Topic: Sicurezza salvataggio password

[c-howdy]

Ciao a tutti, uso win10 aggiornato e firefox 68.0.1.
Lo scorso fine settimana qualcuno ha usato i miei account paypal e amazon per fare acquisti a mia insaputa e non ho ricevuto alcun messaggio di tentavi di accesso, quindi l'unico modo era quello di conoscere le password (ovviamente non avevo attivato login a 2 fattori).
Visto che le password sono salvate solo nella sincronizzazione di firefox e nessuno ha accesso al mio computer, l'unico modo di averle prelevate é proprio da firefox, la mia domanda é : ha senso salvare i dati e sincronizzarli se possono essere rubati facilmente ? 
Non ho trovato nessun post o documento che parlava di falle nei dati sincronizzati...

[next]

Quindi puoi escludere che ci siano virus/trojan/spyware nel tuo computer?
O che io tuo Wi-Fi non sia stato violato?
O che non usi le stessa password su altri servizi?
O che ti sia fatto rubare i dati da una mail o un sito di phishing?

E potrei continuare... E' solo per dire che quella frase
"l'unico modo di averle prelevate é proprio da firefox"
è piuttosto ambiziosa...

Detto questo, hai la master password in Firefox? Hai scelto una password *veramente* robusta per Sync? Hai la password memorizzata in altri posti sul pc?

[c-howdy]

Ciao next, hai ragione non usavo la master password, comunque non ho wifi abilitato perché uso ancora il cavo.
Ogni password che usavo era generata casualmente e salvata nel sync per comodità con l'autocompilazione, non capisco come siano riusciti a prendere password che erano appunto solo nella compilazione automatica (in caso di phishing).
Prima di formattare tutto ho scansionato sia con malabyte che con bitdefender e non ha trovato nulla di rilevante, esiste forse qualche altro sistema di cui non sono a conoscenza ?

[miki64]

la mia domanda é : ha senso salvare i dati e sincronizzarli se possono essere rubati facilmente ? 

Possono risponderti decine e decine di utenti ai quali il fatto di avere i dati salvati e sincronizzati ha tolto le castagne dal fuoco?   
Me compreso (una volta)?   
Senza polemica.

[next]

Ciao next, hai ragione non usavo la master password...
esiste forse qualche altro sistema di cui non sono a conoscenza ?

Senza la master password le password sono praticamente in chiaro accessibili a qualsiasi programma nel computer e (in condizioni sfavorevoli) potenzialmente anche da remoto. Se vuoi verificarlo puoi usare questo semplicissimo programma
http://nirsoft.net/utils/passwordfox.html

Come ha detto miki64, Sync è -per quanto ne sappiamo- sostanzialmente sicuro ma protegge solo la parte di sua competenza (la memorizzazione e la sincronizzazione delle informazioni). Quallo che ho cercato di dire è che possono esistere altri punti deboli della catena di protezione delle password. Una di queste è l'assenza della master password.

Mi spiace ovviamente per la spiacevole situazione in cui ti sei trovato, ma dubito che il problema sia in Sync.
Comunque tieni d'occhio il forum ed il siti di Mozilla perché qualora ci fosse stata una compromissione di dati in base al GDPR questa dovrà essere resa nota e gli utenti coinvoliti dovranno essere avvisati.

[deckard]

Sync nasce principalmente come strumento di sincronizzazione e non di backup.
Sync è ragionevolmente sicuro, ma sia nel caso di Sync è bene prendere delle precauzioni aggiuntive come l'abilitazione della sicurezza multifattoriale: https://twofactorauth.org/
Sia Amazon sia Paypal supportano il Software Token come Authy o Google Authenticator o FreeOTP/AndOTP.
Alcuni servizi supportano anche il Token Hardare come le chiavette Yubikey o Solo o Somu.

Salvare le password è possibile, ma servono delle precauzioni aggiuntive o l'utilizzo della master password o di un programma come KeePass.
Sincronizzare le password è possibile, ma servono delle precauzioni aggiuntive a partire dall'abilitare la sicurezza in due passaggi nell'account Firefox.

[c-howdy]

Grazie a tutti per le risposte, sto cercando di farmi una cultura di quali possono essere eventuali attacchi.
Grazie mille per le dritte next !

[miki64]

Le password si possono agevolmente salvare in un browser anche in altra maniera, caro c-howdy.
Io, ad esempio, le salvo in Clippings. 

C'è anche chi li salva in una propria pagina web, criptata e con accesso online mediante password, oppure in un insospettabile segnalibro in HTML... alla fantasia non ci sono limiti.   

[c-howdy]

Grazie miki64

Le password si possono agevolmente salvare in un browser anche in altra maniera, caro c-howdy.
Io, ad esempio, le salvo in Clippings. 

C'è anche chi li salva in una propria pagina web, criptata e con accesso online mediante password, oppure in un insospettabile segnalibro in HTML... alla fantasia non ci sono limiti.   

[deckard]

Esiste una guida con consigli per non farsi Hackerare.
https://www.vice.com/en_us/article/d3devm/motherboard-guide-to-not-getting-hacked-online-safety-guide
https://www.vice.com/it/article/d3devm/la-guida-di-motherboard-per-non-farsi-hackerare

Esistono tanti modi per salvare le password, ma i cretini sono sempre più ingegnosi delle precauzioni che si prendono per impedir loro di nuocere...
Anche quando si tratta di evitare che degli estranei cancellino i dati o comunque vi accedano,...

[c-howdy]

grazie deckard

[fabrixx]

Permettetemi lofftopic :Ti consiglio anche di collegare il tuo numero di telefono a paypal. Ogni volta che viene fatto un acquisto lo dovrai confermare con un codice che ti arriva via sms.

Lo puoi fare anche sulle singole carte di credito ormai.

Scritto con tapatalk da sotto l'ombrellone

[miki64]

Non è un OT, fabrixx, è un'ottima strategia. 

Purtroppo con i recenti stravolgimenti idioti decisi dalla UE adesso è sufficiente avere un codice IBAN per auto-inviarsi dei bonifici.
E non parliamo dei token fisici. Con le nuove norme dell'Unione Europea all'accesso ai conti, i token fisici si devono eliminare. Se si entra nel conto da smartphone tutto normale. Ma se si vuole accedere dal browser del PC, dopo aver inserito i codici arriva la notifica sull'app del cellulare, occorre dare l'Ok dalla app e solo poi il browser può accedere. Una volta entrato per qualsiasi operazione  si deve comunque autorizzarla dal cellulare. Ma se si perde o si rompe il cellulare non si può più nemmeno entrare dal PC. E l'interdipendenza da uno specifico device, anziché dal proprio cervello, non è  una bella cosa dal lato della sicurezza.

[deckard]

Esistono varie dritte per mitigare i danni di una eventuale violazione dell'account PayPal come l'utilizzo di un Software Token e la scelta di una carta di credito ricaricabile.

Comunque sia le credenziali possono finire nelle mani di criminali informatici in tanti modi.
Tra i vari consigli molto importanti io metterei il cambio frequente dei codici d'accesso e il monitoraggio costante di ciò che avviene almeno con determinati account.
Google: l'1,5 percento delle password usate ancora oggi dagli utenti è nelle mani dei criminali informatici
venerdì 16 agosto 2019 (Articolo) di Michele Nasi
Molti utenti usano le password che sono state violate, ma Google ha la soluzione
Tuttoandroid - PAOLO GIORGETTI - 16 AGO 2019

[c-howdy]

A distanza di giorni sono venuto a conoscenza che nel mio caso sono vittima di session hijacking.
Grazie a tutti per i consigli e sopratutto i link di informazione.