Come proteggere le proprie password

ovviamente non è Vangelo ;)

« Older   Newer »
 
  Share  
.
  1. Melisande
    Posted on 19/9/2013, 18:27
     
    .

    User deleted
    Su suggerimento di una discussione con Daerred, imbastisco una breve chiacchierata su come proteggere gli account che abbiamo in giro per la rete, onde evitare che malintenzionati possano hackerarci l'identità web e divertirsi alle nostre spalle.

    Come viene rubata la mia password? Per farla semplice possiamo riassumere le varie casistiche in 2 punti fondamentali:

    1) un malintenzionato, attraverso tentativi/software appositi/incuranza da parte del proprietario della password, riesce a carpire la nostra password
    2) un malintenzionato, attraverso attacchi mirati ai server, riesce a sottrarre direttamente dal sito su cui siamo registrati i dati contenuti sul database

    Il secondo caso ovviamente esula dalla nostra responsabilità. É compito dei gestori del sito attuare tutte le misure di sicurezza necessaria a proteggere i dati dei propri utenti. Noi ci occupiamo del primo.

    Il modo migliore per proteggersi è usare il cervello!!! E seguire alcuni accorgimenti, anche se tutti quelli elencati qui sotto non saranno mai realizzati contemporaneamente:

    1 - Mantenere le password segrete. Non svelare le password anche se è richiesto né permettere ai siti web di ricordare il proprio profilo. Chi salva le password nei browser (explorer, chrome, firefox, ecc..) lo fa a suo rischio e pericolo. É comodo e rapido, ci mancherebbe, ma se lasciate il computer incustodito, basta poco per fare un copia incolla. Il consiglio è quello (nel caso vogliate comunque salvarle nel browser) di sfruttare una master password. Ad esempio su firefox si imposta andando in opzioni --> sicurezza --> imposta password principale. In questo modo tutte le password salvate sul browser saranno protette da un'altra password.

    2 - Modificare regolarmente la propria password. Il suggerimento è di farlo ogni 60 giorni e non oltre i sei mesi. Se le password sono complesse e lunghe (e soprattutto non sono di dominio pubblico), potete anche prendervela comoda e cambiarle ogni 6 mesi.

    3 - Creare username e password diverse per ogni login o applicazione che si vuole proteggere. Utilizzare password di almeno 16 caratteri (alcuni siti non permettono di andare oltre X caratteri, in questo caso fermatevi al valore massimo che potete inserire), utilizzando maiuscole e minuscole, simboli (parentesi graffe, slash, parentesi quadre, virgolette, $, €, ecc...) e altri caratteri alfanumerici. Password corte e semplici vengono bucate in pochi minuti o poche ore. Password lunghe e complesse vengono bucate dopo anni, se non secoli, per cui esagerate sempre!

    4 - Evitare di scrivere le password o di conservarle in un documento Word o file di testo. Utilizzare uno strumento per gestire le password e/o selezionare una passphrase o una combinazione di parole che permettano di ricordare facilmente la password. Un programma comodo e gratuito da sfruttare è keepass, che potete scaricare qui: http://keepass.info/
    Vi permette di creare un file crittografato, contenente tutte le vostre password e username. Inoltre genera casualmente password forti, che potete sfruttare quando è giunto il momento di modificare i dati di un account. In questo modo non dovrete ricordare diecimila password per ciascun sito, ma solo la master password per aprire questo file crittografato.

    5 - Non digitare le password su computer non controllati, su reti Wi-Fi aperte o su una pagina web raggiungibile da un link di una e-mail. A casa impostate sempre una password di accesso alla ROM del vostro router, modificando quella di fabbrica. Altrimenti chiunque può penetrare nel vostro sistema. In più ricordate che molti operatori web che sfruttiamo tutti i giorni, monitorano costantemente voi, le vostre ricerche e le vostre mail. Scrivere una password su GMail o su Google+ vuol dire consegnarla a Google. Scriverla su Facebook vuol dire darla a facebook. Scriverla su outlook/msn vuol dire darla a microsoft, e così via.
    Installare estensioni come adblock plus o donottrackme sui vostri browsers è sicuramente utile per rimuovere pubblicità, spam e bloccare cookie traccianti, ma non serve a nulla se spiattellate le password in bella vista. E ovviamente non usate Chrome. Se vi piace, esistono mille altri browser identici, basati sulla stessa piattaforma, che non raccolgono i vostri dati come se fossero investigatori privati. Chromium, Comodo Dragon, Opera, SRWare Iron...proteggono molto di più la vostra privacy rispetto al browser di google.

    6 - Limitare il numero delle informazioni personali pubblicate in rete ed evitare le password contenenti informazioni personali identificabili, come data di nascita, nomi di parenti o di animali domestici, indirizzi.

    7 - Evitare di utilizzare più volte la stessa password o di fare modifiche minime a quelle già utilizzate in precedenza. Utilizzare caratteri simili (es. S e $), sostituzioni fonetiche (es. “Luv 2 Laf” per “Love to Laugh”) e lettere casuali tratte da libri o targhe.

