STACCA STACCA CI HANNO TRACCIATI! aka so passato a Lastpass

Dopo i recenti casini con Cloudfire ho deciso di affidarmi ad un programma che si occupa di generare, gestire e conservare in sicurezza le mie password. La mia scelta è ricaduta su Lastpass perché dispone di un addon e di un’applicazione, entrambe gratuite, fatte veramente bene e facili da usare.

L’applicazione Android in particolare supporta anche il login tramite impronta digitale dunque se voglio non devo nemmeno inserire la master password ogni volta che accedo alla mia cassaforte.

Usare Lastpass è molto semplice, registratevi>scegliate il piano che preferite (io sto usando quello gratuito da mesi)>andate nei servizi online che usate e date a Lastpass la possibilità di inserire nel suo database account e password. Ogni volta che ritornerete in quel sito Lastpass si occuperà di fare il login per voi, in modo simile a quanto fa già Chrome da solo.

A questo punto potreste chiedervi: “Se lo fa già Chrome perché dovrei usare Lastpass?”

Il punto di usare Lastpass è che averete un gestore di password veramente crossplatform e non Chrome/Google-dipendente, non che io abbia qualcosa contro Big G anzi adoro e uso giornalmente i suoi servizi e Android. Tuttavia con Lastpass posso ritrovarmi tutte le password anche su Firefox o su altri sistemi che non sono supportati da Google.

Dunque ho cambiato la password in tutti i servizi che uso, generandone ogni volta una nuova tramite Lastpass. Di base ho scelto che venissero composte da almeno 20 caratteri alfanumerici (purtroppo per molti siti è il limite massimo).

Avevo già abilitato la verifica in due fattori ovunque e quindi ero già abituato ad usare un’applicazione per loggarmi ovunque (ovvero il generatore di PIN di Google, Microsoft e Authy) quindi passare anche per Lastpass non mi sta dando fastidio, si tratta di semplice abitudine.

Inoltre evito di dovermi ricordare a memoria tutte le password per ogni servizio che uso, stava infatti diventando difficile ricordarsele tutte.

Usare un gestore di password anche su un device mobile può sembrare un azzardo ma a mio avviso se si usa il blocco con l’impronta digitale non si corrono rischi anche in caso di furto o smarrimento.

Eccovi uno screen per darvi l’idea del numero di siti in cui l’ho utilizzo:

ss+(2017-02-27+at+12.52.17).png

È inoltre possibile anche inserire delle “note” dentro questa cassaforte dunque se voglio posso anche annotarmi in sicurezza il PIN della mio bancomat o della carta di credito, a anche se quelli per fortuna ancora riesco a memorizzarli 😀

In sostanza vi consiglio Lastpass senza remore, se siete bravi e riuscite a tenere a mente tutte le vostre password buon per voi ma almeno abbiate cura di abilitare la verifica in due fattori perché vi può veramente parare il culo.

:# /dev/null/

 

 

Una S che ti salva la vita o quasi….

Salve ragazzi bentornati, oggi mentre me ne stavo tranquillo a leggere qualche post pescato su twitter finisco sul blog dell’amico bruttocarattere, che presenta un’interessante estensione per il volpino che avvolte ti puo salvare il cul…..la vita 😀

Si tratta di SSLGuard, estensione sviluppata da DEcrew un’allegra compagnia di cosi detti spaccamattoni xD

Questa estensione in pratica contrasta tipi specifici di attacchi informatici chiamati mitm.

Questo genere di attacchi informati mira a sfruttare una comportamento tipico di molti siti che permettono all’utente di non specificare con quale protocollo connettersi al sito.

In pratica al giorno d’oggi esistono due protocolli un è l’HTTP e l’altro e l’HTTPS, il secondo protocollo sfrutta un metono di crittografia chiamata asimmetrica che permette un’alto grado di sicurezza.

Molti siti che contengono dati sensibili usano il protocollo HTTPS come ad esempio Gmail.

