password-sicure-thumbnail

Introduzione

Ciao! In questo articolo voglio discostarmi un pò dal solito argomento della programmazione e voglio concentrarmi su un argomento che mi sta molto a cuore: la sicurezza informatica.

Perchè la sicurezza informatica è importante?

Il mondo digitale ha portato con sè innumerevoli vantaggi, ormai la maggior parte di noi possiede un minimo di vita digitale. Anche la nonna con un semplice contatto Whatsapp. Purtroppo però, con i vantaggi spesso arrivano anche i rischi.

Quando mi trovo a parlare di questo argomento con amici e conoscenti e provo ad enfatizzare l'importanza della sicurezza informatica come argomento che dovrebbe interessare chiunque possieda un dispositivo digitale, spesso la prima cosa che mi viene detta è:

Perchè un Hacker dovrebbe attaccare proprio me? Non ho nulla da nascondere.

La risposta è semplice: perchè sei un bersaglio facile. I criminali informatici non hanno bisogno di un motivo per attaccarti, lo fanno perchè possono farlo. E se non sei preparato, non hai le giuste difese, sei un bersaglio facile.

Che beneficio posso trarre da un attacco informatico ai tuoi accounts? Beh, ti spiego subito. Prendere possesso della tua identità digitale.

Ti faccio un esempio, cosa fai se perdi la tua Carta d'Identità? Vai a fare una denuncia ai Carabinieri e la blocchi cosicchè nel caso qualcuno dovesse utilizzarla per scopi illeciti, avrai una protezione legale che ti tutela.

Rubare l'identità digitale può essere paragonato a rubare la tua carta d'identità, la patente di guida, le chiavi di casa, le carte di credito, tanti altri documenti importanti che tu possa avere oltre a informazioni riservate come fotografie, conversazioni private con il/la tua/o partner, la tua famiglia, i tuoi amici, i tuoi colleghi di lavoro, ecc...

Potrebbero utilizzare i tuoi accounts per contattare amici e parenti e arrecare loro ulteriori danni.

Potresti ritrovarti in un attimo con tutti i tuoi dati privati pubblicati online, con minacce di estorsione per riavere i tuoi accounts, danni economici e magari anche con rischi di perdere lavoro o amici nel caso in cui tu possieda informazioni riservate.

Ecco, non importa quanto noiosa la tua vita possa essere. I criminali informatici sono alla costante ricerca dei bersagli più semplici da attaccare per rovinare loro letteralmente la vita in pochi minuti.

La buona notizia è che puoi proteggerti. E non è nemmeno difficile per riuscire ad avere una protezione molto molto alta e proteggerti per la maggior parte dei casi. In questo articolo ti spiegherò come.

Prima di iniziare però, voglio farti fare una breve cultura sui modi più comuni su come un criminale può attaccarti informaticamente. In questo modo potrai capire meglio perchè è importante proteggerti e perchè è importante utilizzare un password manager ed avere sempre attivo il 2FA.

Come gli hacker rubano le tue informazioni?

Se stai immaginando un Hacker come una persona col cappuccio in testa in una stanza buia, un genio dell'Informatica che scrive alla tastiera del computer a velocità supersonica, ti sbagli di grosso.

Gli Hacker non sono nient'altro che degli opportunisti che approfittano di vulnerabilità comunemente presenti per entrare in possesso dei tuoi dati. Vediamo le più comuni pratiche:

Phishing

Ti è mai capitato di ricevere una mail che ti chiede di cliccare su un link per ricevere un premio? O magari una mail da un principe nigeriano che ti chiede aiuto per trasferire dei soldi in cambio di una ricompensa? O magari una mail dalla tua banca che ti chiede di confermare i tuoi dati?

Questa pratica viene chiamata phishing (in Italiano pronunciata come 'Fiscing') ed è una delle più comuni pratiche utilizzate dagli Hacker per rubare le tue informazioni. Quando clicchi su un link contenuto in una mail, potresti essere reindirizzato su un sito web che sembra identico a quello che stavi cercando, ma in realtà è un sito web falso creato appositamente per rubare le tue credenziali. Nel momento in cui inserirai le tue credenziali, queste verranno inviate al criminale informatico che potrà utilizzarle per accedere al tuo account reale.

Keylogger

Un keylogger è un software che registra ogni tasto che premi sulla tastiera del tuo computer. Questo software può essere installato sul tuo computer in diversi modi, ad esempio potrebbe essere installato da un malware o da un sito web che hai visitato.

Social Engineering

Il social engineering è una tecnica utilizzata dagli Hacker per manipolare te o le persone che hanno qualche tipo di rapporto con te, come un familiare, un amico o un collega, e convincerle a fare qualcosa. Ad esempio, un criminale informatico potrebbe chiamarti e far finta di essere un tecnico Vodafone. Potrebbe dirti che il tuo computer è stato infettato da un virus e che per risolvere il problema devi installare un software che ti invierà via mail. In realtà il software è un malware che permetterà all'hacker di prendere il controllo del tuo computer. Quindi questa tecnica descrive un hacker che fa finta di essere qualcun altro per ottenere informazioni riservate da te o da qualcuno che conosci.

Brute force

Il brute force è una tecnica utilizzata dagli Hacker per indovinare la tua password. Questa tecnica consiste nel provare tutte le possibili combinazioni di caratteri fino a quando non viene trovata la password corretta. Questa tecnica è molto lenta e richiede un sacco di tempo, ma può essere utilizzata per indovinare password molto semplici. Ad esempio se la tua password fosse "Test123456!" (non utilizzare mai questa password), un criminale informatico potrebbe indovinarla in pochi minuti nonstante abbia lettere, numeri e caratteri speciali.

Breach di dati

Quando ci registriamo su un sito web e creiamo un account, il sito web memorizza le nostre credenziali in un database. Questo database potrebbe essere vulnerabile ad attacchi informatici e potrebbe essere violato da un criminale informatico. Quando questo accade, i dati contenuti nel database vengono rubati e pubblicati online. Questo è quello che viene chiamato breach di dati. Quando un breach di dati avviene, i criminali informatici possono utilizzare le tue credenziali per accedere ai tuoi accounts.

