Featured image of post Guida Minima per la vostra sicurezza online

Guida Minima per la vostra sicurezza online

È da tanto tempo che mi riprometto di scrivere questa guida… il suo obiettivo è dare delle istruzioni su cose basilari che potete fare per essere più sicuri online e per evitare che vi rubino gli account, o vi perdiate le password.

Non vi consiglierò di togliere Windows dal PC (anche se sarebbe una bella idea), ma solo cose facili facili che vi possono salvare la vita.

Questo lo stato delle cose a tutto Luglio 2020… di sicuro il futuro porterà novità.

Ma a me non serve!

...balle!

Purtroppo è molto diffusa la scarsa percezione di quanto sia importante proteggersi online, e diciamo che molti siti ci mettono del loro nel cercare di convincervi che tanto le vostre password non valgono niente.

Ecco, vi sbagliate.

La vostra posta non interessa a nessuno? Vero, probabilmente. Ma chi abbia il controllo della vostra email può facilmente cambiarvi le password sul sito dell’INPS, appiopparvi degli abbonamenti (che poi dovrete pagare, anche per disdire a volte), o anche cancellare TUTTO quello che avete, solo per gioco.

E capita, perché i “buontemponi/vandali” online spesso lo fanno tramite programmi che rompono cose a tappeto: non necessariamente qualcuno si prende la briga di rubarvi la password… ma potrebbe rubarla a 10mila utenti contemporaneamente senza nemmeno farci caso.

Siete davvero pronti a perdere per sempre le foto dei vostri figli/nipoti?

Le Basi: il Browser

Il Browser è il principale strumento con cui andate online, quindi vale la pena di prendere qualche provvedimento basilare.

Quale browser?

In questo momento, nel 2021, Firefox. Esistono altre opzioni, sì, ma sono da specialisti, oppure sono brutte opzioni (Internet Explorer, Edge) oppure è Chrome, e il browser di Google ultimamente è molto pesante e anche un po’ invadente. Consideriamolo una buona seconda scelta… ma dovrete trovare plugin equivalenti a quelli che suggerisco (e i Container non esistono per Chrome, almeno all’inizio del 2020).

E per il cellulare? Anche. Stesso discorso esatto. Da qualche mese, e supporta alcune Extension del suo cugino versione desktop, soprattutto uBlock Origin e Privacy Badger!

Impostazioni di base del Browser

Dopo aver installato il browser, create l’account Firefox come vi consiglia, per parecchi buoni motivi: i vostri dati vengono criptati con la vostra password, e salvati al sicuro. Preferiti, password salvate (ne parliamo sotto), componenti aggiuntivi, anche la lista dei tab aperti (se usate più computer e cellulari può essere comodo). Non solo: Firefox e la Mozilla Foundation recentemente hanno aumentato le iniziative a favore della privacy e sicurezza dei propri utenti, lavorando anche dietro le quinte per bloccare alcuni dei cookie di tracker più invasivi.

Ma ora, un po’ di configurazioni di base (tranquilli, se avete fatto l’account come detto sopra, lo dovrete fare una sola volta, più o meno per sempre).

Installate nel browser (cliccando sul link sotto o cercandoli nell’apposita pagina di impostazioni) le seguenti estensioni:

  • uBlock Origin: blocca le pubblicità moleste, velocizza (a volte di molto) la navigazione, rende leggibili molti siti di notizie. Se non avete mai usato un AdBlocker prima, vi chiederete presto come facevate a farne a meno. Non solo: negli ultimi anni la stragrande maggioranza dei malware (virus, e altra roba brutta) ha raggiunto gli utenti attraverso pubblicità online furbette. Eliminare! Se avete il browser impostato in Italiano, uBlock si scaricherà da solo anche le liste di blocco per le pubblicità dei siti italiani. Comodo, no?
  • Privacy Badger: qualcuno dei trucchetti usati da Facebook, Amazon e altri ancora meno raccomandabili per tracciare le vostre abitudini online sfugge ad uBlock… e lo acchiappa Privacy Badger. Male non fa (e non vi pagano abbastanza per i dati che vi rubano, fidatevi). Le versioni recenti di Firefox tra l’altro lavorano in questo senso già out-of-the-box.
  • Facebook Container e Google Container: non vi dico di non usare Facebook, ma almeno che stia dentro i propri confini (discorso simile per google). Questi plugin (non intrusivi) fanno sì che siate loggati su Facebook solo nei tab dove lo state usando, e vi segnalano con una piccola icona di attenzione eventuali componenti delle ALTRE pagine che, se cliccati, mandano dati a Facebook. Sì perché magari non lo sapevate ma se siete dentro FB in un tab, loro sono in grado di tracciare su mooolti altri siti cosa state facendo. Di nuovo… Zuckino non vi paga abbastanza. Per chi si sente intraprendente, consiglio anche Firefox Multi-Account Containers che è un po’ la versione multiuso di questi plugin, e vi permettono di segregare quali siti preferite (tipo che so, Twitter o WhatsApp Web).

