Episode 9
La sicurezza delle password ed il gestore di password
29 March 2021
1 hr 1 min 1 sec
About this Episode
Potete ascoltare il podcast sia su Apple Podcast, che su [Spotify](spotify:show:33N9cTw7MHLk58MDt22Cx4) che su Amazon Music.
Trovate tutti gli episodi passati con le relative note ai seguenti indirizzi:
- a2podcast.it e
- a2podcast.it/youtube per il canale YouTube dove trovate le registrazioni delle nostre dirette.
il problema delle password
Con lo sviluppo del web e dei servizi correlati l'importanza della password è progressivamente aumentata.
Per la vostra email avete una password, per il vostro AppleID o per facebook, twitter e simili avete una password e così via.
In un mondo di non informatici tuttavia si sono sviluppati costumi della “gestione” delle password tremendi.
Password più usate del 2020 (nel mondo anglofono) che faresti meglio ad evitare:
- 123456
- 123456789
- picture1
- password
- 12345678
- 111111
- 123123
- 12345
- 1234567890
- senha
L'altro grosso problema è il riutulizzo della medesima password
Provate a dare un'occhiata su iOS in Impostazioni - Password - Suggerimenti di sicurezza e abbiate paura
Pensare come un hacker
Ho frequentato alcuni corsi per hackers (non sono minimamente un hackers ma mi interessava sapere come “pensa” un hackers).
Una password con 4-6 cifre può essere scoperta nel giro di minuti. Inoltre se si usano le password più usate esistono dizionari di password da "testare".
Come dovrebbe essere fatta una password?
- usa numeri e lettere (maiuscole e minuscole) in combinazione
- inserisce un simbolo speciale
- rispetta la lunghezza minima di 8 caratteri
- cambia password regolarmente (almeno ogni 6 mesi / 1 anno) e non usarne una per più account
il problema: ricordarsi le password è difficile, se non impossibile
Un secondo approccio sicuro
Le frasi come password: usare al posto di una password alfanumerica di 8 o più cifre una frase (non di senso compiuto) ad esempio: 1000 mari Blu
Autenticazione a due fattori
Password più un OTP (one time password - password momentanea che cambia ogni tot secondi). Se il maleintenzionato ha scoperto la vostra password (perché era debole) c'è una seconda difesa del vostro account ovvero il generatore di password “casuali” che, abitualmente, è sul vostro cellulare o su un apposito dispositivo.
Ultime avvertenze
- non loggarsi con gli account facebook / google o simili su tutti i siti. Nel caso in cui la nostra password di Facebook dovesse venir scoperta, l’hacker potrebbe entrare in tutti i siti da noi frequentati
il gestore delle password
Un gestore di password è un programma software pensato per custodire in modo sicuro le vostre password e rendervi la vita più semplice con le password.
Come permette di farlo?
- Generatore di password sicure
- Estensione per i browser per inserire in modo facile la password complessa in un sito internet
- Integrazione con i sistemi biometrici (faceID o touchID di Apple as esempio) per sbloccare velocemente il gestore delle password
- Sincronizzazione delle password tra differenti dispositivi (PC, smarthphone e tablet) di modo da avere le vostre password sempre a portata di mano.
Locale
Le password vengono custodite in una “cassaforte“ un file cifrato una password (cosiddetta “Master Password ”o password principale) sul vostro computer o dispositivo mobile.
A questo punto è possibile sincronizzare in vari modi la “cassaforte” su vari dispositivi.
Web
Negli ultimi anni i gestori di password, per rendere più vantaggioso il loro business, hanno implementato dei sistemi online di gestione e sincronizzazione delle password. Pagando un abbonamento mensile vi offrono uno spazio dove salvare la vostra “cassaforte” e da dove sincronizzare tutti i vostri dispositivi.
Con uno spazio online poi è possibile “condividere” delle password tra più utenti (in famiglia così come in ufficio).
I software di gestione delle password
Note sicure di Apple (non è un password manager)
Come si dice in dialetto al nord: “Piutost che nient l’è mej piutost” (Piuttosto che niente è meglio piuttosto)
Portachiavi iCloud
- Introduzione a Portachiavi e Password iCloud
- Configurare il portachiavi e password iCloud
- Usare Portachiavi iCloud su iPhone, iPad o iPod touch
- Usare Portachiavi iCloud su Mac
- Utilizzare Password iCloud in Chrome su computer Windows
1Password
Quello che usa Filippo ed il più “noto” in ambito Apple. Attualmente presente su Mac, Windows, Linux (sperimentale) iOS / iPadOS ed Android. Quindi multi piattaforma.
Abbonamento as a service
Le vostre password sono contenute su uno spazio web “sicuro” di 1Password e vengono sincronizzate sui vari dispositivi così.
Abbonamento mensile o annuale (personale 2.99 $ e famiglia, fino a 5 persone, 4.99$ al mese)
Licenza una tantum (ormai oscuro ma presente)
È possibile ancora comprare una licenza di 1Passoword per Mac c.d. standalone. L'operazione non è così semplice (vogliono farvi fare l’abbonamento …) ma è possibile farlo da dentro l’applicazione, scaricata dal sito di 1Passowrd o con HomeBrew.
In questo caso se volete sincronizzare più dispositivi dovete avere uno spazio cloud (iCloud, Dropbox o server WLAN). L'ultima opzione è la più sicura ma anche la più scomoda perché le password si sincronizzano sono quando siete nella vostra rete interna (casa / ufficio).
Lastpass (non testata direttamente)
Lastpass, account base gratuito e la versione premium che costa come in modo simile a 1Password. Multi-piattaforma e con estensioni del browser.
Da quanto ha visto Filippo online molti se ne stanno andando via da Lastpass
Bitwarden (non testata direttamente)
Bitwarden: open-source, simile a 1Password (gestione delle cassaforti online) e multipiattaforma. Possibilità di self-hosting del software a costo zero (richiede capacità avanzate però).
Costi: ratutito per uso personale con funzioni limitate, 1$ al mese per persona versione premium e 3,33 $ al mese per famiglia (6 utenti massimo).
KeepassXC (non testata direttamente)
KeepassXC open-source (software ispezionabile dagli esperti) multipiattaforma (solo su fissi Mac, Windows e Linux) fork di KeePass. Sincronizzazione sul dispositivo (possibilità di sincronizzare come si vuole - Filippo pensa di utilizzare nel caso Syncthing).
Difetto su iOS se si vogliono utilizzare app con funzioni avanzate queste sono o in abbonamento o con acquisto relativamente “dispendioso” (intorno ai 50 €).
- KeePassium
- Strongbox: Prezzi e funzioni gratuite (Filippo suggerito ed usato dall’amico Valerio Vertua) nella versione gratuita manca lo sblocco con Face ID / Touch ID
Roberto:
Mac e architettura: mach - dot - net.wordpress.com Podcast settimanale Snap - architettura imperfetta
Filippo:
Ci sentiamo la settimana prossima.