GUIDA Guida alla sicurezza per neofiti

Pubblicità
Ho immesso il comando di WindowsSpyBlocker ed è apparsa una lista di ip, che credo siano stati bloccati o bloccata la comunicazione con loro.

Mi sfugge una cosa che nè qui e nè sul sito ho trovato scritto.
Cioè, quando si afferma che questo programma blocca la comunicazione verso i server di raccolta dati, non dice però quali sono questi server o compagnie.

I nomi di questi server/compagnie non ci sono perchè sono migliaia e quindi si fa prima a far comparire l'ip dopo aver immesso il comando?
La comparsa degli ip è qualcosa che già mi aspettavo, però mi aspettavo anche che per ogni ip ci sarebbe stato il nome della compagnia o server che raccoglie dati, in modo da conoscere chi o cosa sono.
 
DarkEarth ha detto:
Non ne ero al corrente... Ho letto che la versione lite è compatibile con manifest v3.
E poi ci sono gli altri browser.
Clicca per espandere...
Sto provando la versione lite ma non mi piace molto, su Youtube tra un video e l'altro ci impiega troppo tempo a saltare l'annuncio pubblicitario, su alcuni siti appaiono gli annunci pubblicitari e a volte si aprono pagine con l'avviso che la pagina è stata bloccata da un'estensione.
 
Ciao, provo a scrivere in questo thread perché ritengo siano domande da neofiti come il sottoscritto, eventualmente apro un altro thread:
  1. Autenticazione a 2 fattori: vi sono regole da rispettare per una buona autenticazione a 2 fattori? Mi spiego con un esempio: una situazione di questo tipo, in cui 2 account sono indirettamente collegati, è pericolosa?
    • Per accedere a account1@mail inserisco come 2FA l'account account2@mail
    • Per accedere a account2@mail inserisco come 2FA l'account account1@gmail
  2. Documenti personali: è buona norma mantenere alcuni documenti salvati esclusivamente su dispositivi esterni e mai nel nostro PC? Faccio riferimento magari a documenti in cui si è sottoscritto un contratto di apertura di un conto con una Banca
  3. E' pericoloso salvare documenti come quelli di cui al punto 2 su Onedrive?
 
Strio ha detto:
Ciao, provo a scrivere in questo thread perché ritengo siano domande da neofiti come il sottoscritto, eventualmente apro un altro thread:
  1. Autenticazione a 2 fattori: vi sono regole da rispettare per una buona autenticazione a 2 fattori? Mi spiego con un esempio: una situazione di questo tipo, in cui 2 account sono indirettamente collegati, è pericolosa?
    • Per accedere a account1@mail inserisco come 2FA l'account account2@mail
    • Per accedere a account2@mail inserisco come 2FA l'account account1@gmail
Clicca per espandere...

Le regole da seguire sono:

1. Codici 2FA generati solo esclusivamente tramite app smartphone. Come app smartphone ti suggerisco Authy.
2. Niente codici 2FA sull'email.
3. Niente codici 2FA sugli SMS.
4. Mai settare email secondarie come backup d'accesso ai siti. Perche' se ti bucano l'email di backup ti bypassano il 2FA.
5. Mai collegare piu' servizi tra di loro: esempio Facebook ed Instagram. Perche' se ti bucano Instagram poi ti entrano su Facebook e viceversa.


Strio ha detto:
  1. Documenti personali: è buona norma mantenere alcuni documenti salvati esclusivamente su dispositivi esterni e mai nel nostro PC? Faccio riferimento magari a documenti in cui si è sottoscritto un contratto di apertura di un conto con una Banca
Clicca per espandere...
Puoi tranquillamente lasciare roba nel pc a patto che il pc sia pulito e sicuro. Per sicuro intendo con una suite di sicurezza seria installata come ad esempio Kaspersky o Bitdefender a protezione.


Strio ha detto:
  1. E' pericoloso salvare documenti come quelli di cui al punto 2 su Onedrive?
Clicca per espandere...