Mettete al sicuro i vostri file

Alle password ci arriviamo tra poco, tranquilli, prima pensiamo a mettere al sicuro i vostri file più importanti (e nel processo vi semplificate anche parecchio la vita). Usate uno di questi servizi (o un altro, ma questi li conosco):

  • Dropbox. Probabilmente lo conoscete già; è il servizio di sincronizzazione file più vecchio e funziona bene. L’account gratuito ha diverse limitazioni, e ultimamente sta diventando un po’ fastidioso, ma continua ad essere una buona opzione (anche se hanno una reputazione non proprio specchiata per quanto riguarda la protezione dei dati).
  • pCloud. Servizio simile a Dropbox, con meno fronzoli, ma più spazio nell’account gratuito (10 Gigabyte sono parecchi, se ci tenete solo documenti, bollette etc.), opzioni a pagamento a prezzi molto interessanti (anche “lifetime”, invece di pagare ogni mese) e opzionalmente una cartella criptata end-to-end (che significa che anche volendo loro non potrebbero consegnare i vostri dati a chicchessia, al contrario di Dropbox). Bonus: l’azienda è svizzera (ha sede nel canton Zugo) e quindi segue leggi sulla privacy dei dati molto migliori di quelle americane.

Ora che avete un programma che vi salva i file in Cloud, ricordatevi di usarlo! Nel caso di pCloud vi consiglio di creare una cartella di sincronizzazione, così che i file rimangano disponibili anche senza Internet (come Dropbox). Ricordatevi, questo NON è un backup (che va fatto su un dispositivo a parte, offline) ma è meglio di niente. E vi permette di accedere agli stessi file su un altro computer, o sul cellulare.

Oh nota a margine… attivate il backup delle foto in Google Photos, in qualità “normale”: backup automatico di tutte le immagini del cellulare, spazio infinito gratis. Volendo lo fanno anche Dropbox e pCloud, e ve lo chiederanno, ma vi occupano spazio nell’account cloud. Seriamente. Non so quante volte ho sentito “eh avevo delle belle foto ma ho cambiato telefono/si è rotto/me l’hanno rubato e sono perse per sempre”.

Update del 2021: a Giugno finisce la pacchia, e le foto su Google occuperanno spazio. Peccato. Potrei anche decidere di acquistare un po’ di spazio disco da Google perché il loro servizio è comodo.

Stesso discorso per i contatti: non esiste al mondo, nel 2020 (ma nemmeno nel 2010) che la vostra rubrica non sia sincronizzata! Sempre parlando di Android, andate su Google Contacts dal pc e controllate se vedete la vostra rubrica. Se la risposta è no, nel 90% dei casi la colpa è di Samsung o di chiunque produce il vostro cellulare che imposta a casaccio le cose: informatevi su come attivare o riattivare la sincronizzazione dei contatti sul cellulare, e poi ricontrollate; un’altra cosa a cui non dovrete mai più pensare.

Gestione delle Password

Ok, ora veniamo alla parte succosa. Lo sapete vero che usare la stessa password, per giunta magari un po’ troppo facile da indovinare, su più di un sito è una pessima idea, vero? So anche che lo fate. Oh se lo fate, non negate!

Come si risolve la cosa? Con un minimo di sbattimento iniziale (lo so, è un tema ricorrente) e con un po’ di autodisciplina in seguito. Prima cosa: salvare le password in Firefox? Non è il massimo, ma fatelo, almeno per i siti meno critici: di nuovo, se avete fatto l’account Firefox le sincronizzate e non dovreste più perderle. Per quelli più a rischio (email, banche… l’account di Firefox con cui sincronizzate!) personalmente lo sconsiglio, anche se dovrebbero essere criptate e sincronizzate in modo che in Mozilla non le possano aprire.

