Episode 9

La sicurezza delle password ed il gestore di password

00:00:00
/
01:01:01

29 March 2021

1 hr 1 min 1 sec

Your Hosts

About this Episode

Potete ascoltare il podcast sia su Apple Podcast, che su [Spotify](spotify:show:33N9cTw7MHLk58MDt22Cx4) che su Amazon Music.

Trovate tutti gli episodi passati con le relative note ai seguenti indirizzi:

il problema delle password

Con lo sviluppo del web e dei servizi correlati l'importanza della password è progressivamente aumentata.

Per la vostra email avete una password, per il vostro AppleID o per facebook, twitter e simili avete una password e così via.

In un mondo di non informatici tuttavia si sono sviluppati costumi della “gestione” delle password tremendi.

Password più usate del 2020 (nel mondo anglofono) che faresti meglio ad evitare:

  1. 123456
  2. 123456789
  3. picture1
  4. password
  5. 12345678
  6. 111111
  7. 123123
  8. 12345
  9. 1234567890
    1. senha

L'altro grosso problema è il riutulizzo della medesima password

Provate a dare un'occhiata su iOS in Impostazioni - Password - Suggerimenti di sicurezza e abbiate paura

Pensare come un hacker

Ho frequentato alcuni corsi per hackers (non sono minimamente un hackers ma mi interessava sapere come “pensa” un hackers).

Una password con 4-6 cifre può essere scoperta nel giro di minuti. Inoltre se si usano le password più usate esistono dizionari di password da "testare".

Come dovrebbe essere fatta una password?

  • usa numeri e lettere (maiuscole e minuscole) in combinazione
  • inserisce un simbolo speciale
  • rispetta la lunghezza minima di 8 caratteri
  • cambia password regolarmente (almeno ogni 6 mesi / 1 anno) e non usarne una per più account

il problema: ricordarsi le password è difficile, se non impossibile

Un secondo approccio sicuro

Le frasi come password: usare al posto di una password alfanumerica di 8 o più cifre una frase (non di senso compiuto) ad esempio: 1000 mari Blu

Autenticazione a due fattori

Password più un OTP (one time password - password momentanea che cambia ogni tot secondi). Se il maleintenzionato ha scoperto la vostra password (perché era debole) c'è una seconda difesa del vostro account ovvero il generatore di password “casuali” che, abitualmente, è sul vostro cellulare o su un apposito dispositivo.

Ultime avvertenze

  • non loggarsi con gli account facebook / google o simili su tutti i siti. Nel caso in cui la nostra password di Facebook dovesse venir scoperta, l’hacker potrebbe entrare in tutti i siti da noi frequentati

il gestore delle password

Un gestore di password è un programma software pensato per custodire in modo sicuro le vostre password e rendervi la vita più semplice con le password.

Come permette di farlo?

  1. Generatore di password sicure
  2. Estensione per i browser per inserire in modo facile la password complessa in un sito internet
  3. Integrazione con i sistemi biometrici (faceID o touchID di Apple as esempio) per sbloccare velocemente il gestore delle password
  4. Sincronizzazione delle password tra differenti dispositivi (PC, smarthphone e tablet) di modo da avere le vostre password sempre a portata di mano.

Locale

Le password vengono custodite in una “cassaforte“ un file cifrato una password (cosiddetta “Master Password ”o password principale) sul vostro computer o dispositivo mobile.

A questo punto è possibile sincronizzare in vari modi la “cassaforte” su vari dispositivi.

Web

Negli ultimi anni i gestori di password, per rendere più vantaggioso il loro business, hanno implementato dei sistemi online di gestione e sincronizzazione delle password. Pagando un abbonamento mensile vi offrono uno spazio dove salvare la vostra “cassaforte” e da dove sincronizzare tutti i vostri dispositivi.

Con uno spazio online poi è possibile “condividere” delle password tra più utenti (in famiglia così come in ufficio).

I software di gestione delle password

Note sicure di Apple (non è un password manager)

Come si dice in dialetto al nord: “Piutost che nient l’è mej piutost” (Piuttosto che niente è meglio piuttosto)

Portachiavi iCloud

1Password

Quello che usa Filippo ed il più “noto” in ambito Apple. Attualmente presente su Mac, Windows, Linux (sperimentale) iOS / iPadOS ed Android. Quindi multi piattaforma.

1Password:

Abbonamento as a service

Le vostre password sono contenute su uno spazio web “sicuro” di 1Password e vengono sincronizzate sui vari dispositivi così.

Abbonamento mensile o annuale (personale 2.99 $ e famiglia, fino a 5 persone, 4.99$ al mese)

Licenza una tantum (ormai oscuro ma presente)

È possibile ancora comprare una licenza di 1Passoword per Mac c.d. standalone. L'operazione non è così semplice (vogliono farvi fare l’abbonamento …) ma è possibile farlo da dentro l’applicazione, scaricata dal sito di 1Passowrd o con HomeBrew.

In questo caso se volete sincronizzare più dispositivi dovete avere uno spazio cloud (iCloud, Dropbox o server WLAN). L'ultima opzione è la più sicura ma anche la più scomoda perché le password si sincronizzano sono quando siete nella vostra rete interna (casa / ufficio).

Lastpass (non testata direttamente)

Lastpass, account base gratuito e la versione premium che costa come in modo simile a 1Password. Multi-piattaforma e con estensioni del browser.

Da quanto ha visto Filippo online molti se ne stanno andando via da Lastpass

Bitwarden (non testata direttamente)

Bitwarden: open-source, simile a 1Password (gestione delle cassaforti online) e multipiattaforma. Possibilità di self-hosting del software a costo zero (richiede capacità avanzate però).

Costi: ratutito per uso personale con funzioni limitate, 1$ al mese per persona versione premium e 3,33 $ al mese per famiglia (6 utenti massimo).

KeepassXC (non testata direttamente)

KeepassXC open-source (software ispezionabile dagli esperti) multipiattaforma (solo su fissi Mac, Windows e Linux) fork di KeePass. Sincronizzazione sul dispositivo (possibilità di sincronizzare come si vuole - Filippo pensa di utilizzare nel caso Syncthing).

Difetto su iOS se si vogliono utilizzare app con funzioni avanzate queste sono o in abbonamento o con acquisto relativamente “dispendioso” (intorno ai 50 €).

Roberto:

Mac e architettura: mach - dot - net.wordpress.com Podcast settimanale Snap - architettura imperfetta

Filippo:

Avvocati e Mac punto it

Ci sentiamo la settimana prossima.