Authenticator, meno sicuro di quando non ce l'avevo?

Luk3 · 25 Gennaio 2024

Da poco ho deciso di attivare la verifica a 2 passaggi per proteggere il mio account Microsoft. Sto usando l'app Authenticator. Quest'ultima sembra davvero ben fatta, se non fosse che poco fa mi è arrivata una richiesta di accesso al mio profilo, e non ero io. L'ho negata ovviamente, poi sono andato a vedere nello storico, e ci sono tante richieste di accesso (negate) provenienti dall'estero.

Ora, su un forum di videogiochi ho letto di un ragazzo che gli hanno clonato l'account nonostante usasse quest'App e la verifica a due passaggi. Quindi mi chiedo, non è che quest'app ha una qualche vulnerabilità che mi rende la cosa meno sicura di quando non ce l'avevo e mi limitavo solo a nome utente e password?

Hero467 · 25 Gennaio 2024

Non è chiaro: la richiesta ti è arrivata per accedere al tuo account Microsoft o per accedere all’app authenticator?

Luk3 · 25 Gennaio 2024

Hero467 ha detto:
Non è chiaro: la richiesta ti è arrivata per accedere al tuo account Microsoft o per accedere all’app authenticator?

Al mio account Microsoft. L'app mi ha mandato la notifica sul cell chiedendomi se autorizzare o negare.

Nei dettagli dell'attività sospetta, mi dice, oltre alla localizzazione e all'ip del richiedente, anche il tipo di azione eseguita, in tutti i casi è: Inserita una password non corretta.

Ora non so se è ordinaria amministrazione per tutti gli account del mondo, con la differenza che prima non lo sapevo e ora con quest'app lo vedo.. oppure se effettivamente stanno cercando di fregarmi l'account..

Hero467 · 25 Gennaio 2024

Allora, chiariamo che se ti clonano la sessione la 2FA serve a poco. Finché le richieste arrivano vuol dire che stanno provando ad accedere con la password, il che mi fa pensare che te la potrebbero aver bucata. Cambiala, anzi, cambiare tutte. Password da 14 caratteri, con lettere maiuscole, minuscole, numeri e simboli. E usa un password manager tipo BitWarden.

Ovviamente disattiva il salvataggio delle password sul browser che usi e cancella quelle già salvate

Luk3 · 25 Gennaio 2024

Grazie

sp3ctrum · 25 Gennaio 2024

Quando utilizzi il 2FA spesso ti chiede se vuoi che il tuo browser sia riconosciuto come attendibile, qui nasce l'inghippo perchè se clonano la sessione, il 2FA non viene chiesto visto che il tuo browser è assegnato come attendibile

Luk3 · 25 Gennaio 2024

sp3ctrum ha detto:
Quando utilizzi il 2FA spesso ti chiede se vuoi che il tuo browser sia riconosciuto come attendibile, qui nasce l'inghippo perchè se clonano la sessione, il 2FA non viene chiesto visto che il tuo browser è assegnato come attendibile

Quindi l'unico modo è fare sempre il login ogni volta che si entra in un sito e non mantenere l'accesso automatico, mi sembra di capire.. nè far salvare le password al browser. Il che sarebbe anche fattibile per alcuni siti, un pò meno se dovessi farlo in continuazione per tutti i siti che frequento.. anche perchè le password, essendo complesse, non possono essere ricordate e digitate a memoria.

Ad ogni modo, ho letto sull'app Authenticator e mi hanno anche detto, che sarebbe ancora meglio togliere la password come mezzo di autenticazione, in modo da eliminare quello che sarebbe l'anello debole della questione. In questo modo un malintenzionato dovrebbe comunque passare dall'app per autenticare. E' corretto?

Eren88 · 25 Gennaio 2024

Luk3 ha detto:
Quindi l'unico modo è fare sempre il login ogni volta che si entra in un sito e non mantenere l'accesso automatico, mi sembra di capire.. nè far salvare le password al browser. Il che sarebbe anche fattibile per alcuni siti, un pò meno se dovessi farlo in continuazione per tutti i siti che frequento.. anche perchè le password, essendo complesse, non possono essere ricordate e digitate a memoria.

Ad ogni modo, ho letto sull'app Authenticator e mi hanno anche detto, che sarebbe ancora meglio togliere la password come mezzo di autenticazione, in modo da eliminare quello che sarebbe l'anello debole della questione. In questo modo un malintenzionato dovrebbe comunque passare dall'app per autenticare. E' corretto?

Puoi anche rimanere loggato, l'importante è che non metti la spunta su "non chiedere più su questo dispositivo" quando fai la verifica a due fattori.
E ovviamente non devi mai salvare le password nel browser, meglio usare un gestore di password tipo Bitwarden. Se ti secca mettere ogni volta la password per sbloccarlo puoi anche impostare un PIN per fare prima (anche se è semplice nel caso ti clonano la sessione dopo qualche tentativo sbagliato chiede la password generale)

sp3ctrum · 25 Gennaio 2024

L'importante è non scaricare porcherie dal web, se scarichi solo da siti ufficiali e affidabili non hai di questi problemi.
Inoltre quando bucano un sito/server, devi per forza cambiare le password, questo si viene a sapere cercando nella rete o inserendo la tua mail qui: https://haveibeenpwned.com/

Luk3 · 25 Gennaio 2024

Grazie!

