GUIDA Guida alla sicurezza per neofiti

[Italicus Magnus]

2. Invece che Authy io consiglierei Aegis dato che Authy quest'estate è stato bucato e sono trapelati 33 milioni numeri di telefono degli utenti. Con Aegis questo non sarebbe potuto accadere visto che lavora completamente in locale e non richiede alcuna registrazione. Tra l'altro Aegis è anche FOSS, quindi personalmente lo preferisco.
Authy poi non supporta l'esportazione delle credenziali, o almeno, fino a quando l'ho usato io non si poteva fare, quindi per passare ad Aegis dovetti riconfigurare la 2FA in tutti i miei account perdendoci 1 ora.
Aegis invece permette di esportare le credenziali in qualsiasi fomato, sia per fare un backup, che eventualmente per importarle in un altro gestore.

Authy e' stato bucato per colpa di un dipendente che stupidamente ha aperto un'email di phishing che non doveva aprire. Tolto qualche numero di telefono a cui hanno avuto accesso, per il resto gli hackers non hanno intaccato niente, tanto meno sono arrivati ai dati sensibili dei clienti.. che tra le tante cose sono pure criptati. Quindi non se ne facevano niente a priori.

Authy comunque rimane ancora sicuro.

Sto provando ad applicare tutte le linee guida che avete trattato nel thread e nei messaggi, scusate se faccio altre domande ma spero poi possano rilevarsi utili anche per altri futuri utenti:

1. Dall'account Microsoft sono riuscito a disabilitare la 2FA tramite mail, ma è rimasta quella via SMS. In pratica, non lascia impostare esclusivamente come metodo di 2FA l'App di autenticazione, ma richiede almeno il numero di telefono o la mail. Se per caso avete un account microsoft, vi chiedo se questo vi torni

Se sei obbligato a lasciare quella SMS allora lasciala. Importante e' che togli quella tramite email.

1. Dovrei eliminare le email di recupero delle password? Cioè, immagino che non si debbano utilizzare per lo stesso concetto per il quale non bisogna utilizzare le mail come 2FA

Le email di recupero sono un'ultima spiaggia che ti concede Microsoft. Non hai bisogno di recuperare niente, anche perche' per le password puoi tenere un password manager gratuito come Bitwarden. Se non hai mai usato Bitwarden mi dici e ti metto delle guide.

1. Dall'account Google la 2FA avviene tramite l'App di autenticazione e tramite "Google Prompt" (ossia da telefono in cui sei loggato con account google). Quest'ultimo non mi risulta disattivabile a meno di non uscire dall'Account google del telefono. Mi chiedo quindi se posso considerare comunque "sicuro"

Non ricordo, forse prima ti devi sloggare. Se non e' possibile rimuovere il prompt allora lascialo.

1. Dall'account microsoft ho visto che, praticamente su base giornaliera, qualcuno prova ad accedere al mio account, fallendo (tant'è che nei tentativi d'accesso viene fuori che l'accesso è fallito per password errata). L'account avrà una quindicina d'anni e pertanto magari è stato recuperato da qualche data breach. Mi chiedo se posso comunque ritenermi "tranquillo" oppure se sia meglio aprire un account ex-novo e cambiare gli indirizzi mail degli account associati alla mail

Vuol dire che qualcuno sta cercando di accedere alla tua email. Se hai una fortissima password ed un 2FA attivato non succede niente. Gli hackers continueranno a sbattere la loro testa contro un muro.

Visto che hai un account iper vecchio la cosa migliore comunque sarebbe chiudere manualmente l'account in questione, e poi crearne uno nuovo da zero. Prima di chiuderlo pero' devi cambiare l'email associata negli account di siti web e forum dove sei registrato.

 

[Eren88]

Authy e' stato bucato per colpa di un dipendente che stupidamente ha aperto un'email di phishing che non doveva aprire. Tolto qualche numero di telefono a cui hanno avuto accesso, per il resto gli hackers non hanno intaccato niente, tanto meno sono arrivati ai dati sensibili dei clienti.. che tra le tante cose sono pure criptati. Quindi non se ne facevano niente a priori.

Authy comunque rimane ancora sicuro.

Mi dispiace ma ormai hanno perso la mia fiducia.
Io lo usavo e mi trovavo anche bene, lo avevo scelto soprattutto per la sua versione desktop, quindi già quando hanno tolto il supporto al programma desktop mi sono infastidito non poco, ma alla notizia dei numeri di telefono ho detto basta e sono passato ad Aegis (tra l'altro con non poca fatica visto che Authy non mi permetteva di esportare la configurazione...)
Non vedo perchè iscriversi ad un servizio dando il proprio numero di telefono quando si può avere lo stesso servizio in locale.