Tuttavia molti siti che sfruttano tale protocollo permettono come detto prima di connettersi al sito sensa specificare il protocollo, per esempio se io volessi connettermi a un client di posta elettronica:

Link vero: https://miamail.com/

Link usato da chicchessia : http://www.miamail.com

Ed è qui che entra in scena il malintazionato di turno infatti l’utente non essendo protetto dal protocollo https è esposto al tipo di attacco denominato mitm (Man in The middle).

In pratica il malintenzionato attende durante il redirect della pagina si sostiuisce all’utente prendendo il controllo della connessione come se fosse l’utente e in pratica i vostri dati saranno alla mercee del malintenzionato.
Ma per ovviare a ciò entra in campo l’estensione sviluppato da DEcrew che previene tale attacco e impedisce il redirect della pagina.

Si ma, vi chiederete, come faccio devo per forza digitare a mano tali link ?

Niente paura infatti SSLGuard vi permette di registare un lista di siti sicuri a cui è permesso connettersi sensa la protezione di SSLGuard, io ad esempio ho aggiunto blogger che veniva bloccato.Che dire è un’estensione geniale e credo che debba essere supportata da tutta la comunità e penso che meriti di essere integrata in molti browser perchè il rischio è reale.

Ringrazio i ragazzi di DEcrew per aver sviluppato tale estensione e per avermi fatto rendere conto di tale rischio.

La vedi questa….bene ora non la vedi più!

Avete presente quando un prestigiatore vi fa il famigerato trucco del:”la vedi quasta banconota (che è tua!) da 50 euri?! Bene adesso non la vedi più”, ecco io in questi casi tiro un pugno al pretigiatore cosi per sicurezza.

Ma se avessimo bisogno noi di questo trucco ?

Se magari dovessimo far sparire una cosa (nel nostro pc) per poi farla riapparire al momento giusto? Niente di più semplice basta usare Cryptkeeper. (non fate caso alla frase di ispirazione socialista :D)

Cryptkeeper è un piccolo software che ci permette di criptare una o più cartelle, facendole scomparire.

Infatti con pochi semplici click potete far scoparire una cartella incriminata (tipo i vostri soliti pornazzi che scaricate in ufficio oppure le foto che avete fatto di “sgarrubbo” alla vostra sexy vicina che si stava facendo la doccia).

Vediamo come fare, allora l’applicazione è già presente nei repo di ubby quindi dal gestore paccheto synaptic installate questi due pacchetti: encfs ed cryptkeeper;
Una volta installata la trovate su: applicazione>strumenti di sistema

cliccandoci su comparira sotto forma di icona in alto a destra nella barra vicono all’iconcina dell’audio.
Bene clicciamoci su col tasto sinistro e poi clicchiamo su “new encrypted folder”;

Creiamo o scegliamo la nostra cartella (ovunque vogliamo noi) e selezioniamo (senza entrarvi dentro) diamo un nome al percorso e clicchiamo su “forward”;
Immettiamo la nostra password e taaadaaan!!! abbiamo nascoto la nostra cartella incriminata!

“Si ma quando le rivogliamo?!?” Niente di più semplice, basta fare cosi: tasto sinistro sull’icona della barra in alto e poi cliccare sul percorso della nostra “losca” cartellla:
“Troppo semplice! Cosi non è sicuro!” Non preoccupatevi il programma non è stupido, infatti assegna alla vostra cartella la password che voi avete precedentemente impostato 😀
La cartella vi verra mostrata come se fosse un disco removibile:
Per rinascondere la vostra losca cartella ricliccate col tasto sinistro sull’icona in alto a destra e ricliccate sul percorso della cartella e per magia la cartella scoparirà.

“resta di stucco è un barba trucco :D”

Tuttavia penso sia presente un’imperfezione nel programma infatti è possibile cancellare le vostre cartelle criptate senza bisogno di inserire la vostra password, anche se forse non è un bug ma una scelta del programmatore per ovvi motivi (es: se ti scordi la password i pornazzi alla fine occupano spazio inutile :D)

Per cancellare le nostra cartella criptate basta cliccate col tasto sinistro sull’icona in alto a destra e cliccate sul percorso della cartella col tasto destro e poi cliccare su “deleted encrypted folder”.
fonte