Difesa Cybersecurity Awareness Month: Tieni al sicuro i tuoi dati

0xbro

Moderatore
24 Febbraio 2017
3,486
2,667
959
Ultima modifica:
Scopri come tenere al sicuro i tuoi dati utilizzando i password managers, come generare password sicure e come verificare se sei stato vittima di Data Leaks in questo primo articolo del Cybersecurity Awareness Month.​

photo-1614064643392-8dd713152ae9

Cybersecurity Awareness Month: Tieni al sicuro i tuoi dati​

Tempo di lettura stimato: 9 min






1    Cos'è il Cybersecurity Awareness Month


Non tutti lo sanno ma Ottobre e Novembre, da un lontano 2004 in casa USA, sono i mesi dedicati alla sensibilizzazione delle tematiche inerenti alla sicurezza informatica. Il National Cyber Security Awarness Month, dunque, non solo ci riguarda direttamente, ma è un vero e proprio periodo di "emancipazione" di queste tematiche, dove addetti ai lavori (e non) si scambiano pillole di sapere e suggerimenti, sia per rimanere sempre al passo coi tempi, sia per aiutare e formare un sempre più crescente pubblico digitale che non sempre si trova a proprio agio nell'immenso mare del web, tra pubblicità, cookies, newsletters e chi più ne ha più ne metta.

Come tanti altri, anche noi abbiamo deciso di promuovere questa splendida iniziativa, decidendo di pubblicare diversi articoli (di difficoltà crescente ma alla portata di tutti) nel corso del mese, in modo da trattare più argomenti possibili (e affrontare l'eterna sfida che vede "i nativi digitali" provare ad educare i "tardivi ed immigrati digitali").​



2    Password Managers: la "casa dolce casa" per le tue password

Nonostante un discreto miglioramento negli anni, gli internauti ancora oggi hanno un rapporto di amore e odio (forse più odio) con le password. Le stime percentuale rinvenute in questo 2020 infatti mostrano come circa il 34% della popolazione italiana utilizzi la stessa password per più siti, il 49% delle persone aggiorni la propria password al massimo una sola volta all'anno, ma soprattutto come il 25% delle persone annoti ancora le password su un foglio di carta o su un blocco note! E' incoraggiante il 38% che fa affidamento alla propria memoria (sperando non siano sempre le stesse credenziali!) ma molto preoccupante è che il 92,6% NON usa, o addirittura NON conosce, i password managers.​

Ma facciamo un passo indietro.

2.1    Cosa sono questi famigerati Password Managers?

Se vogliamo vederla dal punto di vista prettamente metaforico, sono delle vere e proprie casseforti di sicurezza, come quella che hai in banca o a casa dove metti i gioielli e le cose di valore. Sono dei programmi che, come le casseforti, necessitano di UNA e UNA SOLTANTO password (più robusta possibile) per aprirsi, e all'interno contengono tutte quante le altre nostre credenziali, che nella similitudine con la cassaforte sono i nostri gioielli. Questi programmi creano un posto sicuro, criptato, dove salvare tutte le vostre password, in modo tale che anche se un giorno questo file dovesse finire nelle mani sbagliate, senza la password principale (che deve essere ricordata prettamente a memoria) recuperare i dati all'interno risulterà praticamente impossibile (sempre che sia stata usata una password robusta).​

KeePass1.png

Dal mio punto di vista è un giusto compromesso: mi ricorderò per sempre una sola password (quella del mio Password Manager), mentre lui si ricorderà tutte quante le mie per sempre!

La cosa bella dei Password Manager, inoltre, è il fatto che questi programmi siano software locali, cioè "girano" sul computer di chi li utilizza, senza essere nel cloud (esponendo potenzialmente i contenuti a qualche provider di servizi) e senza comunicare informazioni con nessuno. Insomma, ciò che inserisci lì dentro sei sicuro che resta lì dentro.​

2.2    Ma i Password Managers fanno solo questo?

Ovviamente no, ogni programma ha le sue peculiarità e funzionalità utili, tra cui quella di generare in automatico password robuste, auto-completare i form di login, consentire di tenere in memoria la password per fare copia-incolla solo per 10 secondi, e tante altre cose. Per un elenco dettagliato è suggeribile consultare le funzionalità peculiari di ogni programma tramite la documentazione o le varie recensioni online.​

KeePass2.png

2.3    Ma quali sono i vari Password Manager?

Uno dei tanti è KeePass. E' in grado di integrarsi anche con altri Password Manager per altre piattaforme (come Android e iOS), permettendo di muovere in maniera sicura il database tra i vari device, in modo da avere le proprie password sempre con sè. Il programma inoltre è gratuito. E' uno dei candidati come 'must to go' per quanto riguarda i Password Manager per Windows, ma un altro ottimo candidato è Enpass. Un altro tool, a pagamento ma molto valido, è 1Password, disponibile per la maggior parte delle piattaforme. Gli utente Mac, inoltre, hanno a disposizione anche il Keychain, una funzionalità built-in che può essere utilizzata anche come PM (anche se la sua funzionalità non è prettamente quella). Su dispositivi Android esistono i "fratellini" di KeePass: KeePass4Droid e KeePassDroid, mentre su iOS ci sono iKeePass e KeePassium, anche se le alternative sono molte di più. Una lista completa è disponibile qui.

E' giunto quindi il momento: scarica il tuo password manager e riempilo con tutte le tue password. Già che ci sei, aggiorna le più vecchie, e cancellale dalla tua mente. Ci penserà il tuo PM a ricordarle per te!​



3    Password e regole di complessità

Nelle righe precedenti abbiamo parlato di complessità e robustezza delle password, senza però spiegare a cosa ci stessimo esattamente riferendo. Nel gergo colloquiale, una password robusta è una password difficile da indovinare. Tecnicamente parlando, "... la robustezza indica di quanti tentativi ha bisogno un aggressore, ... per indovinarla e violarla". Insomma, il concetto chiave è quello. Quali sono però i fattori che permettano di determinare se una password si possa considerare robusta o meno?​

  1. Fattore di conoscenza e di identità: Tutte le password che all'interno contengono nome, cognome, nome dell'animale domestico, data di nascita, numero di telefono, nome dei parenti, informazioni personali, ecc. sono da considerarsi NON SICURE.​
  2. Fattori di facilità ("password pigre"): Tutte le password di default o le cosiddette "password pigre", come admin, password, 1234, qwerty, password interamente numeriche, doppie parole, ecc. sono da considerarsi come ESTREMAMENTE NON SICURE.​
Inoltre per potersi considerare robusta, una password deve rispettare anche i seguenti requisiti di complessità e lunghezza:
  • La lunghezza minima deve essere di 8 caratteri (se ne consigliano almeno 12)​
  • Devono essere presenti lettere minuscole (a-z)​
  • Devono essere presenti lettere maiuscole (A-Z)​
  • Devono essere presenti numeri arabi (0-9)​
  • Devono essere presenti caratteri speciali (,.-;:_!"£$%&/()=?^* ecc.)​
Per generare password ad hoc ci sono principalmente due modi:
  • Affidarsi ad algoritmi e generatori di password randomiche (come quelli presenti nei vari password manager)​
  • Generarle manualmente, stando però attenti a non inserire elementi personali o semplici da indovinare. Wikipedia offre degli ottimi spunti di riflessione e un'ottima metodologia su come non cadere in questi tranelli. Link al sito.​
Rispettati quindi tutti i criteri descritti sopra, avremo ottenuto una password non indovinabile che, anche in caso di attacco brute force, impiegherebbe 463 anni prima di venir indovinata. Non ci resta altro che salvarla nel nostro password manager di fiducia!

Se invece utilizzi una o più password che non rispettano queste regole, corri a modificarle! Non ci impiegherai più di 5 minuti, ma i tuoi dati ti ringrazieranno a vita!​



4    Pieni voti in security: abilita l'autenticazione a due fattori!

2FA.jpg

Arrivati a questo punto sappiamo dove salvare in modo sicuro le nostre password e sappiamo come generare una password complessa e robusta, ma nonostante tutto abbiamo ancora il sentore di non aver creato un meccanismo sicuro di protezione dei nostri dati. Cosa possiamo fare in più? La risposta è semplice: abilitiamo l'autenticazione a due fattori!

Sebbene ancora poche persone la utilizzino autonomamente, la 2FA è un meccanismo di autenticazione in forte ascesa che aggiunge uno strato di protezione in più ai nostri dati. Per chi non ne avesse mai sentito parlare, la 2FA è un meccanismo che si attiva dopo aver eseguito il consueto login e che, tramite un canale secondario (che può essere il numero di telefono, la mail o una notifica pop-up sul cellulare), verifica che chi sta effettuando il login sia effettivamente la persona che dichiara di essere. Semplificando il funzionamento, questo meccanismo si appoggia su due canali, entrambi di proprietà dell'utente. Nel momento in cui uno di questi due canali viene usato per eseguire un login, l'altro canale viene utilizzato per ottenere conferma sull'identità di chi effettua il login (dando per scontato che un potenziale attaccante abbia accesso a solo uno dei due canali). In questo modo ogni accesso non autorizzato viene stroncato sul nascere.

L'autenticazione a due fattori è ormai, nel 2020, implementata dalla maggioranza dei siti web e portali: se prima solo le banche ne erano i diretti utilizzatori, ora anche siti come Epic Games, Nintendo, Google, Instagram e molti, moltissimi altri, ne hanno concretato il funzionamento. Tra tutti, anche Inforge!

E' banale dirlo ma, ove presente, è un bene attivarne il meccanismo. Non sarà quel messaggio in più a farti perdere tempo per eseguire il login, ma sarà proprio lui, in caso di data-breach, a salvarti dalle mani dei pirati del web.

Cosa aspetti quindi? Corri ad attivare la Two-factor-authentication su tutti i tuoi account! (se già non lo hai fatto, ovviamente :p)​



5    100 e lode: verifica che le tue credenziali non siano presenti online!

L'ultimo passo per assicurarsi che tutto sia in ordine e al sicuro è verificare che le proprie credenziali non siano presenti in data breach pubblici.

Nel corso degli anni sono molti i siti che, purtroppo per gli utenti o per fortuna per la security del sito, hanno subito degli attacchi e hanno sofferto del furto dei dati dei loro database. Giusto per fare degli esempi, Canva (2019), Facebook (2018), Quora (2018), Sony Play Station (2011/2014) sono alcuni dei tanti siti da cui sono stato sottratti i dati personali degli utenti iscritti, tra cui email e password. Questi dati non sempre si sa che fine facciano: talvolta vengono rivenduti, altre volte invece finiscono per essere postati pubblicamente.

Cosa può fare quindi un normale utente per proteggersi da questi leak? Anche in questo caso la risposta è semplice: come prima cosa, è fondamentale adottare tutte le pratiche di sicurezza descritte finora. Se è stato fatto, quanto segue è più un 110 e lode che una vera e propria attività di protezione. Se però, per qualsivoglia motivo, non sono state seguite le best practices, esiste comunque un modo per verificare se i propri dati siano presenti in qualche lista pubblica, consentendo in questo modo di prevenirne l'utilizzo indesiderato proteggendosi da intrusioni malevole.

Una delle risorse in questione è Haveibeenpwned, un sito internet che, una volta ricevuta in input una email, verifica che questa non sia presente in qualche data leak pubblico.​

haveibeenpwned.png

haveibeenpwned2.png


Una volta scoperto (come nel caso sopra riportato) che la propria email è in un data leak pubblico, è fondamentale aggiornare le credenziali di quel sito al più presto ed attivarne la 2FA nel caso ce ne sia la possibilità, in modo da evitare che qualche malintenzionato possa accedere al vostro account (ed eventualmente annullare la sessione nel caso qualcuno fosse già connesso).

Un alternativa al sito sopracitato, per il momento, può essere il bot di casa Inforge denominato SpiderBot, che ogni giorno va alla ricerca di leak di email, password e altri dati. E' cosa saggia e consigliabile dunque controllare quotidianamente la sezione del forum Data Leaks, in modo da restare sempre aggiornati su possibili nuove liste pubbliche contenenti i nostri dati.
La ricerca dei propri dati (soprattutto quelli indesiderati) online è un'attività molto lunga e dispendiosa, da eseguire in maniera costante, che tratteremo nel dettaglio in un prossimo articolo. Haveibeenpwned e SpiderBot non sono gli unici strumenti esistenti con questo compito, come loro ci sono tanti altri siti (come ad esempio GhostProject e BreachAlarm) e bot che scandagliano ogni giorno internet in cerca di nuovi leak. Per adesso ci basta focalizzarci su questi due, ma in qualche futuro articolo tratteremo con maggiore dettaglio gli strumenti e le metodologie per ricercare i nostri dati online e rimuoverli.​



6    Conclusioni

Per oggi questo primo articolo si conclude qua. Per quanto il mondo della cybersecurity sia estremamente vasto e complesso, è sempre un bene ritornare ogni tanto su quegli aspetti fondamentali che spesso vengono ignorati ma che, se rispettati, possono fare la differenza e risparmiare tediose procedure di messa in sicurezza dei propri dati. Per quanto questi suggerimenti possano sembrare banali e superflui, sono proprio queste piccole che quotidianamente ci permettono di proteggerci dai sempre più insistenti malintenzionati della rete.

Come hanno mostrato le statistiche del primo capitolo , sono ancora molti gli internauti che ignorano i rischi e i pericoli del network. Non essere uno di loro, scegli la sicurezza. Ne beneficerai tu, ne beneficeranno i tuoi dati.


E tu? Vuoi condividere qualcosa? Dicci la tua nei commenti sotto!
A presto col prossimo numero di "Cybersecurity Awareness Month"!


Made with ❤ for Inforge

 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker

DonRaffae

Utente Silver
11 Ottobre 2020
94
62
52
La domanda che mi pongo da ignorante in materia, i password manager sono davvero così sicuri ed inviolabili? O comunque hanno delle vulnerabilità (naturalmente escludendo il fatto di inserire una password debole)
 
  • Mi piace
Reactions: 0xbro

Zeus4

Utente Electrum
26 Settembre 2020
304
83
112
Io non sono proprio un esperto, ma credo che essendo criptati solo una chiave decritta il contenuto. Ovvero la password. Senza questa non puoi vedere niente. Ovvio però che se hai un keylogger vedono la password che digiti. E ti hanno fregato lo stesso.
Messaggio unito automaticamente:

Ma i password manager online? tipo LastPass che funziona come estensione del proprio browser?
Di questi non saprei, ma solo al pensiero che le mie psw sono tenute online... uhmm.
 
  • Mi piace
Reactions: emina e 0xbro
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker

0xbro

Moderatore
24 Febbraio 2017
3,486
2,667
959
Ma i password manager online? tipo LastPass che funziona come estensione del proprio browser?
Diciamo che i Password Manager online sono un "rapporto di fiducia" con i fornitori. Essendo tutto in mano loro, una persona non può sapere al 100% se queste saranno mantenute al sicuro, deve per forza fidarsi. Io preferisco molto di più quelli che si installano in locale, ancora meglio quelli che non hanno proprio bisogno di installazione, come ad esempio KeePass che dispone delle versione portable

La domanda che mi pongo da ignorante in materia, i password manager sono davvero così sicuri ed inviolabili?
Come la maggior parte dei programmi esistenti, anche questi hanno delle falle, basta vedere per esempio le CVE di KeePass. Sono però vulnerabilità di un programma vecchio, se mantenuti costantemente aggiornati i PW manager sono sicuri. Ancora più sicuri sono i file con le password contenute dentro: i PW manager in verità non contengono dati, ma li leggono e scrivono su un file cifrato con un algoritmo robusto, il cui unico modo per decifrarlo è conoscerne la password. Più la password è robusta, più il file è impossibile da decifrare. Quindi il vero cuore dei nostri dati è questo file, i password manager facilitano le operazioni di lettura e scrittura, ma tutto ciò che conta è contenuto dentro questo file
 

MiLimat

Utente Bronze
15 Marzo 2021
50
7
25
La domanda che mi pongo da ignorante in materia, i password manager sono davvero così sicuri ed inviolabili? O comunque hanno delle vulnerabilità (naturalmente escludendo il fatto di inserire una password debole)
La cosa migliore sarebbe quella di avere un hardware password manager. Questo perché bisogna avere fisicamente il token per poter accedere agli account e quindi non è online. Inoltre le password non vengono nemmeno salvate in locale da un programma e ciò evita eventuali problemi.

Io ti consiglio OnlyKey (OnlyKey Hardware Password Manager | One PIN to remember). Mi trovo benissimo ad utilizzarlo.
E' un progetto Open Source e chi se ne intende può visionare il codice su GitHub.

In un unico token:
  1. hardware password manager
  2. 2- factor token, che supporta Google Authenticator e in generale U2F (Universal 2nd Factor)
  3. SSH Authentication, per un login passwordless
  4. la possibilità di criptare file sensibili o messaggi, da inviare tramite email
  5. e tanto ...
 
  • Mi piace
Reactions: DonRaffae
Supporta Inforge con una donazione