Quello che vi serve, comunque, è un Password Manager. Un programma che archivi e ricordi per voi le password.

Keepass (setup su PC)

Esistono password manager commerciali (Lastpass, 1Password, e altri), ma non ve li consiglierò per due motivi: sono a pagamento (vi avevo promesso metodi gratuiti), e dovete fidarvi di un’azienda (americana di solito) che stia davvero criptando tutto, e bene. Invece, potete scaricare Keepass, che è gratis, open source, e multipiattaforma (io lo uso su Linux da anni).

Vi descrivo come lo uso io… se siete DAVVERO paranoici troverete il mio setup un po’ lasco (ma se siete così paranoici cosa siete qui a leggere una guida per principianti?): installato il programma, lanciatelo e fategli creare un nuovo archivio password. Quando vi chiede dove salvarlo, fate una cartella “keepassdb” dentro Dropbox o una cartella sincronizzata di pCloud. Scegliete una passphrase, non una password (più parole, con gli spazi o meno) che sia difficile abbastanza, ma non impossibile da digitare o ricordare. Il metodo “correct horse battery staple” proposto da Xkcd non è perfetto ma è meglio della password VivaJuve1977 che usate ora.

Ok, ora che avete un archivio password su cloud siete a cavallo. Ogni volta che vi registrate su un nuovo servizio ricordatevi di aprire Keepass, creare una entry assicurandovi di scrivere il nome utente e l’indirizzo del sito in questione (se è un sito) e usate la password generata dal programma. Va benissimo una password lunghissima: io nemmeno le leggo. Andate in “reset password” del sito e mettete la password appena generata con Keepass (e salvate l’archivio!).

D’ora in poi, quando il browser dovesse richiedervi di nuovo di mettere utente e password, potete semplicemente recuperarle da Keepass.

Ebbene sì, io non conosco la mia password (a memoria) sul 99% dei siti.

Esistono plugin di Firefox e Keepass per semplificarsi ulteriormente la vita, soprattutto per l’inserimento automatico (senza dover andare in Keepass a cercare utente e password) ma non voglio allungare troppo il brodo… potete cercare KeePass-Http-Connector e Keepass Helper - URL in title se volete approfondire.

Update del 2020-07-27: recentemente sono passato a una variante di Keepass sul computer, ovvero KeepassXC. È una riscrittura, con una interfaccia un poco più moderna e qualche funzionalità in più (per esempio, ha un comodo bottone che scarica l’icona dell’entry dal suo sito, se ne ha uno) e integrato un poco meglio col sistema operativo. Non solo, ma la sua estensione per i browser funziona molto bene ed è supportata! In pratica, con KeepassXC e l’estensione per Firefox ottenete una funzionalità equivalente a 1Password e OnePass, gratis: se avete correttamente inserito l’indirizzo del sito, firefox chiederà a KeepassXC di recuperare utente e password giusti quando servono (chiedendovi conferma), precompilando il sito.

Keepass (sullo smartphone)

E qui arriviamo a “perchè abbiamo salvato le password sul cloud??”, non è insicuro? No, non lo è, perché abbiamo scelto una password tosta (…vero??): nemmeno i servizi segreti americani potrebbero aprire l’archivio .kdbx di Keepass rubato dal vostro Dropbox.

In compenso, il vostro archivio delle password è ora a vostra disposizione online in qualunque momento, e senza pagare l’abbonamento di LastPass!

Quindi, installate Keepass2Android (esistono una o due altre implementazioni, ma non le conosco) e fategli aprire l’archivio password da Dropbox. Verrà tenuto in cache locale (criptato) e poi sincronizzato a ogni apertura dell’App, oltre che dopo ogni salvataggio sul cellulare. In questo modo avete in punta di dita esattamente le stesse password che avete faticosamente salvato sul pc (e viceversa).

Vi farei vedere uno screenshot del mio KeePass tutto agghindato con le iconcine custom per categorie e singole entry… ma KeePass impedisce gli screenshot per motivi di sicurezza. Bravo Keepass!

Una funzione fantastica di Keepass2Android è l’AutoFill: assicuratevi che sia abilitato nell’app (Impostazioni -> App -> AutoFill). Quando serve inserire utente/password in qualche applicazione, Android dovrebbe proporvi l’opzione “Autofill with Keepass”, che apre l’applicazione, e tenta di capire quale password volete.