Italicus Magnus · 26 Gennaio 2024

Luk3 ha detto:
Quindi l'unico modo è fare sempre il login ogni volta che si entra in un sito e non mantenere l'accesso automatico, mi sembra di capire.. nè far salvare le password al browser. Il che sarebbe anche fattibile per alcuni siti, un pò meno se dovessi farlo in continuazione per tutti i siti che frequento.. anche perchè le password, essendo complesse, non possono essere ricordate e digitate a memoria.

Per essere puntigliosi, dovresti cancellare pure i dati di navigazione del browser prima di chiuderlo.

Le password non le devi tenere a memoria. Ma devi usare un password manager come Bitwarden. E le passwords create devono essere uniche, univoche complesse. Di lunghezza minimo 14 caratteri e contenere maiuscole, minuscole, numeri e simboli.

Qua sotto ti metto una guida per principianti.

Devi proteggere pure il tuo computer installandoti Kaspersky Standard o la versione a pagamento di Bidefender che ti proteggono in tempo reale a 360 gradi anche la privacy e gli account. Le chiavi le trovi su Kinguin eccetera.

Devi proteggere la tua connessione impostando un dns come cloudflare 1.1.1.1 su browser e router. Oppure in alternativa su browser e connessione di rete ipv4.

Al browser devi installarci l'estensione Ublock Origin, poi nelle impostazioni del browser bloccare i cookies di terze parti e dirgli di utilizzare solo connessioni sicure.

2FA impostato ovunque possibile, i codici generati solo su app smartphone. Niente codici via sms, niente codici mandati via email e nessuna email di backup impostata.

Luk3 · 30 Gennaio 2024

Italicus Magnus ha detto:
Per essere puntigliosi, dovresti cancellare pure i dati di navigazione del browser prima di chiuderlo.

Le password non le devi tenere a memoria. Ma devi usare un password manager come Bitwarden. E le passwords create devono essere uniche, univoche complesse. Di lunghezza minimo 14 caratteri e contenere maiuscole, minuscole, numeri e simboli.

Qua sotto ti metto una guida per principianti.

Devi proteggere pure il tuo computer installandoti Kaspersky Standard o la versione a pagamento di Bidefender che ti proteggono in tempo reale a 360 gradi anche la privacy e gli account. Le chiavi le trovi su Kinguin eccetera.

Devi proteggere la tua connessione impostando un dns come cloudflare 1.1.1.1 su browser e router. Oppure in alternativa su browser e connessione di rete ipv4.

Al browser devi installarci l'estensione Ublock Origin, poi nelle impostazioni del browser bloccare i cookies di terze parti e dirgli di utilizzare solo connessioni sicure.

2FA impostato ovunque possibile, i codici generati solo su app smartphone. Niente codici via sms, niente codici mandati via email e nessuna email di backup impostata.

Grazie. Avrei una domanda..

Se tolgo sia email che numero di telefono di recupero, nel caso non mi fosse possibile accedere con l'app (mi rubano il telefono, o si guasta) come faccio ad accedere/recuperare in altro modo?

Italicus Magnus · 30 Gennaio 2024

Luk3 ha detto:
Grazie. Avrei una domanda..

Se tolgo sia email che numero di telefono di recupero, nel caso non mi fosse possibile accedere con l'app (mi rubano il telefono, o si guasta) come faccio ad accedere/recuperare in altro modo?

Intendi l'autentificatore? Quello di Google adesso puo' fare un backup sincronizzandolo sul cloud ed e' collegato al tuo account.

Basta che clicchi sulla nuvoletta e segui la procedura.

Luk3 · 30 Gennaio 2024

Italicus Magnus ha detto:
Intendi l'autentificatore? Quello di Google adesso puo' fare un backup sincronizzandolo sul cloud ed e' collegato al tuo account.

Basta che clicchi sulla nuvoletta e segui la procedura.

Visualizza allegato 473082

grazie mille

Lorne Malvo · 4 Marzo 2024

Domande naif sulle app per A2F:
- Microsoft Authenticator permette il backup sull'account microsoft: una violazione dell'account che rischi comporterebbe?
- Se il backup non è attivo la perdita della disponibilità dello smartphone renderebbe inaccessibili gli account registrati?
- Si possono trasferire gli account autenticati da una app tipo authenticator miscrosoft ad un'altra (google ad es.)?
Grazie

Cerca

Authenticator, meno sicuro di quando non ce l'avevo?

Luk3

Utente Attivo

Hero467

Utente Attivo

Luk3

Utente Attivo

Hero467

Utente Attivo

Luk3

Utente Attivo

sp3ctrum

Amministratore

Luk3

Utente Attivo

Eren88

sp3ctrum

Amministratore

Luk3

Utente Attivo

Italicus Magnus

Pater Patriae

Luk3

Utente Attivo

Italicus Magnus

Pater Patriae

Luk3

Utente Attivo

Lorne Malvo

Nuovo Utente

Entra