I cloud sono sicuri? Dipende se i files vengono crittografati oppure no. I cloud possono tranquillamente essere bucati dagli hackers, ma se i tuoi files sono crittografati gli hackers dei tuoi files non se ne fanno assolutamente niente.
 
Aggiungo due cose:
1. Non selezionare mai l'opzione per non richiedere più la 2FA sui tuoi dispositivi, perchè se ti clonassero la sessione del browser l'autenticazione a due fattori non verrebbe richiesta e sarebbe tutto inutile.
2. Invece che Authy io consiglierei Aegis dato che Authy quest'estate è stato bucato e sono trapelati 33 milioni numeri di telefono degli utenti. Con Aegis questo non sarebbe potuto accadere visto che lavora completamente in locale e non richiede alcuna registrazione. Tra l'altro Aegis è anche FOSS, quindi personalmente lo preferisco.
Authy poi non supporta l'esportazione delle credenziali, o almeno, fino a quando l'ho usato io non si poteva fare, quindi per passare ad Aegis dovetti riconfigurare la 2FA in tutti i miei account perdendoci 1 ora.
Aegis invece permette di esportare le credenziali in qualsiasi fomato, sia per fare un backup, che eventualmente per importarle in un altro gestore.
 
Intanto grazie ad entrambi per i riscontri. Provo a chiedere alcuni ulteriori chiarimenti:
  1. APP per 2FA: non ho le competenze per definire quale sia meglio Authy/Aegis/Altro, quindi dovrò andare "a caso". Nel caso di Aegis, come funziona nel caso in cui perda il telefono/venga rubato/si rompa? Non riesco a capire come funzioni l'accesso con un nuovo telefono nel caso in cui si debba cambiare telefono. Il mio terrore è quello di rimanere "fuori" da tutte le APP.
  2. 2FA Bitwarden: va bene utilizzare una unica APP di 2FA sia per Bitwarden sia per tutti altri account? Ossia, può andare bene utilizzare Aegis sia per accedere a Bitwarden sia per accedere agli altri account google/microsoft etc.?
  3. Codici di back-up: quando si importa la 2FA per i vari account, è possibile richiedere dei codici di back-up per entrare nell'account nel caso in cui non si disponga del 2FA. E' sicuro utilizzarli, o è preferibile avere esclusivamente i codici di back-up dell'APP per l'autenticazione a 2 fattori? Spero di essermi spiegato
  4. File shredder: è necessario utilizzare un app file shredder per cancellare documenti sensibili? Poiché immagino la risposta sia "ovviamente si", vi è una app gratuita e sicura da poter utilizzare?
 
Strio ha detto:
Intanto grazie ad entrambi per i riscontri. Provo a chiedere alcuni ulteriori chiarimenti:
  1. APP per 2FA: non ho le competenze per definire quale sia meglio Authy/Aegis/Altro, quindi dovrò andare "a caso". Nel caso di Aegis, come funziona nel caso in cui perda il telefono/venga rubato/si rompa? Non riesco a capire come funzioni l'accesso con un nuovo telefono nel caso in cui si debba cambiare telefono. Il mio terrore è quello di rimanere "fuori" da tutte le APP.
  2. 2FA Bitwarden: va bene utilizzare una unica APP di 2FA sia per Bitwarden sia per tutti altri account? Ossia, può andare bene utilizzare Aegis sia per accedere a Bitwarden sia per accedere agli altri account google/microsoft etc.?
  3. Codici di back-up: quando si importa la 2FA per i vari account, è possibile richiedere dei codici di back-up per entrare nell'account nel caso in cui non si disponga del 2FA. E' sicuro utilizzarli, o è preferibile avere esclusivamente i codici di back-up dell'APP per l'autenticazione a 2 fattori? Spero di essermi spiegato
  4. File shredder: è necessario utilizzare un app file shredder per cancellare documenti sensibili? Poiché immagino la risposta sia "ovviamente si", vi è una app gratuita e sicura da poter utilizzare?
Clicca per espandere...
1. Su Aegis devi fare il backup, quindi una volta impostati tutti gli account li esporti in un file e lo conservi altrove nel caso in cui il telefono si rompa, vada perso etc. Idem se cambi telefono.
2. Si.
3. Si, è importante conservarli e praticamente tutti i siti li forniscono.
4. Solo se i documenti sono su un disco meccanico, se sono su SSD o telefono no.
 