Anche qui, le prime volte non può sapere quale entry vi serve: scegliete “Choose another entry” (o qualcosa di simile), trovate l’entry dell’app o sito che vi serve, selezionatela e poi dite all’App di ricordarselo. Il db delle password viene salvato, e per la prossima volta che capiterà non dovrete far altro che scegliere “Autofill” e sbloccare il database. Ah, e funziona anche nel browser del telefono (bisogna premere nel campo vuoto per un paio di secondi, e nel menu del copia e incolla premere i 3 pallini del menu: lì c’è l’opzione Autofill).

E se uso un iPhone? Spiacente, mai usato iOS, ma vedo consigliare dal progetto KeePassXC (alternativa all’originale KeePass) questa app Strongbox, anch’essa open source: vale la pena di provare.

Hey, ma con pCloud come funziona?

Eh, la documentazione non è chiarissima, ma funziona.

Sul pc, in pCloudDrive, create una cartella Applications nella root, e sotto di essa una cartella Keepass2Android.

Dovete tenere il database .kdbx di keepass in questa cartella. A questo punto su Keepass2Android riuscirete ad aprirlo. Anche in questo caso, va fatto giusto una volta. Di nuovo, vi conviene impostare un pCloud Sync di questa specifica cartella da qualche parte nei vostri documenti, sul PC, e usarla con Keepass: in questo modo ogni variazione sarà salvata automaticamente.

Autenticazione a 2 Fattori (2FA)

Pensavate fosse finita? Nah, ma quasi. E questo argomento è estremamente importante.

L’autenticazione a 2 fattori (d’ora in poi, 2FA) richiede che per accedere a un account serva qualcosa che sapete (la password) e qualcosa che avete (un “token”, come quelli delle banche col numerino che cambia ogni pochi minuti).

Questo significa che se anche qualcuno riuscisse a rubarvi la password, o a indovinarla, etc… non potrebbe comunque entrare, perchè non avrebbe il token! E non sono scenari ipotetici, personalmente ogni tanto mi arrivano email di avviso che da qualche parte nel mondo hanno provato ad entrare nel mio account… ma sono tranquillo perché è praticamente impossibile senza il token 2FA.

Ora, usare un token fisico costa un sacco di soldi, e perfino le banche stanno cercando di eliminarli, ma ma esistono alternative, ovvero delle app che fanno lo stesso lavoro. Una delle più comuni e diffuse è il Google Authenticator, che però ha parecchie limitazioni un po’ ingenue. Io vi consiglio invece…

andOTP

Installate l’app dal Play Store e poi andate ad attivare la 2FA in tutti i siti che ve lo permettono… seriamente, è uno dei sistemi di protezione degli account migliori disponibili al momento. Ah e se possibile non usate la 2FA che funziona mandandovi un SMS: primo, se il vostro cellulare non prende siete fregati (tipo all’estero, in roaming sfigati, etc), secondo, non è così difficile, in realtà, intercettare gli SMS. Possibilità remota, ma esiste.

La procedura è quasi sempre la stessa: il sito vi mostra un QR-Code, voi andate in andOTP e cliccate “Aggiungi” (il + in basso a destra), scegliete “Scan QR Code” e inquadrate lo schermo. Basta mettere un nome e scegliere un’icona (per comodità)… Ora inserite il numero generato per confermare che avete fatto tutto giusto, e il gioco è fatto.

Oh dimenticavo… si, dovete inserire un PIN per sbloccare andOTP, e si, dovete farlo davvero. Giusto di recente leggevo di un malware che riesce a rubare i codici dal Google Authenticator (equivalente ad andOTP, di Google), e ci riesce perché l’app di google non ha alcun blocco!

E se mi chiudo fuori di casa?

Può capitare, ed è assolutamente una circostanza che dovete tenere in mente.

Recupero Password

Nell’eventualità che abbiate perso una password, potete generalmente usare la procedura per il reset, e questo già lo sapete… ma per poter resettare la password avete bisogno di riuscire ad entrare nella vostra email. Per questo considero la password per accesso all’email una delle più critiche, e per questo penso dovreste attivare la 2FA sull’email: se non avete accesso all’email rischiate di chiudervi fuori da un sacco di account… e dall’altra parte, se qualcuno che non siete voi ha accesso alla vostra email, può rubarvi tutti quegli account senza che nemmeno ve ne accorgiate. Se il vostro provider di email non fornisce l’opzione della 2FA… cambiate provider. Ma tipo ieri.