 

[Italicus Magnus]

Aegis va bene uguale.

 

[Strio]

Vi ringrazio tanto per i consigli, con il vostro aiuto credo di essere riuscito ad aumentare notevolmente la sicurezza dei miei account: ho infatti seguito tutti i consigli al primo post impostando Bitwarden, cambiando tutte le password e impostando 2FA tramite App autenticazione (o al massimo SMS se fosse necessario impostare altro modo per accedere).
Italicus Magnus, ti confermo che ho anche guardato il video guida su Bitwarden che hai consigliato ad altri utenti.

Continuo con le domande con l'obiettivo di approfondire l'argomento sicurezza, sempre se abbiate tempo e voglia di rispondere

1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA
2. E' più "difficile" penetrare una mail o un numero di telefono? Non so se la domanda così formulata abbia senso, ma mi piacerebbe capire quanto è difficile per un hacker che conosce il mio numero di telefono intercettare le comunicazioni che arrivano su di esso (es. leggere i miei messaggi)
3. Come App Authenticator ho impostato Aegis. Dove dovrei salvare il backup criptato? Altrove online gli utenti dicono che, trattandosi di un file criptato, è possibile impostare un backup automatico in qualsiasi share online (OneDrive/Google Drive) dato che anche se un hacker lo intercettasse, comunque non conoscerebbe la password. Voi cosa ne pensate? A me la soluzione di impostare un backup su un drive online sembra una soluzione estremamente comoda in caso di emergenza, ma mi spaventa rispetto ad un backup fisico in una chiavetta conservata in luogo sicuro

Grazie e buon anno.

 

[Eren88]

Vi ringrazio tanto per i consigli, con il vostro aiuto credo di essere riuscito ad aumentare notevolmente la sicurezza dei miei account: ho infatti seguito tutti i consigli al primo post impostando Bitwarden, cambiando tutte le password e impostando 2FA tramite App autenticazione (o al massimo SMS se fosse necessario impostare altro modo per accedere).
Italicus Magnus, ti confermo che ho anche guardato il video guida su Bitwarden che hai consigliato ad altri utenti.

Continuo con le domande con l'obiettivo di approfondire l'argomento sicurezza, sempre se abbiate tempo e voglia di rispondere

1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA
2. E' più "difficile" penetrare una mail o un numero di telefono? Non so se la domanda così formulata abbia senso, ma mi piacerebbe capire quanto è difficile per un hacker che conosce il mio numero di telefono intercettare le comunicazioni che arrivano su di esso (es. leggere i miei messaggi)
3. Come App Authenticator ho impostato Aegis. Dove dovrei salvare il backup criptato? Altrove online gli utenti dicono che, trattandosi di un file criptato, è possibile impostare un backup automatico in qualsiasi share online (OneDrive/Google Drive) dato che anche se un hacker lo intercettasse, comunque non conoscerebbe la password. Voi cosa ne pensate? A me la soluzione di impostare un backup su un drive online sembra una soluzione estremamente comoda in caso di emergenza, ma mi spaventa rispetto ad un backup fisico in una chiavetta conservata in luogo sicuro

Grazie e buon anno.

1. La cosa migliore sarebbe farlo uscire completamente dall'account quando chiudi il browser, in modo tale che richieda password e codice rendendoti così immune ad un eventuale attacco con clone della sessione + keylogger. Però è abbastanza scomodo, quindi valuta tu, si tratta di bilanciare sicurezza e comodità
2. Il numero è più sicuro di un'email, qualche anno fa l'AGCOM ha anche fatto delle norme per proteggere ulteriormente gli utenti dal SIM-swap. Dal punto di vista della privacy però è meglio evitare di dare il numero ai siti.
3. Ti consiglio di copiarlo semplicemente sul PC, eventualmente anche in una chiavetta per avere una doppia sicurezza

 

[Italicus Magnus]

1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA

Se hai gia' migrato e modificato tutte le passwords, Il timeout puoi lasciarlo settato a cinque minuti. Si puoi settarlo che si blocca quando chiudi il browser, ma il punto e' che non hai bisogno di lasciare Bitwarden aperto tutto il tempo se le passwords sono a posto. Meno Bitwarden sta aperto meglio e'.