Fortunatamente la maggior parte dei database utilizzano delle pratiche di sicurezza per proteggere i dati degli utenti. Ma non tutti i siti web sono uguali e non tutti i siti web utilizzano le stesse pratiche di sicurezza. Quindi è sempre meglio utilizzare password diverse per ogni sito web di modo che se un sito web viene violato, i criminali informatici non potranno utilizzare le tue credenziali per accedere a tutti i nostri account ma soltanto a quello violato.

Malware e Spyware

Un malware è un software dannoso che può essere installato sul tuo computer in diversi modi. Ad esempio potrebbe essere installato da un sito web che hai visitato o da un allegato di una mail che hai ricevuto.

Comprendere la sicurezza delle password

Una password è come una parte di una chiave per entrare in casa. Nelle prossime sezioni capirai perchè ti dico che è una parte di una chiave e non LA chiave. Ma prima di iniziare, voglio farti fare una breve cultura su come funzionano le password e perchè è importante utilizzare password forti.

Password deboli VS password forti

Le password possono essere identificate come deboli per diversi motivi. Una password che contiene un'informazione che può essere direttamente associata a te, come il tuo nome, il nome del tuo cane, la tua data di nascita o un'informazione simile è debole.

Una password che contiene una parola che può essere trovata in un dizionario è debole.

Una password che contiene una sequenza di caratteri comunemente utilizzati come "123456" o "qwerty" o "password" è debole.

Una password che puoi ricordare facilmente è debole.

Generare una password complessa non è lavoro per la mente umana ma dev'essere un compito che dobbiamo affidare ad un software più intelligente di noi. Ti dò subito una buona notizia, ti darò la soluzione a questo problema in un attimo e sarà molto più semplice di quanto tu possa pensare :-)

Checklist per creare una password sicura

Creare una password sicura significa una password che rispetta almeno le seguenti regole:

  • Contiene almeno 12 caratteri. Più caratteri contiene, più è sicura.
  • Contiene lettere maiuscole e minuscole, numeri e caratteri speciali (es. !@#$%^&*()_+).
  • Non contiene informazioni che possono essere associate a te come il tuo nome, il nome del tuo cane, la tua data di nascita o un'informazione simile.
  • Non contiene parole che possono essere trovate in un dizionario.
  • Non utilizza sequenze di tasti comuni come "123456" o "qwerty" o "password".
  • Non è una password che puoi ricordare facilmente.
  • È utilizzata soltanto per un account (es. non utilizzata per Gmail e Facebook).

Il problema del riutilizzo delle password

Pensa un attimo se avessi una sola chiave per aprire casa, la macchina, il garage, la cassetta delle lettere, ecc. ecc. E ora pensa se qualcuno rubasse questa chiave. Saresti in grossi guai, vero? Ecco, questo è quello che succede quando utilizzi la stessa password per più account. Se un criminale informatico riesce a rubare la tua password, potrà accedere a tutti i tuoi account. Quindi è molto importante utilizzare password diverse per ogni account.

Se stai pensando che dovrai memorizzare svariate password o che il sistema per risovlere questo problema comporta un sacco di lavoro, non preoccuparti.

Esiste una soluzione ESTREMAMENTE semplice per gestire questa problematica e si chiama "Password Manager". Te lo spiego in dettaglio nella prossima sezione.

Introduzione al password manager

Puoi pensare al password manager come una Rubrica telefonica per le tue password. Quando vuoi telefonare un amico, digiti il numero a memoria oppure vai nella tua Rubrica e cerchi il numero utilizzando il suo nome?

Ecco, il password manager serve esattamente a questo ma per le password. Hai bisogno di collegarti a Facebook? Apri il tuo password manager, cerchi "Facebook" e ti compaiono le credenziali per accedere a Facebook. Stesso per il resto dei tuoi accounts.

Oltre a memorizzare le tue password, il password manager ti aiuta anche a crearle. Quando crei un nuovo account, il password manager ti suggerisce una password sicura e la memorizza per te. In questo modo non dovrai ricordare la password e non dovrai nemmeno preoccuparti di crearne una sicura. Ti sembra un sogno vero? :-) Questo sogno si chiama password manager.

Quali sono i vantaggi di un password manager?

Ricapitolando, quali sono i vantaggi di un password manager?

  • Non dovrai mai più preoccuparti di dimenticare una password
  • Non dovrai mai più preoccuparti di creare una password sicura
  • Non dovrai mai più preoccuparti di digitare manualmente una password
  • Non dovrai mai più preoccuparti di utilizzare la stessa password per più account

Un password manager rende la gestione delle tue password mooolto più facile e sicura. Nel mondo digitale verso il quale ci stiamo dirigendo in cui la quantità di account online che abbiamo è in costante aumento, un password manager è il nostro alleato indispensabile per proteggere la tua identità digitale.

Come scegliere un password manager?

Quando si sceglie un password manager è importante sceglierne uno che sia affidabile e sicuro. Pensa questo software come se fosse un cesto in cui andrai a mettere tutte le tue uova. Se il cesto non è affidabile rischi che rimarrai senza uova, o peggio ancora in questo caso che qualcuno ti rubi tutte le tue password.

Quali sono quindi le cose da considerare quando si sceglie un password manager?

  • Sicurezza: il password manager deve utilizzare una crittografia forte per proteggere le tue password.
  • Privacy: il password manager ha una politica sulla privacy chiara e a tuo favore
  • Facilità d'uso: il password manager dev'essere intuitivo e facile da usare
  • Compatibilità: il password manager dev'essere compatibile con i tuoi dispositivi (es. computer, smartphone, tablet, ecc.)
  • Supporto: il password manager deve avere un buon supporto in caso di necessità
  • Prezzo: il password manager dev'essere accessibile a livello di prezzo

Perchè non usare un password manager integrato nel tuo browser o smartphone?

Potrebbe sembrare conveniente utilizzare un password manager integrato nel tuo browser o quello del tuo smartphone ma spesso non è la scelta migliore. Viene sempre consigliato separare la responsabilità di gestire le tue password da quella del browser o del sistema operativo del tuo smartphone e di non collegare e affidare le due cose insieme. Nel caso in cui il tuo browser o il tuo smartphone venissero compromessi, le tue password sarebbero a rischio.

Quali sono i password manager più popolari?

