Una breve guida alle basi della sicurezza informatica

Lunedì scorso, Ho ricevuto un'e-mail da Spotify che diceva che qualcuno in Brasile aveva effettuato l'accesso al mio account.

Ho controllato. Abbastanza sicuro:uno sconosciuto stava usando il mio Spotify per ascoltare Michael Jackson. Ho detto a Spotify di "disconnettermi ovunque" - ma non ho cambiato la mia password.

Di mercoledì, è successo di nuovo. Alle 2 del mattino, Ho ricevuto un'altra email da Spotify. Questa volta, il mio subdolo amico brasiliano stava ascoltando Prince. E a quanto pare hanno apprezzato l'aspetto di una delle mie playlist ("Funk Is Its Own Reward"), perché avevano ascoltato anche quello.

Mi sono disconnesso di nuovo ovunque, e questo volta che ho cambiato la mia password. E ho preso una decisione.

Vedi, Ho fatto un pessimo lavoro nell'implementare moderne misure di sicurezza online. Sì, Ho i miei conti finanziari critici bloccati con l'autenticazione a due fattori, eccetera., ma soprattutto sono sciatto quando si tratta di sicurezza informatica.

Per esempio, Riuso le password. Uso ancora le password di trenta anni fa per situazioni di scarsa sicurezza (come l'iscrizione a un wine club o un programma di fidelizzazione aziendale). E mentre ho iniziato a creare password efficaci (ma facili da ricordare) per account più importanti, queste password seguono tutte uno schema e non sono casuali. Peggio di tutto, Conservo un documento di testo normale di 20 anni in cui conservo Tutti dei miei dati personali sensibili.

Questo è stupido. stupido stupido stupido stupido.

So che è stupido, ma non mi sono mai preso la briga di apportare modifiche, fino ad ora. Ora, per una serie di motivi, Sento che è tempo per me di rendere la mia vita digitale un po' più sicura. Ho passato diverse ore durante il fine settimana a chiudere le cose. Ecco come.

Una breve guida alla sicurezza informatica

Coincidentalmente, lo stesso giorno in cui il mio account Spotify è stato utilizzato per trasmettere in streaming i più grandi successi di Prince in Brasile, un utente Reddit di nome /u/ACheetoBandito ha pubblicato una guida alla sicurezza informatica in /r/fatFIRE. Quanto conveniente!

“La sicurezza informatica è una componente fondamentale della sicurezza finanziaria, ma raramente discusso nei circoli di finanza personale, ” /u/ACheetoBandito ha scritto. “Si noti che i professionisti della sicurezza informatica non sono d'accordo sulle migliori pratiche per la sicurezza informatica personale. Questo è mio prospettiva, perché ho una certa esperienza nel settore.”

Non riprodurrò l'intero post qui - dovresti assolutamente leggerlo, se questo argomento è importante per te, ma io... volere elencare il sommario punto elenco insieme ad alcuni dei miei pensieri. Il nostro amico dalle dita arancioni consiglia a chiunque sia preoccupato della sicurezza informatica di seguire i seguenti passaggi:

1. Ottieni almeno due token di sicurezza basati su hardware. Il mio amico Robert Farrington (di The College Investor) usa YubiKey. Google offre il suo token di sicurezza Titan. (Ho ordinato YubiKey 5c nano a causa del suo fattore di forma minimo.)
2. Configura un account di posta elettronica privato segreto. Il tuo indirizzo email privato non deve essere collegato in qualunque via alla tua email pubblica, e l'indirizzo non deve essere dato a nessuno. (Ho già molti account di posta pubblici, ma non avevo un indirizzo privato. Lo so.)
3. Attiva la protezione avanzata per i tuoi account Gmail pubblici e privati. La protezione avanzata è un componente aggiuntivo di sicurezza gratuito di Google. Collegalo ai token di sicurezza che hai acquisito nel passaggio uno. (Non l'ho configurato perché i miei token di sicurezza non arriveranno fino a questo pomeriggio.)
4. Configura un gestore di password. Quale gestore di password scegli dipende da te. La chiave è sceglierne uno che farai utilizzo . È meglio se questa app supporta i tuoi nuovi token di sicurezza per l'autenticazione. (Tratterò alcune opzioni nella prossima sezione di questo articolo.)
5. Genera nuove password per Tutti conti. Crea manualmente password memorabili per i tuoi indirizzi e-mail, i tuoi computer (e dispositivi mobili), e per il gestore di password stesso. Tutte le altre password devono essere password complesse generate casualmente dal gestore delle password.
6. Associa gli account critici al tuo nuovo indirizzo email privato. Ciò includerà i conti finanziari, come le tue banche, brokeraggio, e carte di credito. Ma potrebbe includere anche altri account. (Utilizzerò il mio indirizzo e-mail privato per i servizi principali relativi a questo sito Web, ad esempio.)
7. Attiva misure di sicurezza aggiuntive per tutti gli account. Le funzionalità disponibili variano da provider a provider, ma in generale dovresti essere in grado di attivare l'autenticazione a due fattori (con le chiavi di sicurezza, quando possibile) e avvisi di accesso.
8. Attiva gli avvisi di testo/e-mail per i conti finanziari. Potresti anche voler attivare gli avvisi per le modifiche al tuo punteggio di credito e/o rapporto di credito.
9. Attiva le misure di sicurezza sui tuoi dispositivi mobili. Il tuo telefono dovrebbe essere bloccato da una forte misura di autorizzazione. E ciascuna delle tue singole app finanziarie dovrebbe essere bloccata con una password e ogni altra possibile misura di sicurezza.

/u/ACheetoBandito consiglia alcuni ulteriori, misure di sicurezza facoltative. (E l'intero thread di discussione di Reddit è pieno di ottimi suggerimenti per la sicurezza.)

Potresti voler bloccare il tuo credito (sebbene, se fate, ricorda che di tanto in tanto avrai bisogno di un -congelare il credito per effettuare transazioni finanziarie). Alcune persone vorranno crittografare i loro telefoni e dischi rigidi. E se sei molto preoccupato per la sicurezza, acquista un Chromebook economico e usalo come soltanto dispositivo su cui si eseguono transazioni finanziarie. (Credici o no, Sto facendo questo ultimo passaggio facoltativo. Ha senso per me - e potrebbe essere una possibilità per me di andare oltre Quicken.)

Esplorare i migliori gestori di password

Va bene, Grande! Ho ordinato un nuovo Chromebook da $ 150 e due token di sicurezza basati su hardware. Ho creato un nuovo di zecca, indirizzo email top secret, che collegherò a qualsiasi account che necessita di maggiore sicurezza. Ma non ho ancora affrontato il punto più debole del processo:il mio documento di testo pieno di password.

Parte del problema è l'autocompiacimento. Il mio sistema è semplice e mi piace. Ma un'altra parte del problema è la paralisi dell'analisi. Ci sono quantità dei gestori di password là fuori, e non ho idea di come distinguerli, per capire quale è giusto per me e le mie esigenze.

Per un aiuto, Ho chiesto ai miei amici di Facebook di elencare i migliori gestori di password. Ho scaricato e installato ciascuno dei loro suggerimenti, poi ho annotato alcune prime impressioni.