Sto provando ad applicare tutte le linee guida che avete trattato nel thread e nei messaggi, scusate se faccio altre domande ma spero poi possano rilevarsi utili anche per altri futuri utenti:
  1. Dall'account Microsoft sono riuscito a disabilitare la 2FA tramite mail, ma è rimasta quella via SMS. In pratica, non lascia impostare esclusivamente come metodo di 2FA l'App di autenticazione, ma richiede almeno il numero di telefono o la mail. Se per caso avete un account microsoft, vi chiedo se questo vi torni
  2. Dovrei eliminare le email di recupero delle password? Cioè, immagino che non si debbano utilizzare per lo stesso concetto per il quale non bisogna utilizzare le mail come 2FA
  3. Dall'account Google la 2FA avviene tramite l'App di autenticazione e tramite "Google Prompt" (ossia da telefono in cui sei loggato con account google). Quest'ultimo non mi risulta disattivabile a meno di non uscire dall'Account google del telefono. Mi chiedo quindi se posso considerare comunque "sicuro"
  4. Dall'account microsoft ho visto che, praticamente su base giornaliera, qualcuno prova ad accedere al mio account, fallendo (tant'è che nei tentativi d'accesso viene fuori che l'accesso è fallito per password errata). L'account avrà una quindicina d'anni e pertanto magari è stato recuperato da qualche data breach. Mi chiedo se posso comunque ritenermi "tranquillo" oppure se sia meglio aprire un account ex-novo e cambiare gli indirizzi mail degli account associati alla mail
Scusate le tante domande, ho approfittato della pausa invernale per diventare più coscienzioso sui temi di sicurezza
 
Strio ha detto:
Sto provando ad applicare tutte le linee guida che avete trattato nel thread e nei messaggi, scusate se faccio altre domande ma spero poi possano rilevarsi utili anche per altri futuri utenti:
  1. Dall'account Microsoft sono riuscito a disabilitare la 2FA tramite mail, ma è rimasta quella via SMS. In pratica, non lascia impostare esclusivamente come metodo di 2FA l'App di autenticazione, ma richiede almeno il numero di telefono o la mail. Se per caso avete un account microsoft, vi chiedo se questo vi torni
  2. Dovrei eliminare le email di recupero delle password? Cioè, immagino che non si debbano utilizzare per lo stesso concetto per il quale non bisogna utilizzare le mail come 2FA
  3. Dall'account Google la 2FA avviene tramite l'App di autenticazione e tramite "Google Prompt" (ossia da telefono in cui sei loggato con account google). Quest'ultimo non mi risulta disattivabile a meno di non uscire dall'Account google del telefono. Mi chiedo quindi se posso considerare comunque "sicuro"
  4. Dall'account microsoft ho visto che, praticamente su base giornaliera, qualcuno prova ad accedere al mio account, fallendo (tant'è che nei tentativi d'accesso viene fuori che l'accesso è fallito per password errata). L'account avrà una quindicina d'anni e pertanto magari è stato recuperato da qualche data breach. Mi chiedo se posso comunque ritenermi "tranquillo" oppure se sia meglio aprire un account ex-novo e cambiare gli indirizzi mail degli account associati alla mail
Scusate le tante domande, ho approfittato della pausa invernale per diventare più coscienzioso sui temi di sicurezza
Clicca per espandere...
1. Sì, ho controllato e anche a me è così. Anche se ho attiva la 2FA con app devo avere per forza o un indirizzo email o un numero di telefono
2. Ove possibile sì, meglio lasciare unicamente la 2FA con app (conservando con cura i codici di backup)
3. Sì
4. Con una password complessa (casuale, lunga almeno 16 caratteri con lettere minuscole, maiuscole, numeri e simboli), ben custodita (in un password manager come per esempio BitWarden) e la verifica in due fattori è veramente difficile che riescano ad entrare
 
Pubblicità
Pubblicità
Indietro
Top