Rivedere gestione password ed email

A volte amici/conoscenti si ritrovano con account bucati, nella maggior parte dei casi a causa della gestione superficiale delle loro password,
magari tenute in chiaro su file di testo, troppo semplici o perchè vittima di fishing.
Il problema è che capita anche a persone non sprovvedute, con 2fa attivato, consapevoli dei rischi di aprire link sospetti ecc

Quindi vorrei cambiare la mia gestione della sicurezza, agendo in questo modo:

  • Check password ed email compromesse
  • Cambiare le password duplicate e rinforzare le più semplici
  • Creare due nuove email su protonmail (la più sicura?), una per dati importanti, l’altra per cazzeggio.
  • Attivare 2fa ovunque, preferibilmente con Google Auth dove possibile, altrimenti con sms.
  • Installare GA su almeno due dispositivi per non perdere tutto in caso di furto, guasti ecc
  • PIN del cellulare diverso da 1234 :asdno:
  • Usare un gestore password, opensource e con una buona reputazione, avrei optato per Bitwarden
  • Togliere tutte le pass memorizzate in Google
  • Buon vecchio blocchetto di carta per password di Bitwarden, Google /altre importanti, in doppia copia

Il mio numero di cell ormai è presente in diversi data leak, vale la pena affiancare una nuova sim a quella storica
e pian piano passare tutti i contatti e 2fa?
Oppure non ha senso perchè dopo qualche tempo si ricade inevitabilmente nella stessa situazione?

Suggerimenti?

1 Like

Per quanto ho potuto valutare nel corso degli anni GMAIL (ahimè) über alles.
Come sicurezza , features e spazio gratis è imbattibile. Certo il prezzo da pagare è il tuo culo.

L’unica accortezze che io ho adottato da sempre è che le password delle caselle sono univoche e dedicate esclusivamente a loro.

L’errore più grosso che fanno in tanti è che mettono le password di email e qualsiasi altra cosa (steam , account su siti cinesi a caso) uguali.
È chiaro che se ti bucano uno dei servizi collegati sei fottuto per bene.

Questo per me è sufficiente.

Password uniche dedicate alle emails e 2fa.

Io ho bitwarden e gmail (per ragioni storiche) e lo stesso numero in italia da decenni e lo stesso numero in UK da quando mi son spostato qua. Questo per rispondere sul discorso cambio numero.

Per la sicurezza, bitwarden ha tutto quello che riguarda password, tranne dove posso usare auth da terze party e in quel caso lo faccio o tramite github o gmail. Entrambi sono con 2FA e sto pensando di passare alla chiave fisica a breve comunque.

La password bitwarden e’ una frase con simboli e numeri, non devo scriverla da nessuna parte. Se non la ricordo piu’ ho problemi di memoria peggiori a cui pensare :asd: In più ha un 2FA davanti.

Le password per roba importante (soldi-related, email, etc) sono sempre uniche. Le robe sceme tipo “forum della bethesda” sono cazzate che tanto so gia’ che mi hanno pure bucato ma sti cazzi. Un forum ha la mia mail e sta password, sai che tragedia.

Quando arrivano news di leak in un servizio e’ quando cambio completamente la password in una roba generata univoca. Questo solo perche’ ho adottato un password manager quando ormai avevo vagoni di account in giro e della roba minore ho zero sbatta di andare a cambaire uno per uno.

Per ora campo tranquillo :look: :asd:

Edit: ah si, la roba di lavoro e’ su tutto un altro sistema di account/etc quindi proprio non c’e’ rischio la’.

La password di admin di ngi e’ dietro password assurdamente complessa e 2FA :asd:

2 Likes

Quindi la password di ngi è password

1 Like

piccole accortezze che sperano tornino utili un po a tutti:

Verifica password ed email compromesse

  1. Check password ed email compromesse:
    esistono servizi come Have I Been Pwned per verificare se le tue email e password sono state compromesse in violazioni di dati conosciuti.

Gestione delle password

  1. Cambiare le password duplicate e rinforzare le più semplici:
    Usa una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali.
    Evita parole comuni e informazioni personali.

  2. Creare due nuove email su ProtonMail:
    ProtonMail è una buona scelta per la privacy. Avere una email separata per dati importanti e un’altra per l’uso quotidiano riduce il rischio di compromissione. ti consiglio in caso di utilizzare la nuova funzione con l’alias (esempio, ti crei due alias piuttosto che due email)

Autenticazione a due fattori (2FA)

  1. Attivare 2FA ovunque:
    Google Authenticator è un’ottima scelta, ti consiglio di considera anche altre opzioni come Authy o Aegis, permette anche la sincronizzazione su più dispositivi, riducendo il rischio di perdita dei codici 2FA in caso di guasto del dispositivo. Dove possibile anche passwordless ancora meglio.

  2. Installare Google Authenticator o app affini su almeno due dispositivi:
    Assicurati di avere copie di backup dei codici 2FA o usa un servizio che permette la sincronizzazione. Evita di avere backup cloud di questi codici. che se poi li bucano sono ciulati

Sicurezza del dispositivo mobile

  1. PIN del cellulare diverso da 1234:
    PIN complesso o meglio ancora, passcode alfanumerico.

Gestione delle password

  1. Usare un gestore password:
    Bitwarden è un’ottima scelta. open source, è trasparente e ha una buona reputazione.
    Configura l’2FA per l’accesso a Bitwarden. meglio ancora se riesci e ti va di mettere su soluzioni self-hosted, consiglio Vaultwarden (Bitwarden server API scritto in Rust compatibilissimo con bitwarden client)

  2. Togliere tutte le password memorizzate in Google:
    Migrare tutte le password su Bitwarden per avere un unico punto di gestione sicuro. Non salvare in browser le password evita anche autocompilazioni delle credenziali tramite software

Backup delle password

  1. Blocco di carta per password importanti:
    Avere una copia fisica di backup può essere utile, ma conservala in un luogo sicuro e considera la cifratura delle informazioni più sensibili sempre.