• LastPass:16 voti (2 da nerd tecnologici) — LastPass è stato di gran lunga il gestore di password più popolare tra i miei amici di Facebook. La gente lo adora. L'ho installato e ho curiosato, e sembra... ok. L'interfaccia è un po' goffa e il set di funzionalità sembra adeguato (ma non robusto). L'app utilizza la metafora "caveau" di facile comprensione, che gradisco. LastPass è gratuito (con opzioni premium disponibili a un costo aggiuntivo).
• 1Password:7 voti (4 da nerd tecnologici) — Questa app ha caratteristiche simili a Bitwarden o LastPass. L'interfaccia è abbastanza carina, e sembra fornire avvisi di sicurezza. 1Password costa $ 36/anno.
• Bitwarden:4 voti (2 dai nerd tecnologici) — Bitwarden ha un semplice, interfaccia di facile comprensione. Utilizza la stessa metafora "vault" utilizzata da prodotti come LastPass e 1Password. È un forte contendente per diventare lo strumento che uso. Bitwarden è gratuito. Per $ 10 all'anno, puoi aggiungere funzionalità di sicurezza premium.
• KeePass:2 voti — KeePass è un gestore di password Open Source gratuito. Sono disponibili installazioni di KeePass per tutti i principali sistemi operativi per computer e dispositivi mobili. Se sei un fanatico di Linux (o un sostenitore dell'Open Source), questa potrebbe essere una buona scelta. Non mi piacciono le sue funzionalità limitate e la sua terribile interfaccia. KeePass è gratuito.
• Dashlane:2 voti — Di tutti i gestori di password che ho guardato, Dashlane ha l'interfaccia più bella e il maggior numero di funzionalità. Come molti di questi strumenti, usa la metafora del “caveau”, ma ti consente di archiviare più cose in questo deposito rispetto ad altri strumenti. (Puoi memorizzare le informazioni sull'ID:patente di guida, passaporto, per esempio. C'è anche un posto per conservare le ricevute.) Dashlane ha un'opzione di base gratuita ma la maggior parte delle persone vorrà l'opzione premium da $ 60 all'anno. (C'è anche un'opzione da $ 120 all'anno che include il monitoraggio del credito e l'assicurazione contro il furto di identità.)
• Blur:1 voto — Blur è diverso dalla maggior parte dei gestori di password. Cerca letteralmente di offuscare la tua identità online. Impedisce ai browser Web di tracciarti, maschera indirizzi e-mail e carte di credito e numeri di telefono, e (o ovviamente) gestisce le password. Voglio alcune funzionalità che Blur non ha e non voglio alcune delle funzionalità che ha fa avere. La sfocatura costa un minimo di $ 39/anno ma quel prezzo può diventare molto più alto.
• Portachiavi Apple:1 voto — Il portachiavi è il gestore di password integrato di Apple dal 1999. Come tale, è disponibile gratuitamente sui dispositivi Apple. La maggior parte delle persone su Mac e iOS usa Keychain senza nemmeno rendersene conto. Non è abbastanza robusto per fare altro che memorizzare le password, quindi non l'ho preso in seria considerazione. Il portachiavi è gratuito e viene installato sui prodotti Apple.

Sia chiaro: Ho fatto solo un rapido esame di questi gestori di password. Non mi sono tuffato in profondità. Se provassi a confrontare tutte le funzionalità di ogni gestore di password, non sceglierei mai. Sarei bloccato di nuovo nella paralisi dell'analisi. Così, Ho dato a ciascuno una rapida occhiata e ho preso una decisione basata sull'istinto e sull'intuizione.

Di questi strumenti, due si sono distinti:Bitwarden e Dashlane. Entrambi sfoggiano interfacce piacevoli e molte funzionalità. Entrambi gli strumenti offrono versioni gratuite, ma vorrei passare a un piano premium a pagamento per accedere all'autenticazione a due fattori (utilizzando le mie nuove chiavi di sicurezza hardware) e al monitoraggio della sicurezza. È qui che Bitwarden ha un grande vantaggio. Sono solo 10 dollari all'anno. Per ottenere le stesse caratteristiche, Dashlane costa $ 60 all'anno.

Ma ecco la cosa.

Ho iniziato in realtà usando entrambi questi strumenti contemporaneamente, inserendo le password del mio sito web una per una. Mi sono fermato dopo aver inserito dieci siti in ciascuno. Era chiaro che preferivo di gran lunga usare Dashlane a Bitwarden. Funziona solo in un modo che ha senso per me. (La tua esperienza potrebbe essere diversa.) Quindi, Almeno per un pò, Userò Dashlane come gestore di password.

Il problema con le password

Il motivo principale per cui utilizzo un gestore di password è quello di ottenere le mie informazioni sensibili da un documento di testo normale e in qualcosa di più sicuro. Ma ho un motivo secondario:voglio migliorare la forza delle mie password.

