#154 – Il password manager

#154 – Il password manager

 
 
00:00 / 11:57
 
1X
 

Abbiamo tante password, troppe password. Per mantenerle al sicuro è necessario rispettare alcune semplici regole che ci impongono di scriverle da qualche parte, ma vanno scritte in un posto sicuro.

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, il vecchio IBAN (contattami per chiedermelo) oppure i BitCoin (vedi QR code nella barra laterale del sito)
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter del podcast e Twitter personale (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se ti serve della consulenza tecnica, puoi avere tutte le informazioni alla mia pagina professionale

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!
Realizzo un altro podcast, prova a ad ascoltarlo, è per veri nerd (e anche per chi vorrebbe diventarlo): GeekCookies

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 154 e io sono, come sempre, Francesco.

Tutti, ormai, volenti o nolenti, abbiamo degli accessi a servizi digitali che prevedono utente e password e ogni tanto anche il secondo fattore di autenticazione, tipicamente un’app sul telefono.
Siamo sommersi da password, una per ogni servizio, tutti ci dicono che vanno usate e tenute in modo sicuro.
Vero, le password vanno gestite, vanno gestite bene e tenute segrete, perché se si dà in giro una propria password ci potrebbero essere ripercussioni anche gravi.
Avete presente l’immane casino che è successo in Twitter? Pare sia nato tutto da una password in chiaro passata da un’app di messaggistica. Ma ne riparleremo in una prossima puntata.
Dareste mai il PIN del bancomat ad un passante? No, perché con quello arriva direttamente sul conto corrente.
E la password della mail? Quella forse è meno pericolosa. Sbagliato.
Chiunque abbia accesso alla vostra mail potrebbe andare a leggere a quali servizi siete iscritti e, usando la mail stessa, potrebbe chiedere il reset di tutte le password per poter accedere indisturbato.
La cosa inizia a far paura.
Quindi, queste sono le regole delle password, che vengono per qualsiasi servizio e che devono essere rispettate in maniera maniacale.

Le password devono essere lunghe, molto lunghe.
Un attacco di forza bruta, per violare una password da 8 caratteri ci mette poche ore, per violarne una da 20 ci mette svariati anni.
Ok, allora iniziate a creare password lunghe, non per forza con simboli, numeri maiuscole o minuscole. Lunghe. Magari 3 o 4 parole che non hanno senso tra di loro.

PQ45!nhu1$ non è una buona password
stradagreenscoziatelefono è una buona password, anche se è tutta minuscola.

Bene, primo punto: password lunghe

Andiamo avanti, le password devono essere diverse per ogni sito e servizio che usate. Tutte diverse. Questo perché capita, sempre più spesso, che qualcuno perda interi DB di password. e se nel DB c’è il vostro username con la relativa password, che usate anche in altri servizi, la prima cosa che qualcuno fa è tentare l’accesso. E lo fanno, oh, se lo fanno. 
Qualche tempo fa stavo guardando un film sul divano e mi è arrivata la notifica dell’autenticazione a due fattori dell’account di Steam.
Ci hanno provato. E ci sono quasi riusciti.
Hanno usato una password trafugata da qualche sito e l’hanno provata sull account di Steam, il sistema a due fattori, per far accedere, ha mandato a me il SMS per la conferma.

Secondo e terzo punto: password diverse per ogni servizio e attivazione dell’autenticazione a due fattori.
Le password, ogni tanto, vanno cambiate, gli esperti dicono che se non c’è stata violazione non è necessario, ma se avete anche solo il dubbio che qualcuno abbia visto la tastiera mentre la scrivevate, beh, cambiatela quando non vi vede più.

Quarto punto: le password vanno cambiate.

Quando vi chiedono le domande di sicurezza, c’è un solo modo per gestire la cosa. Prendete delle domande a caso e mettete delle risposte completamente fuori contesto, segnatevi domande e risposte.
Per esempio, se la domanda è “qual è il nome del tuo primo cane?” come risposta NON (nello scrpit è maiuscolo e grassetto) mettete il nome del primo cane, ma mettete una cosa che non c’entra niente, come ad esempio “Autunno” oppure “chettenefrega”.
Se qualcuno vuole accedere al vostro account, potrebbe cercare di passare dalle domande, se vi conosce, ma se avete messo risposte incongruenti è tutto più difficile.
Segnatevele, ovviamente.
E, perdio, smettete di rispondere ai quiz che escono sui social chiedendovi tutte quelle cose personali per dirvi che siete svegli empatici e floreali. Sono enormi database per attaccare le domande di recupero password. Ok, Smettetela. Anche di condividerli.

Quinto: rispondere fesserie alle domande di recupero e segnarsi le fesserie

Ok, adesso siamo arrivati al punto che abbiamo decine e decine di password, tutte diverse, con anche delle domande strampalate da ricordare.
Ce le dobbiamo segnare. Dove?

Iniziamo da dove non va affatto bene. Ma proprio no.
Un foglio scritto vicino al monitor o sotto la tastiera. NO.
Un file di testo chiamato password, sul desktop o in qualunque altra cartella del PC. NO.
Un file di testo con un nome strano dentro il quale scrivete la parola password, in qualunque cartella del PC. NO.
Un qualunque documento che sia di testo, Word, Excel o altro che faccio doppio click e lo apro. Che sia sul PC o in un servizio cloud. NO.

E allora, dove me le devo scrivere?

Ovviamente nell’unico posto sicuro dove si possano scrivere: in un password manager.

Un password manager è un software che permette di gestire l’archivio delle proprie password in modo strutturato, funzionale e sicuro.

Partiamo dalla sicurezza.
Create l’archivio e impostate la password principale, bella lunga e robusta, una password che non serve che vi segniate da nessuna parte, ve la dovete ricordare.
Senza quella password tutto quello che mettete all’interno del database protetto non potrà mai più essere aperto da nessuno.
Iniziate a inserire dentro tutte le vostre credenziali di accesso con utente, password e sito di riferimento. Tutto quello che mettete lì dentro sarà protetto dalla password principale.
Questo file con tutte le password è talmente sicuro che potete anche usare qualche servizio cloud, per averlo sempre disponibile. 
Ci sono anche dei servizi cloud che fanno solo questo, i password manager.
A questo punto esistono delle funzionalità comodissime che permettono, una volta autenticati nell’applicazione del password manager di inserire le credenziali automaticamente nei siti web che usate o nelle app sullo smartphone. Su smartphone si possono anche sbloccare con l’impronta. Sicuro e comodo da usare.
Un’altra caratteristica importante dei password manager è che le password le generano loro e non è necessario che voi le conosciate, le inseriranno sempre loro per voi e quindi saperle non è necessario.
Con il password manager diventa tutto più facile, archivio sicuro, una sola password da ricordare, password tutte diverse.
Quindi, secondo me, non ci sono scuse per non usare un password manager, proprio nessuna.
Se non ce l’avete, appena finito l’ascolto di questa puntata, prima però arrivate davanti a un PC, non fatelo in auto o in bicicletta, fermatevi e scegliete un password manager.

Avere un password manager è anche comodo in caso di eventi gravi come la vostra morte. Succede a tutti, eh? E alla propria dipartita resteranno decine e decine di account da smantellare, come si fa?
Una busta chiusa, sigillata e firmata sui lembi con le istruzioni per accedere al password manager e la relativa password.
Questa busta la consegnate a una persona della quale vi fidate ciecamente e ogni tanto gli chiedete di farvela vedere ancora chiusa e sigillata.
Succede l’irreparabile e questa persona potrà accedere ai vostri account per chiuderli senza lasciarli vagare in eterno o senza dover fare lunghe procedure burocratiche per farvi fare il reset dai vari servizi

Quale password manager scegliere? Mica facile, ce ne sono una moltitudine in giro.
Il più facile, che lavora completamente offline, per averlo sul telefono dovete passare da Dropbox o da Google Drive, è gratis e open source è Keepass. Ci sono client per ogni piattaforma ed è tutto sommato facile da usare e gestire.
Un altro, open source, ma tutto online, sui loro server o, se si è abbastanza smanettoni su un proprio server virtuale, è BitWarden, è gratis, per funzionalità extra costa 10 dollari all’anno
Una terza alternativa, più strutturata e proprietaria, ma dotata di ottime funzionalità è 1password. Ha sia il piano famiglia che quello personale e ha tariffe a partire da 3 dollari al mese.

Fatelo per voi e fatelo subito, se non usate un password manager, iniziate ad usarlo.
I contatti
Tutte le informazioni per contattarmi o sostenere il podcast li trovate su www.pilloledib.it
Mi trovate su twitter come pilloledibit o cesco_78 oppure via mail scrivendo a pilloledibit@gmail.com. Il gruppo telegram è comunque il miglior modo per partecipare.
Se volete donare qualcosa potete usare Paypal o Satispay, se donate più di 5€ vi spedisco gli adesivi, se vi abbonate a 5€ al mese vi mando la tessera numerata e arriveranno contenuti esclusivi.
Grazie a chi ha contribuito!

Se volete una consulenza tecnica in campo informatico trovate le informazioni su www.iltucci.com/consulenze e se volete sponsorizzare una puntata del podcast, le informazioni sono su www.pilloledib.it/sponsor

Ho accorciato la noia dei contatti e del supporto, ci ho messo solo 153 puntate…

Il tip

Esiste anche in podcast, ma oggi vi consiglio una newsletter, sempre a tema digitale, anzi, molto orientata alla sicurezza.
Carola Frediani invia la newsletter Guerre di Rete tutte le domeniche, sempre contenuti interessanti, scritta molto bene, quasi un giallo, dove a volte il colpevole la fa franca, ma sono tutti fatti reali.
E’ abbastanza lunga e se non volete o avete tempo di leggere, da qualche settimana c’è anche un podcast.
E’ estate, quindi adesso è in pausa, ma al link che vi lascio nelle note ci sono tutti i 150 e passa invii fatti, da leggere, magari comodamente sdraiati sotto l’ombrellone

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata. Grazie per avermi ascoltato!

Ciao!