Password best practices

lore20 · 2020-12-03T10:41:14+00:00

In molte discussioni ritorna come off-topic l'argomento, per chi, visto che lo ritengo molto interessante e da approfondire, ho aperto una discussione dedica...

[cancellato]

edofullo Su Android funziona anche offline (penso però read only) su PC non te lo so dire

Anche da PC, ma si inca.... se provi ad aggiornare le entry.

edofullo Devi però avere un server SMTP (o relay) per confermare la mail e poi disattivare la registrazione

Anche no, io invio diretto dal serverino 😎

Ocio che tenere primo e secondo fattore nello stesso contenitore generalmente non è mai una buona idea. So che scoccia prendere in mano il cellulare ogni volta, ma per me non vale la pena salvare i 2FA, almeno per i servizi importanti.

matteocontrini Enpass

L'ho provato, ma per me è un po' meh... Piuttosto un programma stratestato e consigliato che salva l'archivio in locale è KeePass. Open source tra l'altro (in C#)

Dark-Vex Se usi i docker c'è un secondo container che ti fa il backup del database dove vuoi (tanto è cifrato...), gira in cron quindi non te lo dimentichi.

edofullo

RichardTDJ Comunque è un SW implementato su un HW connesso in rete no?

Dipende come lo vuoi tu 🙂

La soluzione più sicura sarebbe quella di tirar su un server VPN, creare certificati per tutti i tuoi dispositivi, connetterti alla VPN e poi da lì a Bitwarden.

E' un po' un casino.

Oppure puoi aprire il tuo bitwarden "al mondo" su https e usarlo come se fosse la versione ufficiale.
Io per esempio lo uso dietro un reverse proxy nginx e blocco tutti gli IP non provenienti dall'Unione Europea (ok, ci son le VPN ma meglio di nulla).
Per accedere a bitwarden stesso uso la 2FA di Google Authenticator, dopo di che bitwarden mi fa da 2FA per tutti gli altri servizi.

Il tutto gira sotto docker in un container non privilegiato, in modo che se uno degli altri container fosse compromesso è difficile accedere ai dati di bitwarden (che sarebbero comunque crittografati da una bella password).

Se non sei un po' smanettone però ti consiglio di usare il servizio "ufficiale" e magari di pagare pure i pochi euro l'anno che chiedono per il premium.

Dark-Vex Giusto, certamente. Io faccio backup settimanale su un altro mio server che ho "offsite"

[cancellato] installare la versione RS mi ispira poca fiducia.

Capisco, ma è comunque OpenSource e ben manutenuto.
Bisogna ricordarsi però di aggiornare i container di tanto in tanto e quando le cose funzionano viene la tentazione di dire finche el va, lassa la ander

[cancellato] Anche no, io invio diretto dal serverino 😎

Ma usi RS?

[cancellato] Ocio che tenere primo e secondo fattore nello stesso contenitore generalmente non è mai una buona idea. So che scoccia prendere in mano il cellulare ogni volta, ma per me non vale la pena salvare i 2FA, almeno per i servizi importanti.

Vero, ma allora vuol dire che non è che la tua password era in una lista che è stata leakata ma che proprio ti hanno attaccato il tuo bitwarden.
Penso che se hai dei "nemici" del genere potresti avere problemi più grossi.

La mia banca mi manda l'OTP via SMS (che ha grossi problemi di sicurezza)... basta che qualcuno riesce a fare una migrazione del numero e sono fregato...

Lo ritengo un buon compromesso vista la relativa importanza dei miei account...

[cancellato]

edofullo Ma usi RS?

Yes.

edofullo Lo ritengo un buon compromesso vista la relativa importanza dei miei account...

Chiaro, ognuno fa la propria valutazione dei rischi. Ma molto banalmente basta che ti allontani inconsapevolmente dal PC con Bitwarden sbloccato ed ecco che chi si siede avrebbe a disposizione entrambi i fattori, È una eventualità rara, però non è impossibile. E le cappellate le facciamo tutti, chi prima chi dopo.

edofullo La soluzione più sicura sarebbe quella di tirar su un server VPN, creare certificati per tutti i tuoi dispositivi, connetterti alla VPN e poi da lì a Bitwarden.

Presente! Con Duo ovviamente.

RichardTDJ

matteocontrini eh lo so... ma se si vuole essere più sicuri possibili è un qualcosa di sacrificabile.

edofullo esatto è un po’ un casinò per 2/3 sociale ed un email...😂

LucaTheHacker

RichardTDJ Volevo provare 1Password, ma il fatto di consegnare a terzi il tutto, nonostante l’AES è un qualcosa che non mi va giù.

