[MULTI] Giochi Gratis

[nobody47]

Eh già: perchè queste cose non sono mai successe ad altri.

Però qua mi sembra un pò più grave, se non ricordo male era successo a Steam ma i dati erano cifrati e quindi non servivano a niente, con Uplay e Origin era successo ma solo alcuni dati che da soli non permettevano di prendere possesso di un account. Qua forse invece è finito tutto in chiaro su internet, nome account, mail e password se uno ha la 2FA puo stare tranquillo però vuoi che qualcuno non la usa perde subito l'account, tutti gli indirizzi mail e nomi account vanno a finire in mano i bot spam che ora ti inondano la mail di rotture di cazzo.

[von right]

Eh già: perchè queste cose non sono mai successe ad altri.

Gli altri almeno ci provano, qui siamo al livello m5s/rousseau.

[Lars_Rosenberg]

Però qua mi sembra un pò più grave, se non ricordo male era successo a Steam ma i dati erano cifrati e quindi non servivano a niente, con Uplay e Origin era successo ma solo alcuni dati che da soli non permettevano di prendere possesso di un account. Qua forse invece è finito tutto in chiaro su internet, nome account, mail e password se uno ha la 2FA puo stare tranquillo però vuoi che qualcuno non la usa perde subito l'account, tutti gli indirizzi mail e nomi account vanno a finire in mano i bot spam che ora ti inondano la mail di rotture di cazzo.

In questi casi il problema non è tanto l'account Epic, dove l'MFA è obbligatorio (o no? ) ma il fatto che tantissimi utenti utilizzano le stesse credenziali su altri siti.
Quindi se avete la stessa password su Epic anche su altri servizi, cambiare la password su Epic non è sufficiente per stare tranquilli. Da qui la mia digressione sull'utilizzo del password manager, unico modo per riuscire ad utilizzare password diverse per ogni account, a meno di non avere la memoria di Pico della Mirandola

[fener75]

Per curiosita, che pwd manager usi?

[Lars_Rosenberg]

Bitwarden, secondo me è il migliore.
È disponibile ovviamente per tutte le piattaforme (desktop, mobile, browser), è open source, tutte le funzionalità fondamentali sono free ed ha una interfaccia moderna e user friendly. Recentemente ho fatto l'abbonamento alla versione premium perchè costa solo 10$ l'anno e aggiunge la possibilità di generare in automatico anche i codici TOTP (quelli che genera anche Google Authenticator per intenderci) che è molto più comodo rispetto a dover tirare fuori lo smartphone ogni volta. Per meno di un euro al mese il tempo risparmiato ne vale assolutamente la pena.

[bellisimo]

QUindi non sono solo degli idioti inutili, sono pure degli idioti dannosi.

in realtà il fine ultimo era, fin dall'inizio, non regalare i giochi a noi, ma a qualche bot amante di Fortnite...

cmq, cambio pass fatto, il 2fa già c'era, grazie della segnalazione.

[fener75]

Bitwarden, secondo me è il migliore.
È disponibile ovviamente per tutte le piattaforme (desktop, mobile, browser), è open source, tutte le funzionalità fondamentali sono free ed ha una interfaccia moderna e user friendly. Recentemente ho fatto l'abbonamento alla versione premium perchè costa solo 10$ l'anno e aggiunge la possibilità di generare in automatico anche i codici TOTP (quelli che genera anche Google Authenticator per intenderci) che è molto più comodo rispetto a dover tirare fuori lo smartphone ogni volta. Per meno di un euro al mese il tempo risparmiato ne vale assolutamente la pena.

Grazie, lo proverò.

[NOXx]

Bitwarden, secondo me è il migliore.
È disponibile ovviamente per tutte le piattaforme (desktop, mobile, browser), è open source, tutte le funzionalità fondamentali sono free ed ha una interfaccia moderna e user friendly. Recentemente ho fatto l'abbonamento alla versione premium perchè costa solo 10$ l'anno e aggiunge la possibilità di generare in automatico anche i codici TOTP (quelli che genera anche Google Authenticator per intenderci) che è molto più comodo rispetto a dover tirare fuori lo smartphone ogni volta. Per meno di un euro al mese il tempo risparmiato ne vale assolutamente la pena.

ecco, io di questi generatori casuali di password non so se fidarmi o meno

mi spiego meglio, so che ne parlano tutti strabenissimo, ma la domanda è: i programmi \ trojan che usano gli hacker per craccare le password generano password casuali fino a che non beccano quella giusta... e questi generatori fanno più o meno la stessa cosa.
non si è non dico meno al sicuro rispetto ad una inventata, ma più facilmente bucabili da tali programmi?

potete anche percularmi, non importa, chiedo solo per chiarire sto dubbio

[Major Sludgebucket (ABS)]

ecco, io di questi generatori casuali di password non so se fidarmi o meno

Io da sempre uso il metodo di far scegliere le password al gatto facendolo camminare sulla tastiera, e non mi ha mai tradito .

