Sicurezza/LastPass
Sono passati più di venti anni dal mio primo PC, da allora, come tutti, ho iniziato ad accumulare username e password per siti/forum/webmail ecc… Ho sempre utilizzato Firefox come browser principale strascicandomi il pesante profilo da Windows 98 a XP a Ubuntu e tutto quello che ho provato dopo.
Mentre l’elenco degli accessi lievitava continuavo stupidamente ad utilizzare i soliti due o tre user/password con qualche leggera “variante mista”.
Sapevo come ero messo ma continuavo a rimandare pensando che tanto usavo Linux, che tanto non accadrà nulla ecc..
L’altro giorno dopo aver letto dell’ennesimo intero profilo Chrome clonato ho iniziato a farmi qualche domanda. Che senso hanno tutte queste protezioni se poi abilitiamo il login automatico per tutto?
Premetto che Firefox ha un ottimo password manager, ma il mio intento era di non lasciare niente fisicamente sul disco e ho deciso di prendere in mano la situazione installando LastPass.
LastPass è gratuito e permette di avere le proprie password sempre a disposizione ma al sicuro e fuori dalla memoria fisica. E’ possibile quindi rimuovere tutte le credenziali da Firefox e Chrome ed escludere memorizzazione/auto completamento trasformando i due browser in gusci neutri a prova di clonazione.
La versione premium per poco meno di 3 euro al mese aggiunge condivisione delle password multi-dispositivo, con 1 GB di spazio di archiviazione crittografato per la sicurezza personale. Ci sono poi altre soluzioni orientate a famiglie e aziende.
Tutto questo è possibile grazie ai due addon dedicati e alle applicazioni per mobile:
Per accedere alla cassaforte criptata (AES a 256 bit con PBKDF2 SHA-256 e hash salted) occorre una master password che a mio parere e come consigliato non deve essere memorizzata sul dispositivo. Ho configurato Google Authenticator dalle impostazioni avanzate per un accesso più agevole e comunque sicuro.
La maratona di pulizia:
Ripulire oltre venti anni di spazzatura ha richiesto molto lavoro, ecco le varie fasi dell’operazione:
Fase 1: la scrematura con Lockwise
Ho iniziato a scremare oltre 500 login, la maggior parte doppioni, versioni http/https, siti chiusi da anni e login errati. Per aiutarmi ho utilizzato Firefox Lockwise e il suo raggruppamento per sito/ultimo utilizzo arrivando a lasciare circa 300 entries.
Fase 2: l’importazione
Ho esportato da Lockwise il CVS e reimportato il tutto in LastPass, questo doppio processo è necessario solo per Firefox. Per Chrome esiste una una funzione dedicata di importazione, che non ho provato.
Per evitare sovrapposizioni (figura 1 sotto) ho poi isolato il gestore password di Firefox, stop a Sync, credenziali salvate e auto-login (ho fatto lo stesso per Chrome).
Fase 3: Dashboard sicurezza (versione Premium)
Ho fatto analizzare a LastPass i 300 login rimasti con la funzione integrata (versione Premium in prova).
Il risultato è stato drammatico: oltre 200 problemi rilevati fra password riutilizzate e deboli. Armato di grande pazienza ho iniziato a loggarmi nei vari siti/forum/servizi per rinforzarle utilizzando quelle proposte in automatico dal programma.
E’ stato un lavoro estenuante che ha richiesto svariati giorni ma che alla fine mi ha dato grandi soddisfazioni permettendomi una ulteriore scrematura. Come quando si pulisce a fondo una casa disordinata sono passato da 10% a 94% di sicurezza su 119 elementi salvati.
Sono rimasti solo tre nonproblemi causati da credenziali particolari non modificabili.
Fase 4: Android
Ho installato l’applicazione per Android che sul mio Pixel si può sbloccare con il volto. L’app lavora costantemente in background e propone le credenziali memorizzate ad ogni accesso. Su Chrome il processo è automatico, appare un baloon a scomparsa, con Firefox occorre agire dall’icona sulla barra di Android.
E’ possibile anche aggiungere carte di pagamento e conti bancari e c’è una comoda sezione note.
Monitoraggio del dark web monitora costantemente gli indirizzi email personali in cerca di violazioni (solo versione premium).
La mia opinione
Non voglio dilungarmi qui a descrivere nello specifico le numerose funzioni di LastPass, esistono già numerose guide ma ho descritto la mia esperienza di pulizia e messa in sicurezza che consiglio di fare a tutti.
Dopo qualche giorno di sperimentazione mi sto trovando bene ed ho finalmente la sensazione di avere tutto sotto controllo.
Caratteristiche migliorabili:
Firefox dovrebbe essere supportato meglio.
Talvolta nei campi da riempire il simbolo dell’occhio si sovrappone all’icona di LastPass.
La versione per Android si attiva con browser e qualsiasi applicazione aperta, cosa molto utile ma che comporta una costante occupazione di memoria.
In realtà era da molto che ci volevo provare, ho sempre avuto una certa paura ad affidare le mie credenziali sebbene super criptate a terzi ma mi sono fidato.
Leave a Reply