Gestione del numero di telefono

  1. Nuova SIM per dati sensibili:
    Cambiare la SIM può ridurre il rischio legato a data leak se già risulta in quest’ultimi, ma ti prende tempo per aggiornare poi tutti i contatti e le autenticazioni 2FA. etc.
    Valuta magari l’uso di un numero di telefono virtuale/Esim per 2FA su alcuni servizi, se possibile, così riduci la dipendenza dal numero fisico.

Ulteriori suggerimenti

  • Monitora regolarmente i tuoi account:
    Controlla regolarmente l’attività sui tuoi account per individuare accessi non autorizzati. anche se ormai gran parte dei servizi ti manda l’email se riscontrano accessi su nuovi dispositivi.

  • Aggiorna regolarmente il software:
    Assicurati che tutti i tuoi dispositivi e software siano aggiornati con le ultime patch di sicurezza.

  • Educa te stesso sulla sicurezza e possibili falle:
    Mantieniti informato su news e eventi, sulle ultime minacce di sicurezza e le migliori pratiche.

2 Likes

Scusate dove si verifica se il numero di telefono era in una data leak? Sempre Ivebennpnwd?

non credo ci sia un db per i numeri di telefono ma magari sbaglio

ma in teoria leggendo dai leak cosa è stato sottratto, magari c’è ti ritrovi l’email e nei dati sottrati segnalano anche il numero di telefono
fai 1+1

Figata gli alias di proton mail. Me li ero persi.
Mi sa che è tempo di pagare un account…

1 Like

Anche se c’è scritto solo email Have I Been Pwned controlla anche leak di celluari, d’altronde fa solo delle ricerche nei breach. Lo so perché provando il mio col prefisso internazionale, aimè, lo trova in uno: il famoso leak di Facebook del 2021

2 Likes

Il mio cellulare era stato pwnato in un data leak di Ledger, che tra l’altro non avevo nemmeno comprato, me l’hanno regalato, maledetti :asd:

daje, niente pwnaggio del numero di cellulare! :rulez:

Amazing, I have the same combination

5 Likes

Proton mi chiede un numero di telefono o email da usare in caso perdessi l’accesso ma
secondo me è più sicuro disabilitare le opzioni di recupero e accertarsi di non perdere i dati per il login, o no?

Si, e’ tecnicamente piu’ sicuro, ma ovviamente devi stare attento a non perdere le credenziali.

1 Like

Come authenticator uso Aegis https://getaegis.app/
Free e opensource

1 Like

C’è anche per pc? Oltre che per mobile intendo.

Non lo so ma non credo…
invece bitwarden con vault warden (credo) ha il sync degli otp

Secondo me in un prossimo futuro torneremo padroni dei nostri dati, come non lo so, ma quando vi sarà sufficiente potenza di calcolo so che sarà possibile.

Non saranno più necessari rozzi metodi di autenticazione ma solo una precisa volontà cerebrale nemmeno letta da sensori artificiali ma a un livello superiore di ordine biologico.

Il dato sarà disponibile istantaneamente e tutti potremo di notte nei sogni osservarne il moto dove gli indirizzi ip che lo leggono saranno rappresentati in real time da immagini 3d da telecamere montate nell’arcata superiore dei denti.

Non servirà più il backup, i dati saranno dentro il nostro organismo sempre aggiornati, si potrà decidere se salvarli nel fegato o nel pancreas con un fault tolerance nei polmoni o nei reni.

E quando cagheremo, saranno petabytes di data breach, ma illegibili per il tanfo.

Il tanfo sarà la crittografia definitiva.

E quando creperemo, puff, reset, contratti disdetti in automatico con tutto il sistema solare, escluso sky che non si può disdire manco se muori.

Dati persi per sempre, embè? Tanto non eri un cazzo uguale.

Beni trasferiti al resto della popolazione e via andare.

secondo me andremo di poisoning.

dei nostri dati non saremo mai più padroni

In teoria, per ragioni di sicurezza, l’OTP non dovreste tenerlo sul PC (o meglio, dovrebbero essere due piattaforme separate), i.e. mai usare Bitwarden (o per quanto mi riguarda, keepassxc) per generare gli OTP ma sempre app sul cellulare per OTP.

Detto questo, io posseggo da qualche anno una Yubikey che cerco di usare al posto dei codici OTP dove supportato. Segnalo a proposito questo gancio https://www.amazon.it/gp/product/B00BKVPU08?th=1 per agganciarla al portachiavi. Quello che volevo era un sistema per avere la possibilità di toglierla dal portachiavi velocemente. Lo uso da circa 6 mesi e per ora non da segni di cedimento.

Un collega con cui discutevo, mi diceva che è estremamente utile anche per “genitori anziani” (o comunque persone non tech-savy), in quanto l’unica cosa che devono fare è inserire la chiavetta nel cellulare e premerla. Non ho esperienza a riguardo.