In molte discussioni ritorna come off-topic l'argomento, per chi, visto che lo ritengo molto interessante e da approfondire, ho aperto una discussione dedicata.

Vorrei creare un confronto e avere consigli sulle pratiche migliori per gestire le proprie password/chiavi private/fattori di autenticazione nella vita quotidiana.

Premetto che fino a poco fa sono stato molto incosciente - come immagino molti,a devo dire anche che non avevo attività "critiche" da proteggere. Diventando grande e vedendo aumentare le responsabilità ho deciso di pari passo di rivedere i miei criteri di password management.

Inizialmente usavo la stessa password ovunque (da quando mi è stata generata automaticamente per il mio primo account su OGame), password del tipo [a-z0-9]{10}, molto molto male.

Successivamente, per rispondere ai requisiti dei siti ho fatto piccole variazioni sul tema a partire della stessa password, un simbolo là, una maiuscola qua.... Ancora molto molto male.

nota a margine, la password di base da cui ho generato le successive è nei db delle password compromesse da 5 anni, ma non ho dato troppo peso a questa cosa, visto che usavo variazioni malissimo!!!

Eccomi quindi negli ultimi mesi ad aver ripensato completamente la gestione delle mie credenziali. Sto cercando di implementare gradualmente le seguenti policy:

  • Password diverse per ogni sito
  • Una classe di password 'top secret', idealmente > 20 caratteri, con ogni simbolo ASCII permesso, disponibili solo su una serie di macchine 'fidate'.
  • Una classe di password 'common use', idealmente > 13 caratteri, [A-Za-z0-9] e qualche simbolo, utilizzando l'opzione di pwgen per favorire la memorizzabilità, disponibili sulle macchine che uso e di cui ho accesso, eventualmente stampate su carta quello che devo usare sporadicamente su macchine non esclusive.

Ho scelto come soluzione pass e la sua interfaccia grafica QtPass, compatibili entrambi con Win e Linux. Praticamente pass funziona creando un file di testo contente la password, e opzionalmente altri dati, per ciascuna utenza. Il file poi viene criptato con una o più chiavi pubbliche GnuPG e il processo è reso trasparente all'utente. Si possono creare più sottocartelle e in ciascuna definire, attraverso un file di testo, quali chiavi pubbliche saranno utilizzate per cifrare i password file all'interno. Se l'URL del sito compare nel nome del file o di una sottocartella,ci sono estensioni che possono proporre il completamento da browser.
Inoltre sempre in maniera trasparente questo tool può gestire la sincronizzazione delle password (criptate) con un repository git. Ho quindi:

  • creato un repository git per le password su un server a casa mia, accessibile via SSH da tutte le mie macchine in locale o remoto
  • ho creato il mio repository per le password con tre sottocartelle (Secure, Unsecure, Lavoro)
  • ho generato su una macchina fidata una master key gpg con cui saranno cifrate le password in tutte e tre le cartelle
  • ho messo sul repository la master key pubblica, per renderla disponibile a tutte le macchine (così possono aggiungere password)
  • ho copiato manualmente la master key privata su macchine 'fidate' (partizione Linux cifrata del mio notebook, fisso a casa)
  • ho generato una coppia di chiavi Insecure per la cartella corrisponde, lo stesso per Lavoro
  • anche qui ho condiviso tra tutte le macchine le chiavi pubbliche e lasciato quelle private solo su quelle interessate (Insecure: notebook partizione win non cifrata, Lavoro: fisso in ufficio) - in questo modo posso aggiungere da qualsiasi macchina una password e sceglier esattamente quali classi di macchine possono vederla.

Dopo questa lunga descrizione i miei principali interrogativi restano:

  • Ha senso tutto questo lavoro, quando un indirizzo email, molto spesso sufficiente per ottenere la reimpostazione della password, rappresenta un single point of failure per tutti gli utenti?
  • Vorrei tanto aggiungere della 2FA, almeno per la casella di posta associata agli account più importanti, ma il telefono mi sembra qualcosa di troppo facile da perdere, e comunque un altro grosso single point of failure (account email associato, app 2FA e SMS). Inoltre sono spaventato dalla possibilità di un lockout completo da tutto il mondo digitale in occasione di spostamenti lontano da casa (viaggio anche spesso all'estero). Come potrei mantenere livelli di sicurezza alti sapendo che anche se mi ritrovassi in mutande in un aeroporto del Burundi con due spicci per un internet caffè potrei accedere almeno alla mia mail, rubrica o calendario? Chiedo troppo?

Scusate il post lungo ma penso possa essere un argomento utile per molti!

    La mia politica è più semplice: password random >=24 caratteri per tutto (eventualmente meno per siti che impongono una lunghezza massima), tutto salvato in 1Password. Mi ritengo ragionevolmente protetto.

    lore20 A mio modestissimo parere bisogna semplificare. Basta stampare un foglio con caselline e scriverci a penna le password generate personalmente seguendo gli standard corretti. Per la mail basta una password all'altezza ed attivare, ovunque si può, la verifica in due passaggi. Ovviamente bisogna adottare lo stesso sistema anche su eventuali mail di recupero.

    In questo modo si è sicuri e all'occorrenza si trova facilmente la password dimenticata.