Ci sono molti password manager disponibili sul mercato. Alcuni sono gratuiti, altri a pagamento. Alcuni sono open source, altri no. Alcuni sono più sicuri di altri. Alcuni sono più facili da usare di altri. Io voglio semplificarti la vita e darti due opzioni tra cui scegliere:

  • 1Password: 2.99$ al mese con 14 giorni di prova gratuita (l'abbonamento viene pagato annualmente ed il costo totale incluso di IVA al 2023 è di 40.81€/anno)
  • Bitwarden: gratuito o 10$ all'anno per il piano Premium

Sono tutt'e due assolutamente ottime scelte e qualsiasi tu scelga, sarai estremamente più sicuro di quanto lo sei ora se non ne stai utilizzando uno.

1Password offre un'interfaccia più intuitiva ma è 4 volte più costoso di Bitwarden. Bitwarden è open source il che è un grande vantaggio in termini di sicurezza del software, è 4 volte meno costoso di 1Password ma l'interfaccia non è altrettanto intuitiva.

La buona notizia è che quest'articolo offre una guida passo passo per entrambi i password manager quindi sta a te fare la scelta.

Preferisci spendere meno ed avere un'interfaccia leggermente meno intuitiva o preferisci spendere di più ed avere un'interfaccia più intuitiva? La scelta è tua. Una cosa è certa, una volta che avrai iniziato ad utilizzare un password manager, non tornerai mai più indietro e anche quello meno intuitivo diventerà facile come utilizzare una rubrica telefonica dopo le prime volte che l'hai utilizzato.

Inoltre, puoi provarne uno e se non ti piace puoi sempre passare all'altro in modo piuttosto facile esportando le password da uno e importandole nell'altro.

1Password

1Password

Come iniziare ad usare 1Password?

Per iniziare ad usare 1Password dovremo seguire diversi passaggi nei quali ti accompagnerò passo passo con aggiunta di screenshots per rendere il tutto più semplice.

I passaggi sono:

Creare un account ✅
Installare il programma sul computer ✅
Installare l'estensione del browser ✅
Installare l'applicazione sullo smartphone ✅
Creare le prime password ✅
Migrare le password esistenti al tuo nuovo password manager ✅

Man mano che andiamo avanti nei prossimi step puoi spuntare la casella corrispondente per tenere traccia dei passaggi che hai completato.

Creare un account

Naviga alla pagina di 1Password e clicca sul pulsante "Prova GRATIS per 14 giorni" sul blocco Individuale per creare un account.

Inserisci il tuo nome e la tua email e clicca sul pulsante "Crea account".

A questo punto ti verrà inviata una mail con un codice di verifica. Copia il codice di verifica, incollalo nel campo apposito su 1Password e clicca su "Successivo".

Ora ti verrà chiesto di creare una password per il tuo account. Questa password è l'unica che dovrai ricordare a memoria da qui ad andare avanti ed è molto consigliato di scriverla su un pezzo di carta e assolutamente di non avere una forma digitale di questa password. Non sono ammesse applicazioni di Note, Microsoft Word, Google Drive o qualsiasi altra cosa che tu pensa sia sicuro. Per questa password c'è un'unica soluzione: carta e penna e tenerla in un posto sicuro a casa.

Che caratteristiche deve avere questa password? Eccole spiegate di seguito:

  • Lunga: almeno 12 caratteri
  • Unica: una password che non hai mai usato prima
  • Memorabile: una password che puoi ricordare facilmente
  • Non associata a te: una password che non ha nulla a che fare con te. Nome di cani, città, aziende per cui lavoriamo, ecc. sono tutte cose che ti espongono a rischi di sicurezza.
  • Complessa: una password che contiene lettere maiuscole, minuscole, numeri e caratteri speciali

Per aiutarti a scegliere una password complessa puoi utilizzare un generatore di password come quello offerto online da 1Password QUI.

Ti consiglio di cambiare o aggiungere qualche carattere alla password generata per renderla ancora più sicura.

La password a me proposta è la seguente:

  Rhode-straiten-poetry-bottle-squib-titan

Ho deciso di aggiungere una parola alla fine della password generata per renderla ancora più sicura.

Nota una cosa importante ovvero che la "Password type" è "Memorable Password". Questo significa che la password generata è più facile da memorizzare perchè non conterrà una serie di caratteri casuali ma piuttosto parole che quindi rendono la tua password più facile da ricordare ma grazie alla lunghezza, alla sua unicità ed ai caratteri speciali che contiene, estremamente difficile da indovinare.

Puoi anche testare questa password QUI.

Ti dice in media quanto ci vorrebbe per indovinare la tua password.

Prima di procedere, ti consiglio di scrivere questa password a volte definita anche come Master Password su un pezzo di carta e di conservarla in un luogo sicuro. Questa password è l'unica che dovrai ricordare da ora in poi quindi è importante che tu la conservi in un luogo sicuro.

Una volta creata la password, scritta su un pezzo di carta e messa in un luogo sicuro, copiala e incollala nel campo apposito su 1Password e clicca su "Successivo".

Nel caso utilizzi Chrome o un altro browser in cui ti viene richiesto di salvare la password che hai appena inserito, clicca su "Never" o "Mai" per evitare che il browser salvi la tua password.

Ora ti verrà chiesto di aggiungere il metodo di pagamento. Puoi anche farlo successivamente e per ora provare 1Password gratuitamente per 14 giorni.

Nota che il prezzo è di 35.88 USD senza IVA all'anno che sono all'incirca 40€ IVA inclusa all'anno.

Clicca quindi su "Crea una account e aggiungi la carta in un secondo momento".

Ora ti viene chiesto di salvare il tuo "Emergency Kit".

Questo Emergency Kit è un file PDF che contiene tutte le informazioni necessarie per accedere al tuo account 1Password nel caso in cui tu dimenticassi la tua password.

Insieme alla password precedentemente scritta su un foglio di carta, custodisci anche questo file PDF in un luogo sicuro e non accessibile a nessuno.

Finalmente l'account è stato creato e dovrai ritrovarti con una pagina simile a questa e con una "Cassaforte" chiamata "Personale" già creata.

Ora possiamo scaricare l'applicazione sul computer.

Installare l'applicazione sul computer

Per installare l'applicazione sul tuo computer, naviga su questa pagina se utilizzi un Mac o questa pagina se utilizzi Windows.

Una volta scaricato il file, installalo e avvia l'applicazione.

A questo punto dovremmo fare l'accesso con il nostro account. Possiamo farlo principalmente in due modi. O sfruttiamo il login che abbiamo aperto nel nostro browser oppure sfruttiamo l'Emergency Kit che abbiamo scaricato in precedenza.

