Tag: gestore password

Devi cambiare le tue password? Te lo dice LastPass!

Sul mercato ci sono programmi che, oltre a proteggere le password, ti dicono quando è ora di cambiarle. Uno dei migliori è LastPass. Ma come usarlo per controllare la forza delle tue chiavi d’accesso?

Alcuni fattori contribuiscono all’indebolimento delle password:

  • Tempo: più una chiave d’accesso è vecchia, più probabile sarà che questa sia vulnerabile
  • Semplicità: le password semplici sono più deboli di quelle complesse
  • Lunghezza: le chiavi d’accesso brevi sono più facili da violare rispetto a quelle lunghe
  • Ripetizione: l’uso della stessa password per più account aumenta i rischi di sicurezza

Per verificare che le tue chiavi d’accesso siano sicure, è consigliabile eseguire i test compresi nei gestori di password, ovvero dei programmi che ti consentono di salvarle, ricordarle e proteggerle. LastPass, per esempio, analizza in meno di un minuto le tue chiavi d’accesso e ti dice quali modificare.

Scopri in questo tutorial come installare LastPass, come memorizzare le password e come eseguire il controllo di sicurezza.

1. Installa LastPass sul tuo computer

LastPass funziona su tutti i browser. Il programma di installazione universale per Windows ti aiuterà a installare LastPass su Chrome, Firefox, Internet Explorer, Safari e Opera.

Innanzitutto, il programma di installazione ti chiederà la lingua che desideri usare.

Dopodiché, seleziona i browser su cui desideri installare l’estensione. Se sono aperti, LastPass ti chiederà di chiuderli (in caso contrario, l’installazione non andrà a buon fine).

Infine, è necessario creare un account LastPass o effettuare il login. Questo passo può essere eseguito successivamente dal browser.

All’apertura di ogni browser, dovrai installare l’estensione e autorizzarla. Ad esempio, questo è quello che vedrai su Chrome.

LastPass visualizza sempre un pulsante rosso con un asterisco bianco al centro:

2. Importa le password su LastPass

Il passo successivo consiste nell’importare tutte le chiavi d’accesso memorizzate sul browser. Fai click sul pulsante di LastPass e vai al menu Tools > Import from.

LastPass aprirà una finestra con l’elenco di tutte le password disponibili. Scegli quelle che vuoi importare (o selezionale tutte) e premi il pulsante Import.

Da questo momento le tue chiavi d’accesso saranno salvate su LastPass e protette da una master password (non perderla!).

3. Avvia il test di sicurezza di LastPass

È giunto il momento di controllare la forza delle tue password. Fai click sull’icona di LastPass e apri il menu Tools.

Seleziona l’opzione Security Check.

Si aprirà una pagina sicura (con l’icona a forma di lucchetto) appartenente a LastPass. Fai click sul pulsante Start the challenge.

Le password verranno analizzate…

… e ti verrà chiesto se vuoi controllare se i tuoi account hanno subito dei furti di dati. Conferma facendo click su OK.

Dopo un minuto comparirà la pagina dei risultati.

4. Consulta l’elenco e scegli le password da modificare

Il rapporto di sicurezza di LastPass è molto completo e utile. Innanzitutto, ti informerà sugli avvenimenti più importanti, come il bug Heartbleed, e ti dirà se è necessario aggiornare immediatamente le password o meno.

Dopodiché, il rapporto prosegue con una sintesi delle password analizzate, la  loro forza e la lunghezza media, il numero di chiavi duplicate e altri dati.

La parte più interessante si trova alla fine: l’elenco delle password con l’indicazione della loro forza. Se sono duplicate, LastPass le raggrupperà. Per andare ad ogni sito, basta fare click sul link.

Se una password è debole e viene usata su molti account, il punteggio sarà basso. Per raggiungere una forza del 100% la chiave deve essere lunga, complessa e unica. Vuoi un consiglio? Cambia quelle che si trovano al di sotto dell’80%.

5. Usa il generatore di password di LastPass

Quando devi impostare una nuova chiave d’accesso, fai click sull’icona LastPass per aprire il generatore di password. Scegli una di quelle che ha creato in modo casuale e salvala.

La chiave verrà associata al sito e inserita automaticamente ogni volta che lo visiti, ma solo se LastPass è attivo (icona rossa).