Quando ho iniziato a usare Internet, negli anni '80, prima dell'avvento del World Wide Web, non ho risparmiato un pensiero per la sicurezza della password. La prima password che ho creato (nel 1989) era semplicemente il nome del mio amico che mi ha permesso di usare il suo computer per accedere ai sistemi di bacheca locale. Ho usato quella password per anni su tutto, dagli account di posta elettronica ai siti bancari. La considero ancora la mia password di "bassa sicurezza" per le cose che non sono critiche.

Ho forse otto o dieci password come questa:breve, password semplici che ho usato in dozzine di posizioni. Negli ultimi cinque anni, Ho provato a passare a password univoche per ogni sito, password che seguono uno schema. Mentre questi sono un miglioramento, non sono ancora fantastici. come ho detto, seguono uno schema. E mentre contengono lettere, numeri, e simboli, sono tutti relativamente brevi.

Come ci si potrebbe aspettare, il mio protocollo di password sciatto ha creato una sorta di incubo per la sicurezza. Ecco uno screenshot dello strumento Google Password Checkup per uno dei miei account.

Ottengo risultati simili per Tutti dei miei account Google. Accidenti.

Più, c'è il problema della condivisione dell'account.

Kim e io condividiamo un account Netflix. E un account Amazon. E un account Hulu. E un account iTunes. Infatti, probabilmente condividiamo venti o trenta account. Io e lei usiamo la stessa password facile da ricordare per tutti questi accessi. Sebbene nessuno di questi account sia estremamente sensibile, quello che stiamo facendo è ancora una pessima idea.

Così, Voglio iniziare a passare a password più sicure, anche per gli account che condivido con Kim.

La buona notizia è che la maggior parte dei gestori di password, incluso Dashlane, genererà automaticamente password casuali per te. Oppure potrei provare qualcosa di simile all'idea suggerita in questo fumetto XKCD:

Il problema, Certo, è che ogni luogo ha requisiti diversi per le password. Alcuni richiedono numeri. Alcuni richiedono simboli. Alcuni dicono no simboli. E così via. Non conosco nessun sito che mi permetta di usare quattro parole comuni casuali per una password!

Per adesso, Ho intenzione di adottare un approccio su tre fronti:

• Creerò manualmente password lunghe (ma memorabili) per i miei account più critici. Questo è il metodo XKCD.
• Per gli account che condivido con Kim — Netflix, eccetera — ne creerò di nuovi, password memorizzabili che seguono uno schema.
• Per tutto il resto, Lascerò che il mio gestore di password generi password casuali.

Questo sembra un buon equilibrio tra usabilità e sicurezza. Ogni password sarà diversa. Solo quelli che condivido con Kim saranno brevi; tutti gli altri saranno lunghi. E la maggior parte delle mie nuove password saranno incomprensibili casuali.

Considerazioni finali sulla sicurezza informatica

In questo breve video di Tech Insider, un ex esperto di sicurezza della National Security Agency condivide i suoi cinque migliori consigli per proteggersi online.

Noterai che questi sono simili alla guida alla sicurezza informatica di Reddit che ho pubblicato in precedenza in questo articolo. Ecco i passaggi che dice di fare per tenersi al sicuro:

• Abilita l'autenticazione a due fattori quando possibile.
• Non usare la stessa password ovunque.
• Mantieni aggiornato il tuo sistema operativo (e software).
• Fai attenzione a ciò che pubblichi sui social media.
• Fare non condividere informazioni personali a meno che tu non sia certo hai a che fare con un'azienda o una persona di fiducia.

Non fingerò che i passi che sto facendo mi proteggeranno completamente. Ma il mio nuovo sistema è sicuramente un aggiornamento rispetto a quello che ho fatto negli ultimi 20 anni, ovvero, come ho detto, stupido stupido stupido.

E devo confessare:io Come l'idea di limitare la mia vita finanziaria online a un solo computer:il nuovo Chromebook da 150 dollari. Non sono sicuro che sia effettivamente fattibile, ma ho intenzione di fare un tentativo. Se funziona, quindi posso vedere se riesco a trovare uno strumento di gestione del denaro che mi piace per la macchina. Forse allora posso finalmente lasciarmi alle spalle Quicken 2007 per Mac!