GUIDA Guida alla sicurezza per neofiti

Pubblicità
2. Invece che Authy io consiglierei Aegis dato che Authy quest'estate è stato bucato e sono trapelati 33 milioni numeri di telefono degli utenti. Con Aegis questo non sarebbe potuto accadere visto che lavora completamente in locale e non richiede alcuna registrazione. Tra l'altro Aegis è anche FOSS, quindi personalmente lo preferisco.
Authy poi non supporta l'esportazione delle credenziali, o almeno, fino a quando l'ho usato io non si poteva fare, quindi per passare ad Aegis dovetti riconfigurare la 2FA in tutti i miei account perdendoci 1 ora.
Aegis invece permette di esportare le credenziali in qualsiasi fomato, sia per fare un backup, che eventualmente per importarle in un altro gestore.

Authy e' stato bucato per colpa di un dipendente che stupidamente ha aperto un'email di phishing che non doveva aprire. Tolto qualche numero di telefono a cui hanno avuto accesso, per il resto gli hackers non hanno intaccato niente, tanto meno sono arrivati ai dati sensibili dei clienti.. che tra le tante cose sono pure criptati. Quindi non se ne facevano niente a priori.

Authy comunque rimane ancora sicuro.


Sto provando ad applicare tutte le linee guida che avete trattato nel thread e nei messaggi, scusate se faccio altre domande ma spero poi possano rilevarsi utili anche per altri futuri utenti:
  1. Dall'account Microsoft sono riuscito a disabilitare la 2FA tramite mail, ma è rimasta quella via SMS. In pratica, non lascia impostare esclusivamente come metodo di 2FA l'App di autenticazione, ma richiede almeno il numero di telefono o la mail. Se per caso avete un account microsoft, vi chiedo se questo vi torni

Se sei obbligato a lasciare quella SMS allora lasciala. Importante e' che togli quella tramite email.

  1. Dovrei eliminare le email di recupero delle password? Cioè, immagino che non si debbano utilizzare per lo stesso concetto per il quale non bisogna utilizzare le mail come 2FA
Le email di recupero sono un'ultima spiaggia che ti concede Microsoft. Non hai bisogno di recuperare niente, anche perche' per le password puoi tenere un password manager gratuito come Bitwarden. Se non hai mai usato Bitwarden mi dici e ti metto delle guide.


  1. Dall'account Google la 2FA avviene tramite l'App di autenticazione e tramite "Google Prompt" (ossia da telefono in cui sei loggato con account google). Quest'ultimo non mi risulta disattivabile a meno di non uscire dall'Account google del telefono. Mi chiedo quindi se posso considerare comunque "sicuro"

Non ricordo, forse prima ti devi sloggare. Se non e' possibile rimuovere il prompt allora lascialo.


  1. Dall'account microsoft ho visto che, praticamente su base giornaliera, qualcuno prova ad accedere al mio account, fallendo (tant'è che nei tentativi d'accesso viene fuori che l'accesso è fallito per password errata). L'account avrà una quindicina d'anni e pertanto magari è stato recuperato da qualche data breach. Mi chiedo se posso comunque ritenermi "tranquillo" oppure se sia meglio aprire un account ex-novo e cambiare gli indirizzi mail degli account associati alla mail

Vuol dire che qualcuno sta cercando di accedere alla tua email. Se hai una fortissima password ed un 2FA attivato non succede niente. Gli hackers continueranno a sbattere la loro testa contro un muro.

Visto che hai un account iper vecchio la cosa migliore comunque sarebbe chiudere manualmente l'account in questione, e poi crearne uno nuovo da zero. Prima di chiuderlo pero' devi cambiare l'email associata negli account di siti web e forum dove sei registrato.
 
Authy e' stato bucato per colpa di un dipendente che stupidamente ha aperto un'email di phishing che non doveva aprire. Tolto qualche numero di telefono a cui hanno avuto accesso, per il resto gli hackers non hanno intaccato niente, tanto meno sono arrivati ai dati sensibili dei clienti.. che tra le tante cose sono pure criptati. Quindi non se ne facevano niente a priori.

Authy comunque rimane ancora sicuro.
Mi dispiace ma ormai hanno perso la mia fiducia.
Io lo usavo e mi trovavo anche bene, lo avevo scelto soprattutto per la sua versione desktop, quindi già quando hanno tolto il supporto al programma desktop mi sono infastidito non poco, ma alla notizia dei numeri di telefono ho detto basta e sono passato ad Aegis (tra l'altro con non poca fatica visto che Authy non mi permetteva di esportare la configurazione...)
Non vedo perchè iscriversi ad un servizio dando il proprio numero di telefono quando si può avere lo stesso servizio in locale.
 
