lunghezza minima di 8 caratteri cambia password regolarmente (almeno ogni 6 mesi / 1 anno) e non usarne una per più account il problema: ricordarsi le password è difficile, se non impossibile Un secondo approccio sicuro Le frasi come password: usare al posto di una password alfanumerica di 8 o più cifre una frase (non di senso compiuto) ad esempio: 1000 mari Blu Autenticazione a due fattori Password più un OTP (one time password - password momentanea che cambia ogni tot secondi). Se il maleintenzionato ha scoperto la vostra password (perché era debole) c'è una seconda difesa del vostro account ovvero il generatore di password “casuali” che, abitualmente, è sul vostro cellulare o su un apposito dispositivo. Ultime avvertenze non loggarsi con gli account facebook / google o simili su tutti i siti. Nel caso in cui la nostra password di Facebook dovesse venir scoperta, l’hacker potrebbe entrare in tutti i siti da noi frequentati il gestore delle password Un gestore di password è un programma software pensato per custodire in modo sicuro le vostre password e rendervi la vita più semplice con le password. Come permette di farlo? Generatore di password sicure Estensione per i browser per inserire in modo facile la password complessa in un sito internet Integrazione con i sistemi biometrici (faceID o touchID di Apple as esempio) per sbloccare velocemente il gestore delle password Sincronizzazione delle password tra differenti dispositivi (PC, smarthphone e tablet) di modo da avere le vostre password sempre a portata di mano. Locale Le password vengono custodite in una “cassaforte“ un file cifrato una password (cosiddetta “Master Password ”o password principale) sul vostro computer o dispositivo mobile. A questo punto è possibile sincronizzare in vari modi la “cassaforte” su vari dispositivi. Web Negli ultimi anni i gestori di password, per rendere più vantaggioso il loro business, hanno implementato dei sistemi online di gestione e sincronizzazione delle password. Pagando un abbonamento mensile vi offrono uno spazio dove salvare la vostra “cassaforte” e da dove sincronizzare tutti i vostri dispositivi. Con uno spazio online poi è possibile “condividere” delle password tra più utenti (in famiglia così come in ufficio). I software di gestione delle password Note sicure di Apple (non è un password manager) Come si dice in dialetto al nord: “Piutost che nient l’è mej piutost” (Piuttosto che niente è meglio piuttosto) Link a guida Apple su come proteggere le note Portachiavi iCloud Introduzione a Portachiavi e Password iCloud Configurare il portachiavi e password iCloud Usare Portachiavi iCloud su iPhone, iPad o iPod touch Usare Portachiavi iCloud su Mac Utilizzare Password iCloud in Chrome su computer Windows 1Password Quello che usa Filippo ed il più “noto” in ambito Apple. Attualmente presente su Mac, Windows, Linux (sperimentale) iOS / iPadOS ed Android. Quindi multi piattaforma. 1Password: Appstore macAppStore Scaricare 1Password per poi attivare licenza standalone (vedi dopo) Abbonamento as a service Le vostre password sono contenute su uno spazio web “sicuro” di 1Password e vengono sincronizzate sui vari dispositivi così. Abbonamento mensile o annuale (personale 2.99 $ e famiglia, fino a 5 persone, 4.99$ al mese) Licenza una tantum (ormai oscuro ma presente) È possibile ancora comprare una licenza di 1Passoword per Mac c.d. standalone. L'operazione non è così semplice (vogliono farvi fare l’abbonamento …) ma è possibile farlo da dentro l’applicazione, scaricata dal sito di 1Passowrd o con HomeBrew. In questo caso se volete sincronizzare più dispositivi dovete avere uno spazio cloud (iCloud, Dropbox o server WLAN). L'ultima opzione è la più sicura ma anche la più scomoda perché le password si sincronizzano sono quando siete nella vostra rete interna (casa / ufficio). Lastpass (non testata direttamente) Lastpass, account base gratuito e la versione premium che costa come in modo simile a 1Password. Multi-piattaforma e con estensioni del browser. Da quanto ha visto Filippo online molti se ne stanno andando via da Lastpass Bitwarden (non testata direttamente) Bitwarden: open-source, simile a 1Password (gestione delle cassaforti online) e multipiattaforma. Possibilità di self-hosting del software a costo zero (richiede capacità avanzate però). Costi: ratutito per uso personale con funzioni limitate, 1$ al mese per persona versione premium e 3,33 $ al mese per famiglia (6 utenti massimo). KeepassXC (non testata direttamente) KeepassXC open-source (software ispezionabile dagli esperti) multipiattaforma (solo su fissi Mac, Windows e Linux) fork di KeePass. Sincronizzazione sul dispositivo (possibilità di sincronizzare come si vuole - Filippo pensa di utilizzare nel caso Syncthing). Difetto su iOS se si vogliono utilizzare app con funzioni avanzate queste sono o in abbonamento o con acquisto relativamente “dispendioso” (intorno ai 50 €). KeePassium Strongbox: Prezzi e funzioni gratuite (Filippo suggerito ed usato dall’amico Valerio Vertua) nella versione gratuita manca lo sblocco con Face ID / Touch ID Roberto: Mac e architettura: mach - dot - net.wordpress.com Podcast settimanale Snap - architettura imperfetta Filippo: Avvocati e Mac punto it Ci sentiamo la settimana prossima.