Le passphrase: sempre più in prima linea nella sicurezza informatica. 30 Maggio 2020 Sicurezza informatica Torno a stressare su un argomento che mi sta a cuore: le passphrase. Ne ho già parlato e ho già ribadito che dovremmo imparare a usarle in luogo delle semplici password. Girovagando nel web ho incontrato questo sito che (in inglese) spiega perfettamente la differenza fra passphrase e password, anche sotto un profilo squisitamente tecnico. Lifewire ne ha pure scritto nel dicembre del 2019 e ha persino fornito i link a tre diversi generatori di passphrase, fra cui il primo e più noto, Diceware, che consente di creare passphrase usando vocaboli italiani. Pertanto, ove possibile, quando vi viene chiesto di scegliere una password per il vostro nuovo account, usate una passphrase e se il sito non vi consente di inserire più di 20 o 30 caratteri, fareste bene a diffidarne poiché è bene che le password abbiano una lunghezza minima ma non una massima e una passphrase altro non è se non una password lunghissima che comprende anche gli spazi. Una passphrase è per sempre (come i diamanti). Articolo precedenteArticolo successivo
Mese: Maggio 2020
Cifratura dei miei files con CZIP X – come la uso quotidianamente
CZIP X è un’applicazione per la cifratura che protegge i miei files quando li devo conservare in cloud. Vi spiego come la uso nell’attività quotidiana.
… e poi una mattina scopri che ti stanno violando l’account.
Come si dice? “Capita anche ai migliori” e a me è capitato proprio ieri mattina, quando improvvisamente né il telefono né i miei computer riuscivano ad accedere al mio account Outlook, dunque nemmeno a OneDrive e agli altri servizi collegati. La mia password non veniva più riconosciuta e tutto era assolutamente inspiegabile. La prima cosa che si farebbe a questo punto, sarebbe cliccare su “Ho dimenticato la password” e confidare nell’invio di un link per il recupero o il ripristino della password. Normalmente questa è un’operazione che spesso si fa a occhi chiusi poiché si è convinti di aver comunicato correttamente un indirizzo e-mail alternativo. Fortunatamente Microsoft è un’azienda seria, attentissima alla protezione dei propri utenti, e prima di inviare il link per il ripristino, mostra una schermata che avvisa a quale indirizzo e-mail sarà indirizzato il link. Nel mio caso, in luogo dell’indirizzo alternativo che aveva comunicato all’iscrizione, ho ritrovato l’indirizzo go*****@sina.cn. Invece che proseguire con il recupero, colpito dal fatto che fosse registrato un indirizzo e-mail non mio, ho cliccato sul link “non possiedo queste informazioni“; a quel punto mi è stato chiesto di confermare quella scelta con un codice via SMS sul cellulare e solo dopo ho potuto indicare a quale indirizzo e-mail inviare il link per il recupero password. Effettuata tutta l’operazione e creata una nuova password (meglio: una passphrase), ho fatto alcune riflessioni. Se fossi stato sbadato o un po’ meno sveglio, probabilmente avrei inviato il link per il recupero della password a quell’indirizzo cinese e avrei messo tutto (ribadisco: TUTTO) nelle mani di un perfetto sconosciuto. Ancora fortunatamente, io salvo su OneDrive solo archivi cifrati con CZIP X (https://czip.it), pertanto, quand’anche fosse entrato, l’estraneo si sarebbe ritrovato una serie di archivi inutilizzabili senza la corretta chiave per la decifratura; tuttavia ho capito che non vi è stato alcun accesso abusivo ma solo una serie di tentativi d’accesso, tutti falliti, che hanno indotto l’account a autoproteggersi. Assicuratomi che tutto fosse a posto, sono andato a verificare nel pannello di gestione della sicurezza del mio account e ho scoperto questo: Tutto è iniziato alle 18.39 di sabato 23 maggio – poi non ho toccato computer e telefono fino a lunedì mattina – e subito noto l’origine del tentativo d’accesso fallito: Ucraina. La puzza di proxy, però, si avvertiva forte e, infatti… L’estraneo ha usato un proxy pubblico ucraino. Un cinese che usa un proxy Ucraino? E perché no? A me, però, non interessa capire da dove è arrivato l’attacco e come diavolo ha fatto ad alterare l’indirizzo e-mail per il recupero della password; mi interessa, piuttosto, incrementare la protezione dei miei dati, quindi ho iniziato a cambiare tutte le password dei miei account, anche quelli che nulla c’entrano con l’account Microsoft. Questa è l’occasione per ribadire le regole fondamentali per la tutela dei propri account: cambiare spesso le password e preferire l’uso di passphrase in luogo delle combinazioni alfanumeriche complesse; attivare l’autenticazione a due fattori (2FA); verificare che il proprio account non sia stato in qualche modo manomesso – almeno una volta al mese bisogna rivedere le impostazioni della sicurezza; verificare che il nostro indirizzo e-mail non sia rimasto coinvolto in un data breach. Ecco, l’ultimo punto… Andando sul sito https://haveibeenpwned.com/ ho scoperto che il mio indirizzo di outlook.com è coinvolto nel data breach del sito Slickwraps.com, un sito dal quale acquistai nel 2018 una skin per personalizzare il mio Galaxy S9+. Il data breach risale al febbraio 2020 ma tutto ciò mi consente di aggiungere una nuova regola alla quattro precedenti: 5) quando si acquista da un sito con e-commerce proprietario (non e-bay o Amazon, quindi), meglio usare un indirizzo e-mail creato apposta per l’acquisto oppure chiedere la cancellazione dell’account subito dopo l’acquisto. Sia la mia esperienza un monito per tutti quelli che… “chi vuoi che s’interessi dei miei dati?“