Non dimenticare la master password!

Come hai appena visto, un gestore di password come LastPass non solo controlla le chiavi d’accesso, ma ti consente di sostituirle con altre più sicure e le ricorda al posto tuo ogni volta che visiti un sito. Attenzione, però, a non dimenticare la master password: se dovessi smarrirla, l’archivio sarà inaccessibile per sempre.

Che punteggio hai ottenuto dal test di sicurezza di LastPass?


[Adattamento di un articolo originale di Fabrizio Ferri-Benedetti su Softonic ES]

È arrivato il momento di usare un gestore di password. Scopri perché!

Heartbleed è un bug che mette a repentaglio la sicurezza di due terzi dei siti web esistenti su internet, poiché consente agli hacker di rubare nomi e password. Tra le vittime figurano anche colossi quali Google e Yahoo!, che hanno creato delle patch per far fronte alla sopravvenuta vulnerabilità.

Se da un lato non puoi fare niente per arginare l’attacco degli hacker ai siti web, dall’altro puoi prendere delle precauzioni per proteggere le tue informazioni personali. Senza dubbio, il primo step è creare password univoche e sicure per ogni sito e servizio che utilizzi. Il problema è solo uno: come fare a ricordarle tutte? Basta utilizzare una soluzione per la gestione delle password o password manager.

Che cos’è un password manager?

Password per Mac

I password manager sono programmi in grado di generare, archiviare e crittografare tutte le password che utilizzi. L’unica che dovrai ricordare sarà una potente master password per accedere al tuo database.

Grazie alla creazione di password univoche e casuali contenenti lettere, numeri e simboli, eviterai di perdere i dati contenuti nei tuoi account, in caso di furto della password. Se, ad esempio, il tuo account Facebook viene attaccato dagli hacker, questi riusciranno ad accedere facilmente anche a tutti gli altri account per i quali hai impostato la stessa password.

Un esempio di password sicura generata da LastPass

Le password deboli composte soltanto da lettere e numeri rimangono facilmente vittime di attacchi brutali; così come quelle brevi che addirittura li facilitano.

App come 1PasswordLastPass sono due ottime opzioni e offrono funzionalità che vanno oltre la semplice gestione delle password; infatti, sono in grado di archiviare documenti sensibili, informazioni della carta di credito o perfino le licenze dei software che hai acquistato.

Che cosa succede se viene rubata anche la mia master password?

La perdita della master password è un evento altamente improbabile e i password manager servono proprio a complicare un eventuale attacco volto a craccarla. Abbiamo discusso di questo tema con Jeffrey Goldberg, Defender Against the Dark Arts (letteralmente Difensore contro le arti oscure, che è veramente il titolo del suo ruolo) di 1Password, circa la strategia adottata dall’app per proteggere le master password. “La crittografia dei dati inseriti in 1Password è eseguita mediante chiavi ricavate dalla master password. Nessuno ha accesso alle chiavi né alla master password. Se qualcuno acquisisce i dati di 1Password, l’unico modo per decrittografarli è conoscere la master password.”

LastPass per Chrome

Lo stesso avviene con LastPass: sebbene LastPass sincronizzi il tuo database di password nei suoi server, le chiavi di crittografia non vengono inviate o archiviate da nessuna parte. Tutte le chiavi di crittografia derivano dalla tua master password e sono archiviate in locale su computer o dispositivo.

“L’SSL viene utilizzato soltanto come una protezione di secondo livello. L’archiviazione di chiavi in locale rappresenta la protezione core”, ha dichiarato il CEO di LastPass, Joe Siegrist.

È proprio necessario modificare tutte le password?

Innanzitutto, verifica se Heartbleed ha attaccato anche i siti che utilizzi di solito e assicurati che i problemi siano stati risolti mediante apposite patch. Mashable offre un ottimo elenco dei siti più comuni e delle misure che hanno attuato per fronteggiare Heartbleed. Prima di modificare la password, accertati che il sito che t’interessa abbia preso delle contromisure per risolvere il bug Heartbleed, altrimenti corri il rischio che anche la tua nuova password sia esposta a rischi. Sebbene alcuni ritengano che l’allarme su Heartbleed sia esagerato, in questi casi non fa male eccedere in precauzioni.