Cliccando su "Sign in on 1Password.com" ti riporterà sul browser e dopodichè dovrai selezionare il tuo account.

Scegliendo l'opzione dell'Emergency Kit, puoi scegliere se fare l'import del file PDF oppure inserire manualmente i dati.

Fatto ciò dovrai ritrovarti loggato nell'applicazione e con la tua cassaforte personale.

Installare l'estensione del browser

L'estensione del browser è un componente che ti permette di utilizzare 1Password mentre navighi da computer sul web in modo mooolto più comodo perchè ti permette di salvare e utilizzare le tue password nei vari siti web senza dover aprire l'applicazione 1Password manualmente.

Andiamo quindi a installare l'estensione del browser.

Naviga su questa pagina e clicca su "Installa" per il browser che utilizzi.

Una volta installata, dovresti ritrovarti con un'icona di 1Password nel tuo browser.

Ora quando navighi su un sito web, puoi cliccare sull'icona di 1Password e ti verrà mostrato un menu con le tue password salvate.

Ti verrà mostrato anche un pulsante per salvare la password del sito web che stai visitando. In questo modo puoi aggiungere in modo automatico la password del sito web alla tua cassaforte. Pensa a questo processo come quando stai aggiungendo un numero di telefono alla tua rubrica telefonica.

Installare l'applicazione sullo smartphone

Per installare l'applicazione sul tuo smartphone, semplicemente vai sullo store del tuo smartphone e cerca "1Password". Una volta trovata l'applicazione, installala e avviala.

A questo punto puoi fare l'accesso utilizzando le tue credenziali. Puoi fare il login sfruttando il codice QR che trovi nell'Emergency Kit, oppure inserendo manualmente le credenziali. Nel caso dovesse chiederti la "SECRET KEY" anche questa la trovi nell'Emergency Kit.

Creare le prime password

Complimenti! Hai creato il tuo account e configurato le applicazioni 1Password 👏 Adesso quello che vuoi fare è imparare a creare una password.

Puoi creare una password in più modi:

  • Mentre navighi sul web quando ti viene chiesto di creare una password, 1Password ti suggerirà di crearne una nuova con una password complessa automaticamente generata da 1Password.
  • Aprendo il programma sul tuo computer e manualmente cliccando sul pulsante "Nuova voce" e selezionando "Login".
  • Aprendo l'applicazione sul tuo smartphone

Una cosa che ti consiglio vivamente di fare ogni volta che crei una password è di inserire anche l'URL del sito web. In questo modo quando navighi sul web e ti viene chiesto di inserire la password, 1Password ti mostrerà un pulsante per inserire la password automaticamente.

Questo è importantissimo anche perchè quando ti colleghi per esempio su Facebook e noti che 1Password non ti propone l'autoriempimento della password, ti fa capire che non ti stai connettendo al sito web ufficiale che pensi e che potresti essere su un sito di phishing. Ad esempio, anzichè essere su www.facebook.com potresti essere su www.faceb00k.com (con due zeri al posto delle o).

Cosa fare a questo punto?

Adesso hai tutto pronto. Hai creato il tuo account, hai installato l'applicazione sul tuo computer e sul tuo smartphone e hai creato le prime password. Per sfruttare a pieno il password manager dovresti salvare tutte le tue password al suo interno. Proprio come la rubrica telefonica, non hai dei contatti salvati da una parte, altri che ricordi a memoria ed altri salvati nella rubrica. Hai tutti i tuoi contatti salvati nella rubrica e il nostro obiettivo è fare la stessa cosa con le password.

Se hai le tue password salvate nel browser, la buona notizia è che dal computer puoi esportarle in un file CSV e poi importarle nel tuo password manager. In questo modo riuscirai velocemente a passare tutte le tue password nel tuo password manager.

Nel caso queste password erano diverse ma non particolarmente complesse, ti consiglio di andare a cambiare la password di tutti i tuoi account e di salvarle man mano in 1Password.

Il modo di esportare le password dal tuo browser varia da browser a browser in base a quello che tu stai utilizzando. Ti link di seguito una guida per i browser più utilizzati:

In 1Password puoi importare il file CSV che hai esportato dal tuo browser. Per farlo, apri 1Password sul browser dal tuo computer, clicca sul pulsante "File" e poi su "Importa".

Se invece hai riutilizzato la stessa password per tutti i tuoi account, ti consiglio di visitare questi siti uno alla volta, di andare a cambiare la password e di salvarla nel tuo password manager man mano che la cambi.

Adesso che hai un password manager dobbiamo assolutamente proteggerlo con un secondo fattore di autenticazione (2FA). Questo è importantissimo perchè se qualcuno dovesse rubarti la password del tuo account, non riuscirebbe ad accedere al tuo account senza il secondo fattore di autenticazione.

Andiamo alla prossima sezione per capire come funziona il 2FA e come configurarlo per il tuo password manager e per tutti i tuoi account online.

Bitwarden

Bitwarden

Come iniziare ad usare Bitwarden?

Per iniziare ad uasre Bitwarden dovremo seguire diversi passaggi nei quali ti accompagnerò passo passo con aggiunta di screenshots per rendere il tutto più semplice.

I passaggi sono:

Creare un account ✅
Installare il programma sul computer ✅
Installare l'estensione del browser ✅
Installare l'applicazione sullo smartphone ✅
Creare le prime password ✅
Migrare le password esistenti al tuo nuovo password manager ✅

Man mano che andiamo avanti nei prossimi step puoi spuntare la casella corrispondente per tenere traccia dei passaggi che hai completato.

Creare un account

Naviga alla pagina di Bitwarden e clicca sul pulsante "Create a Free Account".

Inserisci una tua e-mail, il tuo nome e la cosiddetta Master password.

Voglio un attimo introdurti al concetto della Master password.

La Master password è la password che ti permetterà di accedere al tuo password manager. Questa password è l'unica che dovrai ricordare a memoria da qui ad andare avanti ed è molto consigliato di scriverla su un pezzo di carta e assolutamente di non avere una forma digitale di questa password. Non sono ammesse applicazioni di Note, Microsoft Word, Google Drive o qualsiasi altra cosa che tu pensa sia sicuro. Per questa password c'è un'unica soluzione: carta e penna e tenerla in un posto sicuro a casa.

Che caratteristiche deve avere questa password? Eccole spiegate di seguito:

  • Lunga: almeno 12 caratteri
  • Unica: una password che non hai mai usato prima
  • Memorabile: una password che puoi ricordare facilmente
  • Non associata a te: una password che non ha nulla a che fare con te. Nome di cani, città, aziende per cui lavoriamo, ecc. sono tutte cose che ti espongono a rischi di sicurezza.
  • Complessa: una password che contiene lettere maiuscole, minuscole, numeri e caratteri speciali

Per aiutarti a scegliere una password complessa puoi utilizzare un generatore di password come quello offerto online da Bitwarden QUI.

Ti consiglio di cambiare o aggiungere qualche carattere alla password generata per renderla ancora più sicura.

Ecco un esempio di password sicura:

La password a me proposta è la seguente:

  Rogue8-Rendering-Afternoon-Stabilize-Destiny

Ho deciso di aggiungere una parola alla fine della password generata per renderla ancora più sicura.

Nota una cosa importante ovvero che ho selezionato "Passphrase" come Tipo di password anzichè "Password". Questo perchè una passphrase è più memorabile dalla mente umana ma allo stesso tempo rimane estremamente sicura se composta da almeno 12 caratteri, include numeri, caratteri speciali e lettere maiuscole e minuscole.

Una volta che hai scelto la tua password, e l'hai annotata su un pezzo di carta al sicuro, compila i campi e clicca su "Create Account".

Nota che io non sto aggiungendo nessuna informazione nel campo "Master password hint". Questo servirebbe come suggerimento nel caso dovessi dimenticarti la password. Il motivo per cui non aggiungo nulla è per avere un ulteriore livello di sicurezza. Perchè dare delle informazioni ad un potenziale hacker che sta provando ad accedere al mio password manager e dargli la possibilità di leggere il suggerimento della password? Non ha senso. Quindi lascialo vuoto e assicurati di non perdere mai la tua password principale annotandola su un pezzo di carta e tenendola in un posto sicuro.

Ora ti verrà chiesto di fare il login.

Fatto il login dovresti ritrovarti sulla pagina principale del tuo account di Bitwarden 🥳

Per verificare il tuo account Bitwarden non ti invierà una mail in automatico ma dovrai essere te a cliccare su questo riquadro sulla destra.

Ora controlla la tua casella di posta e clicca su "Verify Email Address Now".

Fatto ciò siamo pronti ad installare il programma sul computer.

Installare il programma sul computer

Per installare il programma sul computer, naviga su questa pagina e clicca sul pulsante "Download" per il sistema operativo che stai utilizzando.

Una volta che hai scaricato il programma e installato, ti verrà chiesto di fare il login.

E a questo punto sarai loggato nel tuo account Bitwarden.

Procediamo con l'installazione dell'estensione sul browser.

Installare l'estensione del browser

L'estensione del browser è un componente che ti permette di utilizzare Bitwarden mentre navighi da computer sul web in modo mooolto più comodo perchè ti permette di salvare e utilizzare le tue password nei vari siti web senza dover aprire l'applicazione Bitwarden manualmente.

Andiamo quindi a installare l'estensione del browser.

Naviga su questa pagina e clicca su sull'icona del browser che stai utilizzando.

Una volta installata dovresti averla disponibile nel tuo browser.

Ora quando navighi su un sito web, puoi cliccare sull'icona di Bitwarden e ti verrà mostrato un menu con le tue password salvate.

Ti verrà mostrato anche un pulsante per salvare la password del sito web che stai visitando. In questo modo puoi aggiungere in modo automatico la password del sito web al tuo account Bitwarden. Pensa a questo processo come quando stai aggiungendo un numero di telefono alla tua rubrica telefonica.

Installare l'applicazione sullo smartphone

Per installare l'applicazione sul tuo smartphone, semplicemente vai sullo store del tuo smartphone e cerca "1Password". Una volta trovata l'applicazione, installala e avviala.

Ti verranno chieste le credenziali di accesso email e Master Password.

Creare le prime password

Complimenti! Hai creato il tuo account e configurato le applicazioni Bitwarden 👏 Adesso quello che vuoi fare è imparare a creare una password.

Puoi creare una password in più modi:

  • Mentre navighi sul web quando ti viene chiesto di creare una password, apri l'estensione del browser di Bitwarden e crea un nuovo login aggiungendo l'email, generando una password con la funzione di Bitwarden e cliccando su salva. Ora puoi copiare la password e utilizzarla nel form di registrazione del sito web che stai utilizzando.
  • Aprendo il programma sul tuo computer e manualmente cliccando sul pulsante "+" e selezionando "Login".
  • Aprendo l'applicazione sul tuo smartphone

Ti mostro di seguito come fare per creare una password mentre navighi sul web.

  • Prima di tutto assicurati di fare il login nell'estensione del browser di Bitwarden.
  • Ora clicca sul pulsante "+" e seleziona "Login".
  • A questo punto inserisci il nome del sito web, l'email come Username, genera una password cliccando sul pulsante delle freccette e aggiungi l'URL del sito nella sezione URI 1
  • Qui ti mostro la schermata del generatore di password. Ti consiglio di utilizzare come Password type "Password", di avere una lunghezza almeno di 20 caratteri e di utilizzare tutti i caratteri possibili. In questo modo avrai una password molto sicura. Non dovrai mica ricordartela, vero? 😜
  • Fatto ciò dovresti avere una schermata simile a questa. Ora clicca su "Save" e la password verrà salvata nel tuo account Bitwarden.
  • E qui puoi notare come questo Login sia stato salvato e disponibile nel tuo account di Bitwarden

Cosa fare a questo punto?

Adesso hai tutto pronto. Hai creato il tuo account, hai installato l'applicazione sul tuo computer e sul tuo smartphone e hai creato le prime password. Per sfruttare a pieno il password manager dovresti salvare tutte le tue password al suo interno. Proprio come la rubrica telefonica, non hai dei contatti salvati da una parte, altri che ricordi a memoria ed altri salvati nella rubrica. Hai tutti i tuoi contatti salvati nella rubrica e il nostro obiettivo è fare la stessa cosa con le password.

Se hai le tue password salvate nel browser, la buona notizia è che dal computer puoi esportarle in un file CSV e poi importarle nel tuo password manager. In questo modo riuscirai velocemente a passare tutte le tue password nel tuo password manager.

Nel caso queste password erano diverse ma non particolarmente complesse, ti consiglio di andare a cambiare la password di tutti i tuoi account e di salvarle man mano in Bitwarden.

Il modo di esportare le password dal tuo browser varia da browser a browser in base a quello che tu stai utilizzando. Ti link di seguito una guida per i browser più utilizzati:

In Bitwarden puoi importare il file CSV che hai esportato dal tuo browser. Per farlo, apri Bitwarden sul browser dal tuo computer, clicca su "Tools" in alto, dopodichè clicca su "Import data", seleziona il tipo di file che vuoi importare (Chrome, Firefox, Safari), seleziona il File e clicca sul pulsante "Import data".

Se invece hai riutilizzato la stessa password per tutti i tuoi account, ti consiglio di visitare questi siti uno alla volta, di andare a cambiare la password e di salvarla nel tuo password manager man mano che la cambi.

Adesso che hai un password manager dobbiamo assolutamente proteggerlo con un secondo fattore di autenticazione (2FA). Questo è importantissimo perchè se qualcuno dovesse rubarti la password del tuo account, non riuscirebbe ad accedere al tuo account senza il secondo fattore di autenticazione.

Andiamo alla prossima sezione per capire come funziona il 2FA e come configurarlo per il tuo password manager e per tutti i tuoi account online.

Introduzione al 2FA

Quando abbiamo iniziato a parlare delle password ti ho spiegato come le password sono una parte di una chiave e non sono LA chiave. Ecco, ora è arrivato il momento di capire qual è la parte mancante della chiave di cui parlavamo per poter aprire la porta dei nostri accounts.

L'acronimo 2FA sta per "Two Factor Authentication" e significa "Autenticazione a due fattori". Questo significa che per accedere ad un account online, oltre alla password, è necessario inserire un secondo fattore di autenticazione.

Il modo più comune è quello di inserire un codice che viene inviato tramite SMS al tuo numero di telefono o alla tua e-mail.

La regola della sicurezza informatica è semplice e si basa su due elementi:

  • Qualcosa che sai
  • Qualcosa che hai

La password è qualcosa che sai, mentre il codice inviato tramite SMS, un codice ricevuto via email, un generatore di codici temporanei è qualcosa che hai.

Se hai un secondo fattore di autenticazione affidabile, gli hacker potrebbero potenzialmente entrare in possesso della tua password e comunque non riuscire ad accedere al tuo account. Questo è quanto è importante avere un secondo fattore di autenticazione. Può salvarti da un furto di identità digitale e gli innumerevoli problemi che ne derivano.

Come funziona tecnicamente il 2FA?

Il 2FA è solitamente una sorta di codice temporaneo che viene generato da un'applicazione o inviato tramite SMS o e-mail. Questo codice temporaneo è un codice che cambia ogni tot secondi e che viene generato da un algoritmo matematico.

In che modo viene generato? Semplicemente utilizza un seme, una sorta di chiave segreta, un lungo testo alfanumerico che il sito sul quale stai attivando il 2FA ti mostra quando attivi questo fattore di autenticazione (molto spesso nascosto dietro ad un codice QR che puoi scansionare con il tuo smartphone). Quando scansioni il 2FA con un'applicazione come per esempio Google Authenticator, quest'applicazione salverà questo seme e sarà capace di generare un codice temporaneo ogni tot secondi ogni qual volta ti servirà per accedere al tuo account.

Quindi il 2FA è basato su una lunga chiave segreta. Nient'altro.

Livelli di sicurezza del 2FA: SMS, Password Manager, Google Authenticator, Authy e Yubikey

Ci sono svariati livelli di sicurezza per il 2FA. Più ne aumenti il livello, più sarai protetto e meno probabilmente il metodo scelto sarà comodo da utilizzare dall'utente.

Quando parli di sicurezza infatti c'è sempre un compromesso che devi fare tra sicurezza e comodità. Più sicuro è un metodo, meno comodo sarà per noi da utilizzare.

Quindi l'obiettivo è quello di trovare il giusto compromesso tra questi due attori.

Attivare il 2FA? SEMPRE. Usare il metodo più sicuro? Dipende.

Quali sono i metodi 2FA più comuni e come si posizionano in termini di sicurezza e comodità? Scopriamolo insieme.

SMS - Livello basso

Questo è il livello di sicurezza più basso e il più comodo da utilizzare. È anche quello che ti consiglio di evitare. Perchè? Perchè il numero di cellulare è un dato che può essere facilmente rubato e clonato e nel momento in cui qualcuno riesce a rubare o clonare il tuo numero e quindi ad avere accesso al tuo numero, ha praticamente accesso al tuo secondo fattore di sicurezza.

Sia chiaro, è meglio avere SMS 2FA che non avere nessun 2FA ma essendo che esistono altri metodi molto più sicuri e altrettanto comodi da utilizzare, perchè scegliere SMS?

Se scegli un altro sistema come ad esempio Google Authenticator, fai attenzione a non aggiungere anche SMS altrimenti avrai vanificato lo sforzo di avere Google Authenticator come 2FA. Questo perchè stai aggiungendo l'opzione al tuo account di poter accedere anche tramite SMS e quindi quest'opzione sarà ovviamente disponibile anche ad un eventuale Hacker che sta provando a rubarti l'account.

Funzionalità interna al Password Manager - Livello medio-basso

Tanti password manager, come 1Password e Bitwarden, offrono una funzionalità interna che puoi utilizzare per salvare questo seme del 2FA e generare i codici temporanei direttamente dal password manager per ogni Login che hai salvato.

Questo è un metodo molto comodo da utilizzare perchè non devi installare nessuna applicazione aggiuntiva ed in un solo posto puoi salvare sia la password che il 2FA. Il problema è proprio questo ovvero che salvi entrambi i fattori di sicurezza in un singolo posto e quindi se qualcuno dovesse riuscire ad avere accesso al tuo password manager avrebbe in automatico accesso anche al tuo 2FA. Quindi rendi il tuo 2FA più come un 1FA ovvero due fattori di autenticazione salvati in un singolo posto.

Per poter salvare il 2FA in un Login che hai creato nel tuo password manager semplicemente puoi scansionare il codice QR dal cellulare o dall'applicazione del tuo computer. Quando non riesci ad aggiungere il 2FA tramite codice QR, puoi semplicemente copiare questo seme che ogni sistema ti mostra mentre lo stai attivando ed incollarlo nell'apposito campo all'interno del Login presente nel tuo password manager.

Cerchiamo di capire meglio questo concetto con un esempio pratico. Proviamo ad attivare il 2FA nell'account di Google e salviamo il 2FA nel password manager. Ti mostro come fare sia con 1Password che con Bitwarden ma sappi che per Bitwarden dovrai necessariamente utilizzare la versione Premium (quella che costa 10$ all'anno).

Nel caso di Google dovremmo prima di tutto avere il 2FA attivo con il nostro numero di cellulare, dopodichè possiamo aggiungere una seconda modalità di 2FA e a questo punto possiamo aggiungere il nostro Password Manager come secondo fattore di sicurezza ed in fine potremmo rimuovere il 2FA con il numero di cellulare. La scelta di rimuovere infine il 2FA con il numero di cellulare la lascio a te. Io personalmente non ho nessun numero di cellulare collegato al mio account di Google.

1Password

1Password
  1. Dirigiamoci sulla pagina di Google e andiamo nelle impostazioni di sicurezza: https://myaccount.google.com/security?hl=it_IT
  2. Se non hai ancora la verifica a due passaggi con il tuo cellulare, clicca su "Verifica in due passaggi"
  1. Attiva la verifica in due passaggi con il tuo numero di cellulare e a questo punto dovresti ritrovarti con una schermata simile
  1. Adesso clicca su "Authenticator" in basso
  1. Adesso hai due modi per aggiungere il 2FA dentro al tuo password manager. O tramite codice QR o tramite codice manuale. Nel caso in cui volessi utilizzare il codice manuale devi cliccare su "Non riesci a scansionarlo?" altrimenti puoi semplicemente scansionare il codice QR aprendo il password manager, dirigendoti sul Login di Google, cliccando sulle impostazioni del Login e aggiungendo da qui la "One Time Password", ovvero il 2FA.
  1. Quindi apri 1Password e clicca su "Add more" e poi su "One-Time Password"
  1. Aggiungi il codice qui e clicca su "Save"
  1. Ora il tuo account Google dovrebbe risultare con il 2FA attivo con l'authenticator
  1. A questo punto puoi eliminare il 2FA con il numero di cellulare se vuoi

Bitwarden

Bitwarden
  1. Dirigiamoci sulla pagina di Google e andiamo nelle impostazioni di sicurezza: https://myaccount.google.com/security?hl=it_IT
  2. Se non hai ancora la verifica a due passaggi con il tuo cellulare, clicca su "Verifica in due passaggi"
  1. Attiva la verifica in due passaggi con il tuo numero di cellulare e a questo punto dovresti ritrovarti con una schermata simile
  1. Adesso clicca su "Authenticator" in basso
  1. Adesso hai due modi per aggiungere il 2FA dentro al tuo password manager. O tramite codice QR o tramite codice manuale. Nel caso in cui volessi utilizzare il codice manuale devi cliccare su "Non riesci a scansionarlo?" altrimenti puoi semplicemente scansionare il codice QR aprendo il password manager, dirigendoti sul Login di Google, cliccando sulle impostazioni del Login e aggiungendo da qui la "One Time Password", ovvero il 2FA.
  1. Quindi apri Bitwarden e clicca sull'icona per modificare il Login in basso e poi aggiungi il codice in "Authenticator key (TOTP)"
  1. Aggiungi il codice qui e clicca su "Save"

  2. Ora il tuo account Google dovrebbe risultare con il 2FA attivo con l'authenticator

  1. A questo punto puoi eliminare il 2FA con il numero di cellulare se vuoi

Google Authenticator - Livello medio

Google Authenticator - Livello medio

Google Authenticator inizia ad essere il metodo più sicuro che abbiamo visto finora. È un'applicazione che puoi installare sul tuo smartphone e che ti permette di salvare i semi del 2FA e generare i codici temporanei.

Il problema è che se perdi il tuo smartphone o se lo cambi, devi riattivare il 2FA per tutti i tuoi account uno alla volta. Questo è un problema che può essere risolto facendo un backup associando questi codici al tuo account Google se ne possiedi uno. Questo metodo porta un buon livello di sicurezza se possiedi un account Google.

È importante capire che nel caso in cui dovessi perdere accesso al tuo account Google, perderesti anche tutti i codici del 2FA e quindi non potresti più accedere ai tuoi account online. Quindi è importante che tu abbia un backup di questi codici. Inoltre, nel caso in cui dovessi perdere accesso a Google Authenticator, per esempio il tuo cellulare dovesse smettere di funzionare e non hai fatto un Backup o non hai associato questi codici al tuo account Google non riuscirai più a recuperarli e ti ritroveresti quindi in una situazione di blocco con i tuoi account.

Vediamo come aggiungere il 2FA con Google Authenticator al tuo account Google.

  1. Apri lo store del tuo smartphone e installa l'applicazione Google Authenticator
  2. Dirigiti sul tuo account Google e vai nelle impostazioni di sicurezza: https://myaccount.google.com/security?hl=it_IT
  3. Se non hai ancora la verifica a due passaggi con il tuo cellulare, clicca su "Verifica in due passaggi"
  4. Attiva la verifica in due passaggi con il tuo numero di cellulare e a questo punto dovresti ritrovarti con una schermata simile
  1. Adesso clicca su "Authenticator" in basso
  1. Adesso apri l'applicazione Google Authenticator sul tuo smartphone, fai l'accesso con il tuo account Google. Nel caso in cui dovesse chiederti di salvare i codici sul tuo account Google, accetta. In questo modo avrai un backup dei codici del 2FA.
  1. A questo punto clicca su "Scan a QR code" per scannerizzare il codice QR che ti viene mostrato sul tuo computer quando stai attivando il 2FA
  1. A questo punto il 2FA verrà aggiunto al tuo account e alla tua applicazione Google Authenticator. Ora puoi andare avanti nella configurazione del 2FA e copiare il codice 2FA nel campo "Enter the 6-digit code" e cliccare su "Next". Da ora in poi quando dovrai collegarti al tuo account Google da un nuovo dispositivo oltre alla password dovrai aggiungere questo codice temporaneo che viene generato ogni 30 secondi dall'applicazione Google Authenticator.

Nel caso in cui non possiedi un account Google, puoi utilizzare un'altra applicazione che si chiama Authy.

Authy - Livello medio

Authy - Livello medio

Authy è un'applicazione che funziona in modo molto simile a Google Authenticator ma che ti permette di avere un backup disassociato dal tuo account Google e di farlo sul cloud associato al tuo account Authy. Questo significa che se perdi il tuo smartphone o se lo cambi, puoi facilmente recuperare i codici utilizzando il tuo account Authy.

Per iniziare ad utilizzare Authy segui i seguenti passaggi:

  1. Apri lo store del tuo smartphone e installa l'applicazione Authy
  2. Dirigiti sul tuo account Google e vai nelle impostazioni di sicurezza: https://myaccount.google.com/security?hl=it_IT
  3. Se non hai ancora la verifica a due passaggi con il tuo cellulare, clicca su "Verifica in due passaggi"
  4. Attiva la verifica in due passaggi con il tuo numero di cellulare e a questo punto dovresti ritrovarti con una schermata simile
  1. Adesso clicca su "Authenticator" in basso
  1. Adesso apri l'applicazione Authy sul tuo smartphone e crea un account Authy con il tuo numero di cellulare. In questo modo avrai un backup dei codici del 2FA. Attiva nelle impostazioni di Authy la funzione "PIN Protection" e scegli un PIN di 4 cifre che ti permetterà di proteggere l'applicazione Authy. Attiva temporaneamente la funzione "Allow Multi-device" per poter aggiungere Authy su un secondo dispositivo di cui ti fidi, aggiungi l'applicazione Authy sul secondo dispositivo e disattiva la funzione "Allow Multi-device". In questo modo avrai un backup dei codici del 2FA su due dispositivi diversi.

Yubikey - Livello alto

Yubikey è un dispositivo fisico che puoi acquistare, una sorta di chiaveta USB, e che ti permette di salvare i semi del 2FA e generare i codici temporanei attraverso questa chiavetta fisica. È il sistema più sicuro che puoi utilizzare per il 2FA ma è anche il meno pratico perché devi avere sempre con te questa chiavetta e devi averne almeno due, una come backup nel caso in cui la prima dovessi perderla o dovesse smettere di funzionare.

Per questa modalità non andremo a vedere come funziona nel dettaglio ma nel caso in cui sei una persona che fa estrema attenzione alla sicurezza informatica e vuole esplorare questa modalità, puoi comprare le chiavette dal sito ufficiale di Yubikey: https://www.yubico.com/store/

Io personalmente utilizzo questo metodo per i miei account più importanti ma Google Authenticator o Authy vanno più che bene per la maggior parte delle persone.

Le chiavette che io utilizzo sono una YubiKey 5Ci e una YubiKey 5 NFC

Come gestire il 2FA per i tuoi account esistenti

Per gestire il 2FA per i tuoi account esistenti devi andare nelle impostazioni di sicurezza di ogni singolo account e cercare la sezione relativa al 2FA ed attivarla. Lo so, è un po' una rottura di palle ma è un passaggio necessario per rendere i tuoi account estremamente più sicuri e poi è un passaggio che devi fare solo una volta per ogni account. Fatto questo oggi non dovrai più preoccuparti di poter essere facilmente hackerato. Se vuoi essere sicuro al 100% puoi anche cambiare la password di tutti i tuoi account.

Nota importante sul 2FA

Ricorda che quando attivi il 2FA per un account devi assicurarti di avere cura del sistema che usi come secondo fattore di authenticazione perchè nel caso in cui dovessi perdere accesso a quel sistema, non potrai più accedere al tuo account. Non è come una password che puoi facilmente recuperare, se perdi accesso al tuo secondo fattore di autenticazione sarà molto difficile recuperare l'accesso al tuo account e a volte impossibile.

Passkeys

Ora voglio brevemente parlarti di una nuova tecnologia che si chiama Passkeys. Sto infatti per dirti una cosa che per un attimo ti farà pensare che tutto lo sforzo fatto fino ad ora sia stato inutile ma lascia che ti spieghi.

Passkeys è una tecnologia molto recente infatti ancora in fase di sviluppo per la maggior parte dei siti web che permetterà a noi utenti di fare l'accesso senza una password.

Emanuele, cosa vuoi dire con "senza una password"? Come faccio ad accedere ad un sito web senza una password? E poi, mi hai fatto fare tutto questo casino quando potevo semplicemente aspettare che questa tecnologia fosse pronta e non avere più problemi con le password?

Ecco, non è esattamente come sembra. È una tecnologia che permetterà l'accesso ai nostri account tramite autenticazione biometrica, ovvero un'impronta digitale o riconoscimento facciale (i più comunemente utilizzati).

Per fare ciò, i siti web che ci daranno la possiblità di attivare l'autenticazione Passkeys necessiteranno che noi utenti salveremo una sorta di chiave di accesso da qualche parte. Dove sarà quel luogo in cui salveremo questa chiave? Se hai pensato che sarà il password manager hai indovinato. E sia 1Password che Bitwarden rilasceranno il supporto per Passkeys durante l'estate del 2023 😃

Google sta iniziando ad offrire questa modalità di autenticazione e sarà possibile utilizzare il password manager per salvare le passkeys a breve.

Quindi è una nuova tecnologia ancora non vastamente utilizzata ma è importante che tu ne sia a conoscenza perchè appunto si pensa che diventerà lo standard (forse? 🤔).

Quindi quello che stiamo facendo oggi non è assolutamente inutile ma un investimento per il vicino futuro in cui inizieremo ad adottare questa nuova tecnologia con gli stessi password manager che stiamo integrando oggi durante questo articolo.

Conclusione

In questo articolo abbiamo parlato di sicurezza informatica e spero di averti aiutato a capire la vera importanza della sicurezza informatica. A parte le tante chiacchiere, ci sono due cose principali che abbiamo esplorato e che tu dovresti iniziare ad usare:

  • i password managers
  • il 2FA su ogni account che utilizzi (Facebook, Gmail, Instagram, ecc...)

Spero che tu abbia seguito la guida e fatto i passi necessari per migliorare la tua sicurezza online e proteggere la tua identità digitale.

Influenza in modo positivo e diretto le persone che ti sono intorno condividendo con loro questo articolo pratico e semplice da seguire.

Adesso è il momento per me di salutarti, ti aspetto al prossimo articolo. Ciao! 👋