Ci sta firefox lockwise o qualche altra soluzione open che puoi self-hostare

Simon

Io utilizzo LastPass da anni e mi trovo davvero bene, con il pacchetto Family lo divido in famiglia ed è comodissimo.
A livello aziendale conoscete qualcosa che supporti l'autenticazione SSO su Active Directory e che non costi un rene?

Mi piace l'idea del self-hosted di Bitwarden ma se vuoi l'SSO devi fare il piano Enterprise e con parecchi utenti il costo non è banale.

[cancellato]

Simon A livello aziendale conoscete qualcosa che supporti l'autenticazione SSO su Active Directory

Active Directory è SSO di per sé. Se ti serve un password manager con AD è perché le applicazioni non sono integrate. E quindi perdi automaticamente tutti i vantaggi di SSO con AD se devi usare password separate memorizzate in modo reversibile su un servizio terzo che deve decrittarle per infilarle nella solita box di login usando hack poco eleganti. Lì si possono intercettare. A quel punto è pure peggio avere tutte le password aziendali in un unico servizio.

C'è un motivo per il quale hanno inventato Kerberos con i suoi ticket a scandenza. La cosa è pure peggiorata con Linux che non ha un sistema paragonabile ad Active Directory out of the box, così ogni applicazione si inventa la sua autenticazione.

edofullo

[cancellato] Ma molto banalmente basta che ti allontani inconsapevolmente dal PC con Bitwarden sbloccato ed ecco che chi si siede avrebbe a disposizione entrambi i fattori

Eh si hai ragione...
Bitwarden comunque devi sbloccarlo ogni volta ma per esempio Lastpass aveva la checkbox "memorizza password" ed era una bella tentazione mettere la spunta...

[cancellato] Yes.

A me non so perchè non mi arrivavano le mail (penso che gli IP consumer siano in chissà quante blacklist), alla fine ho registrato un account gratuito di sendgrid e uso quello un po' per tutta la mia roba self-hosted che usa gli alert via mail.

Altra cosa, io uso spesso email temporanee (non me ne voglia @matteocontrini) per registrarmi a siti che userò una sola volta nella vita (mi vengono in mente forum dove per aprire le foto ti chiedono l'account) o anche magari dei servizi che voglio solo provare e non voglio che mi spammino la email a vita.
Da quando ho cominciato e ho fatto "pulizia" sulle cose dove ero già registrato la situazione è migliorata tantissimo.

Carino anche Firefox Relay, aspetto la possibilità di aggiungere il proprio dominio poi magari ci do un occhio visto che quello di default mi aspetto che verrà bloccato istantaneamente.

RichardTDJ

edofullo si usavo anche io questo sistema a volte... Ma una curiosità? L’email lascia traccia del proprio IP in qualche modo?
Voglio dire... anche se si chiamerà pincopallino, potrebbero comunque risalire a te?

[cancellato]

RichardTDJ La casella di per sé no, a meno che il fornitore del servizio non tenga i log (ma non avrebbe molto senso). Il sito cui ti registri vede il tuo IP, ma da questo a risalire al una persona fisica è lunga.

RichardTDJ

[cancellato] ma di preciso quale IP vede? Inoltre questo IP cambia giusto? E se effettuassi l’operazione da rete fissa o mobile quale sarebbe più sicura?

[cancellato]

[cancellato] La cosa è pure peggiorata con Linux che non ha un sistema paragonabile ad Active Directory out of the box, così ogni applicazione si inventa la sua autenticazione.

Hemmm... MIT Kerberos è stato inventato proprio sui sistemi Linux (o forse ancora Unix?). AD è bastato su Kerberos e LDAP, due prodotti da sempre votati al mondo Linux; ha avuto il vantaggio che ne ha fatto uno standard (purtroppo nel mondo del pinguino pare ci sia la moda di reinventare 5 ruote quadrate all'anno piuttosto che mettersi d'accordo e farne una rotonda che funzioni come $divinita comanda) e l'ha esteso con tutta la parte di configurazione/GPO per il client management, quello è indubbio e innegabile.
Su Linux la "federazione" di login via krb esiste eccome, come modulo PAM.

RichardTDJ Vede il tuo IP pubblico (di WAN), e cambia se è dinamico ovviamente.
Ma non capisco in ogni caso perché questo ti preoccupa, basta non usarli per fini illegali e/o di minaccia alla persona e il problema non si pone. Tutti i siti che visiti vedono il tuo indirizzo, non può essere altrimenti.