Cloudflare, un content delivery network, ha lanciato una sfida che invita gli utenti a tentare di sottrarre chiavi private utilizzando un sito infettato dal bug Heartbleed. Nel giro di poche ore, alcuni utenti sono riusciti a sfruttare il bug per sottrarre chiavi di crittografia private e questo è bastato per dimostrare che la minaccia è reale.

“L’allarme per [Heartbleed] non è esagerato”, ha detto Siegrist. “Cloudflare ha dimostrato che il bug può essere utilizzato molto facilmente. È plausibile che sia servito a sottrarre nomi utente e password”.

LastPass Heartbleed Checker

Modificare le password con un password manager è facile: l’app memorizza e archivia le nuove password. LastPass semplifica ulteriormente la procedura inviando delle notifiche agli utenti che indicano i siti e gli account più esposti agli attacchi del bug Heartbleed. Nel sito web pubblico puoi digitare l’URL che t’interessa per verificare se è stato colpito. Mashable ha redatto un elenco straordinario delle misure implementate dalle società per far fronte a Heartbleed.

Poiché non sono disponibili strumenti di automazione, sia 1Password che Lastpass stanno lavorando per migliorare questa funzionalità.

“L’utente deve comunque modificare la password autonomamente e poi 1Password lo guiderà durante la creazione e il salvataggio delle nuove e più efficaci credenziali di accesso. Lavoriamo costantemente per migliorare questo processo”, ha dichiarato Goldberg.

Inoltre, con una piccola quantità di lavoro oggi possiamo risparmiarci dei grossi grattacapi in futuro.

Cos’altro posso fare per proteggere i miei account?

Senza dubbio i password manager sono il primo passo verso la sicurezza. Ti consigliamo di prestare sempre attenzione alle novità relative alla sicurezza e ai siti web che visiti.

Gli attacchi di pishing, ossia una strategia adottata dai siti web per far credere agli utenti che stanno accedendo a un sito diverso da quello effettivo, sono una strategia comune per la sottrazione dei dati. Non cliccare mai su link sospetti inviati tramite email o chat.

I password manager rappresentano un grande aiuto perché ti consentiranno di accedere direttamente al sito corretto. A volte anche un errore di battitura minimo ti può reindirizzare a un sito di pishing senza che tu te ne accorga.

Blocco del browser di Chrome

“Gli utenti dovrebbero considerare più attentamente gli avvertimenti relativi a SSL/TLS che vengono visualizzati nei browser”, consiglia Goldberg. Il blocco a disposizione nella barra dell’indirizzo URL nei browser moderni consente loro di visualizzare i siti legittimi e crittografati. La maggior parte dei browser notifica l’utente se sta visitando un sito pericoloso, ma essere a conoscenza degli strumenti a disposizione non fa certo male.

Inoltre, dovresti abilitare l’autenticazione a due fasi su tutti i siti e i servizi che la supportano. Questa si basa su due forme d’identificazione: una password e un codice randomizzato. Dopo aver immesso la password, dovrai inserire il codice che riceverai tramite SMS oppure mediante un’app per l’autenticazione come Google Authenticator. I codici funzioneranno solo per un breve lasso di tempo, prima di scadere.

L'autenticazione a due fasi di Dropbox

Facebook, Google, Twitter, Evernote e molte altre società offrono un ulteriore livello di sicurezza, che sebbene comporti alcuni passi aggiuntivi per eseguire l’accesso all’account, vale assolutamente la pena utilizzare per garantire la sicurezza dei tuoi dati.

Infine, tieni sempre aggiornati tutti i tuoi computer, smartphone e tablet. Spesso i difetti di sicurezza vengono riparati con gli aggiornamenti del software e di sistema.

App come Avast! avvertono gli utenti quando il software diventa obsoleto. Anche Softonic per Windows consente agli utenti di tenere sempre aggiornate le proprie app.

Per ulteriori informazioni su Heartbleed e su come migliorare la protezione dei tuoi account, ti consigliamo di consultare gli articoli di seguito.

Lastpass:

1Password:

PER SAPERNE DI PIÙ SU HEARTBLEED

[Adattamento di un articolo originale di Lewis Leong su Softonic EN]