Vi ringrazio tanto per i consigli, con il vostro aiuto credo di essere riuscito ad aumentare notevolmente la sicurezza dei miei account: ho infatti seguito tutti i consigli al primo post impostando Bitwarden, cambiando tutte le password e impostando 2FA tramite App autenticazione (o al massimo SMS se fosse necessario impostare altro modo per accedere).
Italicus Magnus, ti confermo che ho anche guardato il video guida su Bitwarden che hai consigliato ad altri utenti.

Continuo con le domande con l'obiettivo di approfondire l'argomento sicurezza, sempre se abbiate tempo e voglia di rispondere
  1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA
  2. E' più "difficile" penetrare una mail o un numero di telefono? Non so se la domanda così formulata abbia senso, ma mi piacerebbe capire quanto è difficile per un hacker che conosce il mio numero di telefono intercettare le comunicazioni che arrivano su di esso (es. leggere i miei messaggi)
  3. Come App Authenticator ho impostato Aegis. Dove dovrei salvare il backup criptato? Altrove online gli utenti dicono che, trattandosi di un file criptato, è possibile impostare un backup automatico in qualsiasi share online (OneDrive/Google Drive) dato che anche se un hacker lo intercettasse, comunque non conoscerebbe la password. Voi cosa ne pensate? A me la soluzione di impostare un backup su un drive online sembra una soluzione estremamente comoda in caso di emergenza, ma mi spaventa rispetto ad un backup fisico in una chiavetta conservata in luogo sicuro

Grazie e buon anno.
 
Vi ringrazio tanto per i consigli, con il vostro aiuto credo di essere riuscito ad aumentare notevolmente la sicurezza dei miei account: ho infatti seguito tutti i consigli al primo post impostando Bitwarden, cambiando tutte le password e impostando 2FA tramite App autenticazione (o al massimo SMS se fosse necessario impostare altro modo per accedere).
Italicus Magnus, ti confermo che ho anche guardato il video guida su Bitwarden che hai consigliato ad altri utenti.

Continuo con le domande con l'obiettivo di approfondire l'argomento sicurezza, sempre se abbiate tempo e voglia di rispondere
  1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA
  2. E' più "difficile" penetrare una mail o un numero di telefono? Non so se la domanda così formulata abbia senso, ma mi piacerebbe capire quanto è difficile per un hacker che conosce il mio numero di telefono intercettare le comunicazioni che arrivano su di esso (es. leggere i miei messaggi)
  3. Come App Authenticator ho impostato Aegis. Dove dovrei salvare il backup criptato? Altrove online gli utenti dicono che, trattandosi di un file criptato, è possibile impostare un backup automatico in qualsiasi share online (OneDrive/Google Drive) dato che anche se un hacker lo intercettasse, comunque non conoscerebbe la password. Voi cosa ne pensate? A me la soluzione di impostare un backup su un drive online sembra una soluzione estremamente comoda in caso di emergenza, ma mi spaventa rispetto ad un backup fisico in una chiavetta conservata in luogo sicuro

Grazie e buon anno.
1. La cosa migliore sarebbe farlo uscire completamente dall'account quando chiudi il browser, in modo tale che richieda password e codice rendendoti così immune ad un eventuale attacco con clone della sessione + keylogger. Però è abbastanza scomodo, quindi valuta tu, si tratta di bilanciare sicurezza e comodità
2. Il numero è più sicuro di un'email, qualche anno fa l'AGCOM ha anche fatto delle norme per proteggere ulteriormente gli utenti dal SIM-swap. Dal punto di vista della privacy però è meglio evitare di dare il numero ai siti.
3. Ti consiglio di copiarlo semplicemente sul PC, eventualmente anche in una chiavetta per avere una doppia sicurezza
 
  1. Per l'estensione di Bitwarden l'impostazione di default è che in caso di inattività/chisura dei browser la cassaforte si "blocchi". In questo modo però non mi chiede la 2FA quando sblocco la cassaforte. Ritenete sia più sicuro impostare l'uscita dall'account (e non solo il blocco della cassaforte) in caso di inattività/chiusura del browser? Immagino che, clonando la sessione del mio computer, un eventuale hacker troverebbe "solo" la cassaforte bloccata e quindi bypasserebbe la necessità di 2FA

Se hai gia' migrato e modificato tutte le passwords, Il timeout puoi lasciarlo settato a cinque minuti. Si puoi settarlo che si blocca quando chiudi il browser, ma il punto e' che non hai bisogno di lasciare Bitwarden aperto tutto il tempo se le passwords sono a posto. Meno Bitwarden sta aperto meglio e'.
 
Ciao, ma Aegis c'è anche la versione per desktop?
Sarebbe comodo avere la versione per desktop, altrimenti servirebbe sempre il cellulare a portata di mano per accedere alle varie app.
 
Lo scopo dei codici generati tramite smartphone e' quello di evitare le vulnerabilita' che potresti avere su un pc non protetto.

Che io sappia non ci sta una versione desktop.
 
Con Aegis questo non sarebbe potuto accadere visto che lavora completamente in locale e non richiede alcuna registrazione.
quindi l'unica accortezza sarebbe quello di fare periodicamente backup per poi salvarlo altrove fuori dal telefono, altrimenti perderei tutto se il telefono mi si sfanciulla

se perdo il telefono e il backup conservato altrove è precedente a un nuovo account con 2fa che avevo creato da poco, me lo sono perso per sempre quell'account, ecco perché preferisco la sincronizzazione automatica criptata e non solo in locale, come succede ad esempio col gestore password bitwarden

a me interesserebbe un 2FA sicuro, che sincronizza i dati, che li cripta anche non solo in locale, permettendo l'operatività anche da un nuovo dispositivo anche se ho perso il precedente e non ho backup a salvarmi, non per forza un FOSS, basta che sia affidabile e che abbia queste caratteristiche, che permetta di esportare i dati per poterli importare facilmente anche in un altro 2FA nel caso cambiassi idea

purtroppo ho trascurato questa cosa per troppo tempo e sto ancora continuando con OTP basico, purtroppo via sms o email a seconda del servizio, ma conosco la realtà di minor protezione in confronto a un 2FA serio

ho notato ora "bitwarden authenticator" di cui non conoscevo l'esistenza, uso da tempo solo il loro gestore di password, ma vorrei un 2FA diverso da bitwarden così se lo bucano almeno non hanno accesso anche alle 2FA, chiamatela prevenzione, chiamatela come volete, ma per fare le cose in modo sicuro

non vedo info a riguardo di Aegis ... di dove sono sti qua?
ad esempio quelli di Authy sono statunitensi
 
quindi l'unica accortezza sarebbe quello di fare periodicamente backup per poi salvarlo altrove fuori dal telefono, altrimenti perderei tutto se il telefono mi si sfanciulla

se perdo il telefono e il backup conservato altrove è precedente a un nuovo account con 2fa che avevo creato da poco, me lo sono perso per sempre quell'account, ecco perché preferisco la sincronizzazione automatica criptata e non solo in locale, come succede ad esempio col gestore password bitwarden

a me interesserebbe un 2FA sicuro, che sincronizza i dati, che li cripta anche non solo in locale, permettendo l'operatività anche da un nuovo dispositivo anche se ho perso il precedente e non ho backup a salvarmi, non per forza un FOSS, basta che sia affidabile e che abbia queste caratteristiche, che permetta di esportare i dati per poterli importare facilmente anche in un altro 2FA nel caso cambiassi idea

purtroppo ho trascurato questa cosa per troppo tempo e sto ancora continuando con OTP basico, purtroppo via sms o email a seconda del servizio, ma conosco la realtà di minor protezione in confronto a un 2FA serio

ho notato ora "bitwarden authenticator" di cui non conoscevo l'esistenza, uso da tempo solo il loro gestore di password, ma vorrei un 2FA diverso da bitwarden così se lo bucano almeno non hanno accesso anche alle 2FA, chiamatela prevenzione, chiamatela come volete, ma per fare le cose in modo sicuro

non vedo info a riguardo di Aegis ... di dove sono sti qua?
ad esempio quelli di Authy sono statunitensi
Alla fine una volta impostati tutti gli OTP in Aegis e salvato il backup cifrato da qualche parte sei apposto, non è che ogni giorno si configura un nuovo account.
Poi nella remota possibilità in cui la configurazione vada persa ci sono comunque i codici di backup che forniscono i siti
 