La “cassetta delle emergenze”

Considerate quindi la possibilità di crearvi l’equivalente informatico della cassetta con dentro il minimo necessario per le emergenze mediche, da tenere in un luogo sicuro (Avete una piccola cassaforte in casa magari? O anche sul fondo del cassetto dei maglioni, meglio di niente!). Generalmente parlando una chiavetta USB basta e avanza… l’importante è che la usiate POCO, non la teniate attaccata a nessun computer, e che i suoi contenuti non finiscano MAI online.

Sopra vi consiglio di salvare:

  • Una copia del database .kdbx di KeePass. Non sarà super aggiornato (dovrete ricordarvi di ricopiarlo ogni tanto) ma è meglio di niente.
  • Un file di testo con le 3-4 password che non tenete in Keepass, se ci sono… tipo quella del database di Keepass stesso. Sinceramente questa cosa di tenerla assieme al file mi dà fastidio anche nella chiavetta “d’emergenza” perchè se la perdete o ve la rubano… not good. Pensateci.
  • Copie dei codici di recupero delle 2FA. Ogni volta che attivate una 2 Factor Authentication, il servizio vi mostra una decina di numeri e vi dice di salvarveli… ecco, quei numeri sono altrettanto critici quanto le vostre password in chiaro. Salvateli in Keepass (avete notato che nel tab Advanced potete inserire File Attachments? Ecco, lì) ma anche su un file che stia al sicuro… o stampatene delle copie cartacee da tenere assieme alla chiavetta. Se vi si rompe il telefono con su andOTP è l’unico modo per rientrare in quei servizi… o quasi (vedi sotto).
  • Backup di andOTP. Una delle feature migliori di andOTP è che può salvare un backup, protetto con password o anche criptato in altri modi. Di nuovo, non volete perdervi le 2FA.
  • Un po’ di documenti basilari… tipo le scansioni dei documenti d’identità.

Argomenti Avanzati

No, not really, ma come detto all’inizio questa è una guida base: ognuno degli argomenti trattati può essere reso più sicuro o più comodo (o entrambe le cose).

Generalmente parlando, nell’ambito della privacy e della sicurezza online quello che dovete decidere è quanto volete essere paranoici. Oltre un certo livello, se una cosa è scomoda o difficile, rischiate poi di dimenticare di farla.

Alcuni esempi:

  • Email: gmail è comodo, lo so, ed è gratis… è anche piuttosto sicuro (le policy di 2FA di Google sono molto buone), ma è pur sempre un servizio finanziato vendendo agli inserzionisti pubblicitari i dati aggregati presi dalle vostre email. E ovviamente google può leggere tutte le vostre email e nel caso girarle senza dirvelo alle autorità, e così via. Una ottima alternativa (con un’opzione base gratuita, anche se limitata a 500MB di casella) è ProtonMail, un provider di email criptate end-to-end (che significa che l’azienda non può aprire le vostre email, anche volendo) con sede legale in Svizzera.
  • VPN: quando vi collegate a un wifi diverso dal vostro, soprattutto in luoghi pubblici, le vostre comunicazioni private passano attraverso sistemi che non conoscete, o potrebbe esserci qualche allegrone che con vari metodi riesce ad intercettarvi. Gli aeroporti sono particolarmente famigerati per essere pericolosi. Se usate una VPN (conessione criptata con un server conosciuto, in pratica) riducete di molto i rischi. Attenti però a non installare VPN gratuite di aziende misteriose, altrimenti siamo daccapo, anzi peggio. Di nuovo, esiste ProtonVPN, fatta dalla stessa azienda di ProtonMail, ed ha una opzione gratuita.
  • GPG/PGP: sono sistemi di crittografia storici, relativamente complessi da usare, ma se per esempio avete ProtonMail allora avete anche una chiave GPG; con quella chiave pubblica potete per esempio criptare il backup di andOTP con una protezione a prova di bomba (e pure di servizi segreti) installando OpenKeyChain su Android
  • Tor e browser speciali: ci sono un sacco di opzioni in questo senso, ma in generale si usano per fare in modo che la propria navigazione sia meno intercettabile. Negli ultimi anni con lo sviluppo di TorBrowser e altri il sistema è diventato molto accessibile anche a utenti meno tecnici.