Che dite, mi affido ad un gestore di password per gestire la mole di password che ormai siamo costretti a creare oppure no?
Proprio stamattina ho ricevuto una mail, qualcuno stava cercando di recuperare la password di un mio account.
Inutile dirvi che conosceva il numero di telefonino e la user. come....non lo so....
[cancellato] Ovviamente si, associato all'autenticazione a 2 fattori via TOTP (su tutti gli account dove è possibile usarla).
Coglierei l'occasione per cambiare le password di tutti gli account generandole automaticamente.
Come password manager personalmente ti consiglio Bitwarden e per la massima sicurezza ti consiglio di tenere l'autenticazione a 2 fattori su un'app separata dal password manager.
Periodicamente fai anche un backup di entrambi, da tenere rigorosamente crittografato e offline.
Ci sono gia' un paio di discussioni in merito. Io utilizzo keepass sui pc e keepass2android sul telefono, con un unico db condiviso.
https://forum.fibra.click/d/40237-alternative-a-1password-offline
https://forum.fibra.click/d/43391-dilemma-password
[cancellato] Sinceramente mai usato un gestore di password, ma ne sento sempre parlare bene quindi se ne hai molte probabilmente ti conviene prendere in considerazione uno dei tanti disponibili in base alle tue esigenze.
Ciao, personalmente utilizzo safeincloud e mi trovo bene, anzi se ne approfitto per chiedere un parere anche a voi se lo conoscete.
Apple, che dite?
[cancellato] io uso il portachiavi nel cloud di Apple da tanti anni e mi trovo benissimo.
è perfettamente integrato con iOS e MacOS e l'app per Windows ha il plugin per Edge, forse anche Chrome ma non lo uso quello.
da qualche tempo su Windows si possono anche vedere, modificare e creare nuove password, proprio come col Keychain di MacOS.
integra anche l'autenticazione a due fattori, lo si può usare per generare i codici alla stregua di Google authenticator e di quello MS.
Articiok integra anche l'autenticazione a due fattori, lo si può usare per generare i codici alla stregua di Google authenticator e di quello MS.
ha anche il passkey (per i siti che lo supportano).
ho sempre usato 1password, ma piano piano sto passando ad usare solo keychain icloud di macos, che con lo sblocco biometrico è un po' più comnodo da usare.
[cancellato] Apple, che dite?
Per esigenze base il portachiavi iCloud svolge la funzione, sincronizzato e fa quello che deve fare.
Per un uso con un po' più di necessità, puoi usare BitWarden, la cosa interessante è che ti permette di impostare l'app come gestore di password default su iphone, quindi quando vai su un sito ti sblocca in automatico la password con FaceID prendendola da BitWarden.
Sono favorevolissimo ai password manager, però solo a quelli offline. Questo perché i PM gestiti via cloud sono soggetti a tentativi di attacco sempre più frequenti, come dimostra quello recentissimo a 1Password. Le aziende poi si affrettano a dire che non sono stati rubati dati sensibili e che questi sono al sicuro, ma la verità a volte non la conoscono neanche loro oppure la nascondono.
Inoltre, usare il cloud per salvare informazioni importanti come password, documenti (anche di riconoscimento e non solo Word o Excel) e dati bancari, ad esempio crittandoli su Dropbox, a mio modo di vedere non è la scelta migliore perché intanto non conosciamo il reale livello di sicurezza dei server, poi si sa le aziende che gestiscono i cloud gratuiti condividono i nostri file con altre aziende, infine la crittografia di oggi è considerata sicura, ma nei prossimi anni, con processori sempre più performanti, un attacco brute force potrebbe aprire la nostra cassaforte con le password in pochi minuti.
Poi vedo che si stanno diffondendo sempre di più le passkey. Ammetto di non conoscere bene l'argomento, ma da quello che ho capito si usa principalmente il cellulare come chiave per accedere a siti ed app, confermando l'identità tramite impronta o riconoscimento del volto. La comodità è innegabile ma dipendere in maniera così determinante dal telefono rischia di diventare un boomerang perché se si rompe, lo perdiamo o ce lo rubano, per qualche giorno siamo fuori da tutto o quasi.
Flo Le passkeys sono un sistema di autenticazione basato su chiave pubblica e privata. La chiave privata è una stringa segreta mantenuta nel gestore password dell'utente, la chiave pubblica viene salvata sul server al momento della registrazione, ed essendo pubblica in caso di data breach gli hacker non se ne fanno assolutamente nulla, a differenza delle password.
Al momento del login, il sito propone una sfida tramite la quale il telefono o PC dimostra di possedere la chiave privata della passkey senza effettivamente consegnare la chiave privata, a differenza delle password dove il segreto viene inviato al server a ogni accesso. Inoltre la passkey è univoca per sito e vincolata al sito sul quale è stata registrata, rendendo praticamente impossibili attacchi di phishing.
Per quanto riguarda la perdita o furto del dispositivo ovviamente devi avere un backup, ma non è diverso dal perdere un dispositivo con le password dentro.
Flo si usa principalmente il cellulare come chiave per accedere a siti ed app
non è corretto: si può usare sia da smartphone che da pc.
poi dipende da come ogni sito implementa la cosa: ci sono siti che tolgono la password quando si attiva la passkey (es. microsoft), altri mantengono entrambi i metodi compresa la 2FA (es. amazon), altri ancora permettono di usare la passkey anche come 2FA (es. github).
Marco25 Non ci sono dubbi, oggi la sicurezza delle passkey è indiscutibile.
Riguardo il backup, non tutti hanno un secondo telefono, o magari ce l'hanno però non lo usano ancora come seconda passkey. Faccio un esempio che potrebbe essere reale: ad agosto mia sorella, finite le ferie, stampa il biglietto aereo da me e va in aeroporto per rientrare a casa sua, però dimentica telefono e biglietto. Se avesse potuto accedere alla mail solo tramite passkey, avrebbe perso il volo, invece apre la propria casella di posta elettronica dal cellulare di un'amica, usando la password, e mostra il biglietto. Adesso mi rendo conto che sarebbe un caso limite e che una situazione simile accade raramente, però questo fa capire che dipendere così tanto da un telefono può anche essere deleterio.
Io uso da anni un gestore password.
A dire il vero prima usavo Enpass che è un gestore offline (si può sincronizzare opzionalmente se si vuole), ma mi era diventato antipatico perché, ultimamente, era diventato lento e pieno di bug quindi sono passato a 1Password.
Flo per il tentativo di attacco a 1Password la colpa è stata di Okta, non direttamente di 1Password (https://blog.1password.com/okta-incident/). Ma poi è quasi impossibile rubare l'account di 1Password grazie alla chiave crittografica.
Flo Non ci sono dubbi, oggi la sicurezza delle passkey è indiscutibile.
Anche la tracciatura delle attività è indiscutibile se devi affidarti ai soliti noti per farla funzionare...
[cancellato] Apple, che dite?
mi trovo benissimo!su macbook do conferma con l'impronta,e su iphone con face id
[cancellato] Anche la tracciatura delle attività è indiscutibile se devi affidarti ai soliti noti per farla funzionare...
Puoi spiegarti meglio?
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
in effetti sto testando un self-hosted messo su una VM proxmox di Bitwarden RS raggiungibile solo da vpn sempre su VM... 
.