Poi nella remota possibilità in cui la configurazione vada persa ci sono comunque i codici di backup che forniscono i siti
se lo facessero tutti i siti
se non c'è nulla di meglio di bitwarden autenticator, che sincronizzi

poi ho visto 2FAS ma pare funzionare similmente a Aegis se ho capito bene
 
se lo facessero tutti i siti
se non c'è nulla di meglio di bitwarden autenticator, che sincronizzi

poi ho visto 2FAS ma pare funzionare similmente a Aegis se ho capito bene
Io uso la 2FA con tantissimi siti e tutti mi hanno fatto salvare dei codici di backup, quindi codici di backup + backup della configurazione e direi che è praticamente impossibile rimanere fuori dagli account
 
Ciao, provo a chiedervi un lume su mail per il recupero della password (premetto che uso come suite di sicurezza Kaspersky standard, Bitwarden come password manager e ho abilitato la 2FA ove possibile).
Non sarebbe meglio impostare comunque una mail di recupero della password? (Quindi non da utilizzare come 2FA, ma solo come recupero della password). Cioè, nel malaugurato caso qualche malintenzionato riesca ad accedere alla mia mail e riesca a modificarne la password, senza una mail di recupero della password rischierei di "rimanere fuori": mi sbaglio?

Inoltre, una ulteriore idea era quella di "diversificare" le mail utilizzando account distinti:
  • 1 Account mail dedicato agli account più importanti (penso ad esempio dedicato a banche/conti)
  • 1 Account mail dedicato ad altri aspetti importanti, ma non essenziali come quelli citati sopra (es. Social)
  • 1 Account mail "spazzatura" (es. iscrizione a qualsiasi altro servizio di bassissima importanza)
Ha senso o si rasenta la paranoia?
 
Ciao, provo a chiedervi un lume su mail per il recupero della password (premetto che uso come suite di sicurezza Kaspersky standard, Bitwarden come password manager e ho abilitato la 2FA ove possibile).
Non sarebbe meglio impostare comunque una mail di recupero della password? (Quindi non da utilizzare come 2FA, ma solo come recupero della password). Cioè, nel malaugurato caso qualche malintenzionato riesca ad accedere alla mia mail e riesca a modificarne la password, senza una mail di recupero della password rischierei di "rimanere fuori": mi sbaglio?
Per cambiare la password di solito viene anche chiesta la 2FA, poi per ripristinarla di solito viene sia mandata un'email che richiesta la 2FA
Inoltre, una ulteriore idea era quella di "diversificare" le mail utilizzando account distinti:
  • 1 Account mail dedicato agli account più importanti (penso ad esempio dedicato a banche/conti)
  • 1 Account mail dedicato ad altri aspetti importanti, ma non essenziali come quelli citati sopra (es. Social)
  • 1 Account mail "spazzatura" (es. iscrizione a qualsiasi altro servizio di bassissima importanza)
Ha senso o si rasenta la paranoia?
Certo che ha senso.
Anzi, almeno per le cose molto importanti ti consiglio di aprire una casella di posta elettronica su un servizio più attento alla privacy come Tutanota o ProtonMail.
Poi, invece di usare più indirizzi per suddividere puoi anche usare un servizio tipo SimpleLogin, che ti mette a disposizione fino a 10 indirizzi alias che reindirizzano la posta a quella principale, quindi puoi usarne una per i social, una per i forum, una per google etc. (e se da una di queste inizia ad arrivare spam puoi cambiarla e poi disattivarla con un click)
Per servizi veramente essenziali però ti consiglio di tenere l'email reale.

Invece nel caso di siti web che per esempio ti costringono a registrarti per scaricare un file puoi direttamente usare le email temporanee: https://temp-mail.org/it/
 
Intanto grazie come sempre.
Provo a chiederti un chiarimento su questo:
Per cambiare la password di solito viene anche chiesta la 2FA, poi per ripristinarla di solito viene sia mandata un'email che richiesta la 2FA
Se un malintenzionato fosse riuscito ad accedere ad una mail vorrebbe dire che è riuscito a superare la 2FA, quindi ipotizzo riesca a cambiare la password.
Per intervenire per recuperare l'account utilizzando la funzione "hai dimenticato la password?" immagino sia necessario aver fornito un altro indirizzo mail di back-up. Se capisco bene, però, inserire un indirizzo mail di back-up per recuperare la password è svantaggioso perché darebbe all'attaccante un qualche tipo di altro vantaggio. Sbaglio?
Mi scuso se mi sono spiegato male, ma da quando mi sono messo a leggere le vicende che succedono ad altri utenti al forum sono diventato un po' paranoico 😂
 
Pubblicità
Pubblicità
Indietro
Top