    Ovviamente non andrebbero mai salvate nei browser e simili perché con un misero PIN di windows a 4 cifre le si può leggere tutte.

        lore20 Ha senso tutto questo lavoro, quando un indirizzo email, molto spesso sufficiente per ottenere la reimpostazione della password, rappresenta un single point of failure per tutti gli utenti?

        Secondo me no. Come ti hanno detto gli altri utenti "semplifica".

        lore20 Vorrei tanto aggiungere della 2FA, almeno per la casella di posta associata agli account più importanti, ma il telefono mi sembra qualcosa di troppo facile da perdere, e comunque un altro grosso single point of failure (account email associato, app 2FA e SMS).

        Come la vedi una chiavetta 2FA (USB o NFC o Bluetooth)?

        • lore20 ha risposto a questo messaggio

              rieges Secondo me no. Come ti hanno detto gli altri utenti "semplifica".

              Alla fine al di là del funzionamento interno che ho descritto molti nei particolari, pass altro non è che un password manager. Se passassi ad usare KeePass o qualcosa di simile non cambierebbe molto la mia esperienza, dovrei solo preoccuparmi di dove tenere il file col db (un dongle USB backuppato regolarmente da portare sempre con me?). Ora come ora invece posso tenere il db sincronizzato tra più macchine con un click, senza conflitti, e automatizzare il backup (dei dati cifrati, la chiave privata la posso conservare stampata in un luogo sicuro).

              L'idea di un dongle come 2FA mi ispira (a volte ho usato i certificati di tessera sanitaria o cie per autorizzare accessi SSH). Però ancora non sono riuscito a fare una distinzione chiara tra servizi a cui voglio poter accedere sempre, anche in condizioni di emergenza e in mutande in Burundi, e servizi da proteggere scrupolosamente. Di sicuro dovrei passare ad avere due account email, ma ad esempio se sono tutti e due loggati sul mio cellulare perdo immediatamente tutti i vantaggi in caso di furto o compromissione di quest'ultimo...

                  • [cancellato]

                  • Messaggio #7

                  lore20 Ha senso tutto questo lavoro,

                  Hai messo in piedi una struttura complessa. Poi ogni volta che vedo scritto in un programma (pass) "Unix Philosophy" capisco già che implementeranno una soluzione anni '70 😜

                  lore20 quando un indirizzo email, molto spesso sufficiente per ottenere la reimpostazione della password, rappresenta un single point of failure per tutti gli utenti?

                  Dipende da come gestiscono il reset delle password - uno dei motivi per non riutilizzare le password. Se ti affidi a servizi di terze parti sei ovviamente limitato da quanto ti offrono loro, in termini di sicurezza. Io per alcuni account critici ho comunque password lunghe ma memorizzabili. Idem con KeePass, non ho la master key scritta da alcuna parte.

                  2FA ha lo svantaggio di dipendere da un altro dispositivo che può essere rubato, perso, guasto.

                  lore20 ora come ora invece posso tenere il db sincronizzato tra più macchine con un click, senza conflitti

                  Lo fa anche KeePass. File -> Synchronize.

                  lore20 perdo immediatamente tutti i vantaggi in caso di furto o compromissione di quest'ultimo...

                  Lì devi affidarti alla sicurezza del dispositivo se non vuoi inserire tutte le volte la password.

                          guarda io per la mia sicurezza psw utilizzo lastpass facendo generare all'app le psw da 16>= e memorizzandole sulla medesima e poi per tutti i programmi che possiedono la possibilità ho utilizzato l'autenticazione a 2 fattori o authenticator o sms o mail etc..

                          Snowden nel documentario diceva che era meglio una frase senza senso,tipo "MargaretThatchererastronzanel1950" per quanto riguarda la sicurezza!

                          • vic3000 ha risposto a questo messaggio

                            lore20 Ho scelto come soluzione pass

                            All'inizio anche io usavo pass con la chiave gpg su una Yubikey 4, poi però ho avuto bisogno di una password sul mio telefono ed ho capito che forse stavo un po' esagerando 🙂

                              Io uso 1Password ma penso che a breve passerò a Bitwarden

                              Io uso Bitwarden self hosted, mi trovo molto bene.

                              mb334 PIN di windows a 4 cifre

                              ma anche senza

                                Se usi Firefox usa Sync e Lockwise (già integrato) che ti salva, ti genera nel caso di nuove password e te le compila in automatico sui form

                                QRDG Io sono un grande estimatore di 1Password. Non è gratuito ma funziona benissimo e ha di gran lunga la UI/UX migliore di tutti quelli che ho provato (principalmente LastPass e Bitwarden), oltre ad app sia desktop che mobile veramente ben fatte.
                                Lo uso su Mac ed iOS e l'integrazione con il sistema è davvero ottima.

                                  Io uso il browser FireFox.

                                  È l'ultimo browser rimasto ad essere "neutrale" e riconosce automaticamente le maschere di creazione degli account generando una password totalmente random (e super-sicura) automaticamente.

                                  OT: aggiungo che ho installato il plugin uBlock Origin dal 1° giorno e non ho mai visto un messaggio pubblictario neanche per errore.

                                  Io ho usato Enpass per anni, per poi passare a 1Password per credo un anno, e poi sono tornato a Enpass (quando era ancora un pagamento una tantum da 10 € o giù di lì)

                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                  P.I. IT16712091004 - info@fibraclick.it

                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile