Topic: Ultime novità dal Web sul Mondo Mozilla

[miki64]

Sono ultrastrad'accordo con te!

Tanto che, poi, per ricordarmi le password via via cambiate, io le scrivo dappertutto (addio sicurezza) o le creo in una maniera più intuibile (tipo: Spidfaschifo202403, Spidfaschifo202406, Spidfaschifo202409...).

Troppa sicurezza genera poi insicurezza, ma pochi sembrano comprendere questo.

nelle vostre password, utilizzate i numeri per renderle più sicure

Esempio di falsa sicurezza.
Un numero in un campo della password può essere di 10 caratteri massimo (da 0 a 9).
Una lettera in un campo della password può essere di 26 caratteri massimo (alfabeto inglese, da A a Z le semplici lettere disponibili sulla tastiera, altrimenti sono 52 caratteri e con le vocali accentate 64 ).
E quindi qual è la più sicura? 

[pegasoc]

Mi hai capito al volo.

[deckard]

Maggiore è il numero di credenziali che bisogna ricordare e maggiore è la frequenza con la quale scadono e più è difficile gestire il processo.
La responsabilità di rendere più sicura la procedura di accesso non può cadere solo sull'utenza finale anche quando si è d'accordo sul fatto che la maggior parte dei problemi è situata tra la sedia e lo schermo.
Verò è che in alcuni casi la comodità dovrebbe cedere il passo alla sicurezza, ma una password creata male male e memorizzata peggio poiché è scaduta in un momento in cui l'utente era "fragile o indaffarato" è peggio di una password che non è stata cambiata.
Io mi sono costretto ad adoperare un programma (Keepass) con un archivio di cui ho una copia e un backup.
I gestori di password permettono di impostare per le password una scadenza e delle note e forse sarebbe meglio annotardsi un qualcosa del tipo: cambia la password tra 2 mesi o tra 4 settimane senza adoperare password precedenti o adoperate altrove e senza creare passord a partire da quella attuale (i criminali potrebbero conoscere l'algoritmo e capire facilmente le nuove credenziali a partire da quelle attuali in caso di violazione).

Per inciso, anche Legalmail e Spidmail (Namirial) sono aderenti ai requisiti per la REM.

[Iceberg]

Una lettera in un campo della password può essere di 26 caratteri massimo (alfabeto inglese, da A a Z).

52 caratteri e con le vocali accentate 64 

[miki64]

Vero, Iceberg, ma io intendevo le lettere semplici disponibili sulla tastiera, con le combinazioni dei vari tasti in effetti il divario tra numeri e lettere è davvero incolmabile!
Comunque ho corretto il mio post, grazie.

[miki64]

Deckard, il tuo post è da incorniciare.

Tuttavia c'è un solo motivo, uno solo, che mi impedisce di utilizzare KeePass portable: mi trovo spesso ad effettuare i miei login in situazioni in cui il PC non è il mio (amici), è della mia azienda (porte USB disabilitate) oppure ho un fretta del diavolo... in quei casi, non posso inserire una pen drive nelle porte di questi PC (per non parlare di quando faccio il login sullo smartphone).

Reputo più affidabile e veloce la mia testa, se i siti mi consentono di scegliere lo schema mentale che ho adottato. Ma se mi costringono a piegarmi alle loro regole (alcuni siti non accettano caratteri accentati, altri caratteri speciali come la virgola, altri a cambiare la password dopo tot tempo)  ecco che salta tutto, come ben hai descritto nel tuo post.

[deckard]

AdGuard > Blog
Top private web browsers and how to set them up for maximum protection: AdGuard guide
March 5, 2024 16 min read

[deckard]

Anche questa non so come interpretarla... Mozilla ha acquistato una azienda pubblicitaria (Anonym) seppur basata su metodi che "dovrebbero" tutelare la privacy. Almeno servisse ad emanciparsi da Google...

Introducing Anonym: Raising the Bar for Privacy-Preserving Digital Advertising

[...Omissis...]

AdGuard > Blog >  Can you marry the unmarriable? Mozilla buys ad metrics firm, raising questions about its commitment to privacy
June 26, 2024 3 min read

In pratica ai posteri l'ardua sentenza sulla qualità e nel merito, ma per ora rimane, parole loro, un sour taste in bocca... poiché «As the saying goes, the road to hell is paved with good intentions.»

[miki64]

«As the saying goes, the road to hell is paved with good intentions.»

Uno dei proverbi più veritieri al mondo...

[pegasoc]

Sono ultrastrad'accordo con te!
...

Giusto per parlare di sicurezza, fanno due @@ all'utente finale e poi succede questo https://www.ilsoftware.it/authy-rubati-33-milioni-di-numeri-di-telefono-come-successo/

"...Su uno dei forum più frequentati dai criminali informatici e da chi prova a fare cassa utilizzando i dati personali degli utenti, è stato pubblicato un “assaggio” di un vasto dataset rubato ad Authy, la nota applicazione che permette di gestire l’autenticazione a due fattori. Gli aggressori informatici hanno rivelato di aver acquisito oltre 33 milioni di numeri di telefono, appartenenti ad altrettanti utenti di Authy..."

[deckard]

La sicurezza dell'autenticazione multifattoriale non è la soluzione a tutti i problemi....
La sicurezza dell'autenticazione multifattoriale non è la soluzione a tutti i problemi....
La sicurezza dell'autenticazione multifattoriale non è la soluzione a tutti i problemi....
La sicurezza dell'autenticazione multifattoriale non è la soluzione a tutti i problemi....

E neanche la scelta di App come Authy o Google Authenticator o Aegis. O soluzioni come i gestori di credenziali come KeePass, Bitwarden, 1Password,
C'è gente che ha scelto soluzioni come le YubiKey o SoloKey, ma anche qui c'è chi è riuscito a bypassare il problema e a trovare il modo di accedere abusivamente.
Si tratta di un discorso di approccio sistematico e di comprendere che cosa succede se. Ovviamente la fretta e l'impazienza di accedere mista a pratiche naïf, ingenue, autodidatte, porta a prendersi più rischi del necessario...
Forse bisogna essere veramente consapevoli di che cosa significa avere un numero di telefono mobile, un dispositivo da adoperare come ausilio 2FA, e delle credenziali per accedere ai fari servizi.

Twilio's Authy App Breach Exposes Millions of Phone Numbers
Jul 04, 2024 [The Hacker News] > Newsroom > Data Breach / Mobile Security

Hackers abused API to verify millions of Authy MFA phone numbers
By Lawrence Abrams > July 3, 2024 12:43 PM > Bleeping Computer

La morale è sempre quella, fate merenda con una Girella e aggiornate la App!
Gli account probabilmente non sono stati compromessi, ma potrebbero adoperare il numero di telefono per attacchi SMISHING, PHISHING, VISHING o Sim Swapping.
Suggerisco di evitare la possibilità di adoperare Authy in Multi-device e di verificare sempre le impostazioni di sicurezza.

[next]

Io ricordo ancora quando le banche ti davano il generatore di token o la matrice dei codici su una tessera.
Adesso è in voga questa cosa del cloud... e non se ne esce interi. Ha proprio ragione @deckard

[deckard]

Per un po' di tempo la App Firefox Lockwise è andata a braccetto con la funzione di gestione delle password integrata in Firefox e con Firefox (Mozilla) Sync.
Io non sono un vero e convinto fautore della memorizzazione delle credenziali all'interno di Firefox e non sono graniticamente certo che non ci sia alcun modo per recuperarle.
Altrimenti l'unico modo per memorizzare certi dati è analogico [block-notes e taccuini in elefant dung paper] con la speranza di riuscire a leggere la propria grafia (chiara e leggibile)...
« Chi non sa leggere la sua scrittura, è un asino di natura. »

[crazy.cat]

Piccolo momento di piacere, visto che microsoft vuole "imporre" l'account online per forza (o per amore), il suo browser, onedrive e tutto il resto, qualcuno inizia a schifarli e a ritrovare delle alternative valide e che non rompono le scatole. 

Viene da questa discussione
https://answers.microsoft.com/it-it/windows/forum/all/richiesta-continua-accesso-allaccount-microsoft/5a410558-6fd0-489e-a46e-06b7992826ad?page=6

[pegasoc]

Meglio ancora che è scritto nel forum di casa Microsoft.