    8 - Evitare di utilizzare le password di esempio, anche se “forti”, come titoli di libri, film, poesie, canzoni o luoghi ed eventi, acronimi comuni (es. NASA) e parole straniere (es. bienvenido1).

    9 - Password deboli utilizzano combinazioni ripetitive, un solo tipo di carattere, schemi sulla tastiera o numeri sequenziali. Quindi, si consiglia di aggiungere caratteri random o di modificare maiuscole e minuscole (es. cOm!PuteR).

    10 - Verificare la password con strumenti gratuiti, come "The Password Meter" e "How Secure Is My Password?" per controllare se è in grado di sostenere tentativi di cracking. È possibile anche utilizzare un generatore casuale di password, come quello sviluppato da IObit.

    Riassumendo quindi, password diverse per ogni account, molto lunghe e complesse. Non dovete ricordarle. Basta conoscere a memoria solo quella che apre il file crittografato di keepass (o la master password dei browser). E dovete cambiarle spesso.

    Se avete paura di bruciare il computer e quindi di perdere le password, è possibile sfruttare supporti su cui salvare il file crittografato (e non il documento word con tutte le password in bella vista!!!). Chiavette USB, CD, hard disk esterni o servizi cloud.
    Se usate servizi cloud, siate accorti e non utilizzate quelli i cui server sono su territorio o appartengono agli USA (vedi PRISM su wiki). Quindi i vari dropbox, amazoncloud, skydrive, google drive, ecc...non usateli (almeno, potete usarli, ma meglio non caricare file privati o sensibili). Mega e Wuala (rispettivamente in nuova zelanda e in svizzera) sono decisamente più affidabili.

    State attenti con lo smartphone. Se lo smarrite e i servizi sono aperti (ovvero siete loggati), sono cazzi vostri. Impostate un PIN o una gesture almeno!!!
     
    .
  2. Daerred
    Posted on 19/9/2013, 18:50
     
    .
    Avatar

    Group
    Araldo
    Posts
    19,511
    Location
    Burned Farmhouse

    Status
    Anonymous
    Grande, Meli.
    Sarà bene non sottovalutare questi consigli. Di gente str...ana in giro ce n'è tanta...
    Contacts Contacts
     
    .
  3. TuftTail
    Posted on 19/9/2013, 19:46
     
    .
    Avatar

    Group
    Araldo
    Posts
    8,979
    Location
    Dalla nebbia della piana

    Status
    Anonymous
    Che siano maledetti quei link che ti aprono una pagina identica al sito su cui vuoi effettuare il login, ma che in realtà altro non è che un programma per inviare ciò che scrivi nel campo username e password alla testa di quaglia che l'ha ideato. Per questo caso specifico consiglio di dare sempre un occhio all'url del sito in modo che non presenti anomalie.
    Web Web
     
    .
  4. Melisande
    Posted on 9/12/2013, 20:46
     
    .

    User deleted
    Volete un bel giochino? https://telepathwords.research.microsoft.com/
    Inserite le password che usate comunemente. Più X rosse ci sono, peggio è per voi
     
    .
  5. DISSECTION
    Posted on 8/5/2021, 16:31
     
    .
    Avatar

    Group
    Entourage Ristretto
    Posts
    9,514
    Location
    Portus Naonis

    Status
    Anonymous
    Password manager con database multipiattaforma, accesso solo con master-password dell'archivio (raccomando di usare una passphrase forte) per la quale si raccomanda la buona vecchia carta scritta.

    Keepass ufficiale per Windows e con riferimenti per le versioni adattate per Mac, Linux (es. KeePassXC, ...), Android (es. KeePassDX disponibile su F-Droid, ...), eccetera.

    Si sposta il database di password creato (es. Database.kdbx ), lo si apre con la master-password e si usa per le log-in. Il programma dà una mano nel creare password complesse e con caratteri speciali in abbondanza (vedere immagine) sempre che siano ammessi per l'inserimento nel sito/programma/sistema. Nel caso di password da inserire sempre con tastiera è bene verificare quanto digitabile con tastiera, senza usare ASCII esteso.

    Il sistema è adatto anche a One-Time-Passwords (OTP) per Two-Factors Authentication (2FA), anche se ci sono diverse alternative.

    Prima di inserire le password o altri dati in siti sospetti è bene verificare su www.virustotal.com/gui/ o testare su www.urlvoid.com/ (inclusi header email se sapete estrarli) oppure https://brightcloud.com/tools/url-ip-lookup.php

    Non è per niente astuto lasciare le password memorizzate sul browser, SEMBRA COMODO MA...



    Edited by DISSECTION - 4/6/2021, 19:55
    Attached Image
    Schermata esempio creazione password

     
    .
4 replies since 19/9/2013, 18:27   291 views
  Share  
.

Tecnologia e Videogames
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumCommunity
F_UP