Simon

[cancellato] intendevo un password manager che supporti l'integrazione con AD, come fa LastPass Enterprise.

[cancellato]

[cancellato] Hemmm... MIT Kerberos è stato inventato proprio sui sistemi Linux (o forse ancora Unix?)

Infatti parlavo di AD e ho scritto "out-of-the-box". In Windows fare un dominio è lanciare dcpromo (ora lo fai anche da wizard) e inserire quattro dati. Anche fare il join di una macchina al dominio è immediato. Del resto Netware aveva fatto la sua fortuna proprio con i suoi servizi di directory prima di venire spodestato da AD.

In Linux mettere in piedi un servizio di directory e attivare kerberos è molto più complesso. C'è qualche soluzione commerciale, ma non c'è un sistema unificato come AD sotto Windows facilmente disponibile ed utilizzabile (versione Home a parte).

[cancellato]

[cancellato] Sì infatti ho scritto che la fortuna di AD è che è installato standard. Su Linux comunque quasi niente esce "out of the box", è una mentalità completamente diversa dal mondo win... Alcune distro te le devi installare a mano pacchetto per pacchetto (Arch), se sei sadico addirittura compilandolo direttamente dai sorgenti (Gentoo).
Siamo OT comunque.

[cancellato]

[cancellato] la fortuna di AD è che è installato standard.

Però a quel punto hai un sistema SSO standard, sempre disponibile e ben documentato. A quel punto puoi bastonare gli utenti sull'uso di password complesse - o usare sistemi biometrici o crittografici di autenticazione - senza dover reinventare l'acqua calda ogni volta - ed è per questo che non siamo OT 😉

Ovvio che se per ogni applicazione hai un utente e una password diversa poi il tutto diviene rapidamente ingestibile e devi passare a degli hack come i password manager che cercano di indovinare dove inserire i dati che devono decrittare, quando con Kerberos la password una volta inserita non passa più in giro ma il tutto viene fatto con i ticket che non durano in eterno. È appunto un peccato che nono stante Kerberos sia in giro da un bel po' l'utilizzo sia tutto sommato limitato - il miglior sistema di rendere sicure le password è non doverle inserire in continuazione.

CosimoP

Dopo aver letto qui mi sono deciso ad organizzare meglio le mie password e ho scelto Bitwarden su vostro consiglio. Tenevo tutto su google che fortunatamente mi ha prodotto il csv. Una volta importato ho iniziato a cambiare le password con quelle suggerite più complesse (piano piano lo farò con tutte)

Volevo chiedervi cosa ne pensate dell'accesso a certi siti con le credenziali google o Facebook visto che non mi pare l'argomento sia stato affrontato. Come sicurezza è da preferire creare un nuovo account con nuova password generata dal password manager o fare l'accesso con google o Facebook?

Purtroppo molti siti una volta fatto l'accesso con google non permettono di creare un account con la stessa mail, quindi si è costretti ad accedere sempre con google. La cosa positiva è che si può revocare l'accesso in ogni momento e l'account viene cancellato, cosa che spesso è difficile fare nei vari siti perché non tutti permettono di cancellare tutti i dati dell'utente. Voi che ne pensate?

RichardTDJ

CosimoP interessante osservazione...
Io personalmente ho utilizzato sempre di rado quella funzione. Ad esempio per piattaforme come RaiPlay o Mediaset Play. Ma mai per nulla di importante.

vic3000

CosimoP Volevo chiedervi cosa ne pensate dell'accesso a certi siti con le credenziali google o Facebook

dai uno sguardo qui prima: https://hacktips.it/attacchi-pratici-a-oauth-2-0-e-come-difendersi/

edofullo

Riapro la discussione perchè ho visto che Bitwarden ha messo la possibilità di sbloccare l'archivio con il PIN invece di mettere tutte le volte la password.

Cosa ne pensate? Questo vuol dire che sul sistema il database rimane in chiaro? Oppure ogni volta viene decifrato e poi ricifrato con il PIN?

Cosa ne pensate?

[cancellato]

edofullo Cosa ne pensate? Questo vuol dire che sul sistema il database rimane in chiaro? Oppure ogni volta viene decifrato e poi ricifrato con il PIN?

Se fatto bene, dovrebbe andare semplicemente a cifrare la chiave di decifratura client-side con una derivazione del PIN, memorizzandola in modo permanente nello storage locale del browser invece che eliminarla al lock della cassaforte.

in pratica non cambia molto lato sicurezza at rest e in transit, è forse un filo più debole lato client dove può esistere una derivazione della master password.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile