Cari Webprepper, oggi affrontiamo il tema importantissimo di avere password difficili e diverse per i nostri tanti account con un unico sistema semplice: il gestore di password.
Ci sono moltissimi gestori di password ma hanno tutti caratteristiche diverse.
Che cosa è un Password Manager e perché dovreste averlo?
Se frequentate il canale webprepping o simili, probabilmente vi è chiaro perché sia utile e necessario avere un gestore di password.
Ma se siete utenti comuni è importante che sappiate che la maggior parte degli attacchi ai vostri dati (in ufficio, on line etc.) comincia con il tentativo di accedere al vostro account con password semplici, strategia che spesso va a buon fine e si conclude con la violazione del sistema.
SE VOLETE LA PANORAMICA CONTINUATE A LEGGERE, ALTRIMENTI PASSATE DIRETTAMENTE ALLA SEZIONE: SOFTWARE CONSIGLIATO DA WEBPREPPING.
L'installazione di un gestore di password è una delle cose più importanti che potete fare per mantenere il vostro account ed i vostri dati sicuri e protetti.
Tutti possono essere in grado di gestire il software per la gestione delle password.
C'è una buona probabilità che le vostre password siano facili o facciano riferimento a vostri dati, e una probabilità ancora più alta che voi utilizziate la stessa password per siti diversi. Questo cosa rende facilissimo per gli hacker, phisher e scammer di arrivare ai vostri dati. Una password lunga, complessa e diversa per ogni sito a cui vi registrate è la cosa migliore da avere. Ma come fare per ricordarle tutte?
Un buon gestore di password calcola le password per voi, gestisce ed archivia tutte le password cifrandole in maniera sicura.
QUALI SONO LE CARATTERISTICHE DI UN BUON PASSWORD MANAGER?
La semplicità, ogni gestore di password deve poter occupare poco spazio e generare una password in pochi clic semplicemente. Tutte le password devono essere salvate in una base di dati trasportabile. Il database (base di dati) deve essere cifrato in maniera sicura con una "master password". Questa sarà l’unica password che dovrete ricordare.
Il programma e la base di dati devono essere trasportabili anche sul cloud senza il rischio che qualcuno vi acceda.
E se rubassero il mio database? non deve esserci problema, un buon gestore di password è cifrato in una maniera forte, quindi è praticamente difficilissimo corromperlo, se non addirittura impossibile.
Ovviamente la master password non dovrà essere semplice.
La base di dati e il programma per aprirli deve essere trasportabile, quindi utilizzabile sul vostro cloud (icloud, google drive etc.) o su chiavette USB e PC nonché i cellulari.
Una scelta opzionale, per spingerci oltre, ma solo rivolta a webprepper paranoici è l’Autenticazione a due fattori (Two-Factor Authentication).
Questo sistema di protezione spinta, utilizza appunto i “Two-Factor” cioè i due fattori: la password principale ed un codice variabile (one shot password) mandato via sms sul tuo cellulare o un USB fisico "chiave" che si collega al computer o ancora l’impronta biometrica.
I due fattori assieme (come alcune banche usano) realizzano l’accesso ai dati.
Altre caratteristiche di un buon gestore di password è quella dell’Integrazione con il browser.
Il Password Manager può offrire la possibilità dell’integrazione con il browser, interfacciandosi con il browser web e li entrando automaticamente per voi nelle sessioni web.
Questo è fondamentale se siete degli incalliti utilizzatori web, la cosa peggiore che possiate fare è rispondere affermativamente alla domanda: “vuoi che safari, firefox, etc. salvi la password per questo sito”? Questo non corrisponde ad una modalità sicura per salvare e gestire le password. A un webprepper non passerebbe per l'anticamera del cervello di fare una cosa del genere, mai!
Il Password Manager professionale mette a disposizione una funzione che si chiama “cattura automatica della password” che si sostituisce alla pratica pericolosa del “ricorda password” del browser. Noi ci sentiamo però di sconsigliare l’utilizzo di questa funzione del Password Manager ancorché professionale.
Una caratteristica importante da ricercare in un Password Manager è quella di poter gestire le modifiche di password automatiche. La regolamentazione sulla privacy e le caratteristiche di vari siti che, ad esempio ogni tre mesi, richiedono di cambiare la parola chiave possono essere implementate dai gestori di password, ma è una caratteristica difficile da governare. La gran parte degli utenti utilizza il numero progressivo, da incollare di solito in coda alla parola chiave (password1, password2, etc.).
Farla amministrare in automatico dal gestore delle password è pericoloso, ci potrebbe accadere infatti di dimenticare la sequenza progressiva, e trovarci nella situazione in cui sono previsti solo 3 tentativi per accedere all’account, rischiando così il blocco e la conseguente azione di reset.
Farsi catturare in automatico la password e farsela gestire in automatico sembra comodo ma ci fa perdere il controllo.
Sopravvivete in maniera furba. Tra tutti gli account ne avete sicuramente alcuni che ogni tanto vi mandano un'email in automatico quando qualcuno (spesso voi) sbaglia più volte la password (google, linkedin etc.) Questa è un’evidenza che quelli sono proprio gli account più ghiotti per gli hacker o preferirei dire “criminali Informatici” come vorrebbe il prof. Ziccardi.
Utilizziamo questa cosa a nostro vantaggio. Cambiamo più spesso proprio quelle password e meno quelle che sono meno appetibili. Questa è una buona norma di sopravvivenza.
Controlli di sicurezza. Alcuni gestori di password hanno una caratteristica fantastica che ci consente di eseguire un controllo delle password sul nostro database, eseguendo una scansione dello stesso e verificando quando si stanno utilizzando password deboli o si stanno ripetendo le stesse password tra i servizi o ancora che si sta utilizzando password non sicure.
La possibilità di importare ed esportare le password dal programma è una delle caratteristiche fondamentali. Esportare le password consente per esempio di stamparle e lasciarne una copia cartacea in un posto sicuro (il vantaggio è che non uso l’informatica, lo svantaggio è l’eventuale furto del foglio e allora sono fregato) o di importarla in altri programmi. Il WEBPREPPER si gestisce con tattiche di sopravvivenza e questa caratteristica è fondamentale in caso di base di dati corrotta. Ovviamente fate più copie del vostro database!!!! Salvare il file di testo con le password in chiaro su un hard disk cifrato esterno potrebbe essere un buon compromesso.
Ogni password manager ha una master password sicura che concede l'accesso totale al sistema di gestione delle password.
Sappiate che se siete veramente paranoici, e non volete digitare la password da un computer o un supporto che non sia il vostro, alcuni gestori di password consentono l’accesso con una password usa e getta.
Questo ci toglierebbe dall’imbarazzo di dire apertamente agli amici (moglie, marito, compagno/a ecc.) che non ci si fida del loro PC, sospettando che magari abbiano una keylogger installata o non sanno di essere vittime di un codice malevolo all’interno del computer. Grazie alla password usa e getta si potrà accedere al proprio gestore di password per una volta e anche se il sistema su cui si esegue l’accesso è compromesso la password non potrà essere utilizzata di nuovo in futuro.
Alcuni gestori di password sono un modo sicuro per condividere le password con un amico, all'interno o al di fuori del quadro di quel particolare gestore di password.
LA SCELTA DI WEB PREPPING:
Keepass - KeepassX
KeePassX è, giustamente, il migliore tra i webpreppes software perchè è un gestore di password solido e controllato dalla comunità. Inoltre, KeePass è completamente open source, portatile, ed estensibile. Gli utenti possono crearsi le estensioni (survival kits) che possono migliorare l'interfaccia KeePass per sincronizzare, per esempio,il database delle password di Dropbox. (molto prepper)
KeePassX però è solo offline ma il suo database può essere sincronizzato tra i computer con un servizio come Dropbox o altri.
Per i survivalisti del web questo non è uno svantaggio, anzi! Proprio il fatto che nessun altro oltre a voi può gestire come vuole il software, diventa un grande vantaggio.
KeePassX è il miglior gestore di password per il survivalista geek che è disposto a scambiare la comodità di sistemi basati su cloud per il controllo totale sul loro sistema di password.
Poi il software è verificato dalla comunità quindi più sicuro.
PER PC e MAC
https://www.keepassx.org/
ANDROID
IPHONE - IPAD
MiniKeePass
PER PRATICAMENTE TUTTE LE PIATTAFORME
ALTRI SOFTWARE CON VARIE LICENZE:
1PASSWORD
DASHLANE
ROBOFORM
LASTPASS
NOTE:
1 Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.il phisher è colui che pratica il phishing.
2 Lo Scam è un tentativo di truffa pianificata con metodi di ingegneria sociale. In genere avviene inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare. Di solito le Scammer sono soggetti malintenzionati che si fingono donne/uomini nelle truffe romantiche.