[Lars_Rosenberg]

No, assolutamente no. E comunque puoi personalizzare tutti i parametri come lunghezza, numero di caratteri speciali, maiuscole, numeri ecc... cose che non possono essere previste anche conoscendo l'algoritmo di generazione del password manager.
Inoltre il brute force non lo usa nessuno sugli account di siti web, è molto più efficace un dictionary attack (che combina le parole più utilizzate nelle password) o ancora meglio semplicemente usare le liste di password rubate ad altri siti e messe in vendita nel deep web.
Il rischio da tenere presente con un password manager è diverso: quello che tutte le nostre credenziali si trovano in un unico punto (il db del password manager).
Bitwarden ad esempio supporta la multi-factor authentication anche nella sua versione free, cosa fondamentale. Inoltre il suo vault è criptato in AES-256, altra cosa fondamentale. È anche sottoposto ad audit.
Il password manager più popolare è LastPass, che però non è open-source ed ha avuto dei breach ai server in passato, quindi mi da molta meno fiducia.
Uno valido è KeePass, ma è meno comodo da usare secondo me, soprattutto se si usano più device e l'interfaccia è da anni 80

[LarsenB]

ecco, io di questi generatori casuali di password non so se fidarmi o meno

mi spiego meglio, so che ne parlano tutti strabenissimo, ma la domanda è: i programmi \ trojan che usano gli hacker per craccare le password generano password casuali fino a che non beccano quella giusta... e questi generatori fanno più o meno la stessa cosa.
non si è non dico meno al sicuro rispetto ad una inventata, ma più facilmente bucabili da tali programmi?

potete anche percularmi, non importa, chiedo solo per chiarire sto dubbio

Dal punto di vista dell'hacker che usa un brute force per azzeccare la password, quella generata dal password manager è altrettanto casuale della tua frase preferita scelta a mano, posto che una non sia lunga un quarto dell'altra... è un problema di complessità, non di come sono mischiati tra loro i caratteri.
Io comunque nel dubbio il manager (KeePass per me) lo uso per memorizzare le password che scelgo io, non me le faccio generare; semplicemente non salvo nel DB la password letterale, ma salvo invece un po' di "indizi" che mi aiutano a ricordare.... non è a prova di alzheimer, ma preferisco tenere il controllo della faccenda

[NOXx]

uhm... ci penserò, più che altro io ho almeno una 50ina di siti che controllo più o meno spesso...avere una pass diversa per sito sarebbe una tortura

[Kemper Boyd]

Considera che il password reuse è uno dei rischi più alti delle password: te ne trovano una, ti bucano 50 siti

L'altra cosa riguardo le password è che ci hanno insegnato le cose al contrario: maiuscole, minuscole, simboli, insomma roba difficilissima da ricordare per un umano che magari la fa "difficile ma corta" e quindi in realtà fa il gioco di una macchina che debba provare a crackarla. È invece molto più comodo, nonché sicuro, usare password facili da ricordare ma LUNGHE. La lunghezza è la qualità più importante di una password (a meno che non sia una sequenza di 40 caratteri uguali), quindi è meglio "epic store fa cagare" di "djD(hj34!". La prima è molto più difficile da crackare e contemporaneamente molto più facile da ricordare. Quasi tutte le password policy dei siti sono merda, ogni volta che qualche servizio impone una lunghezza massima alle password (e non sono pochi) mi sale la bestemmia.

[alucard82ita]

uhm... ci penserò, più che altro io ho almeno una 50ina di siti che controllo più o meno spesso...avere una pass diversa per sito sarebbe una tortura

E' paradossalmente il primo scoglio da superare per chi deve iniziare a tenere un pwd manager: cominciare a metterle in fila

Una volta iniziato però, risulta estremamente facile anche aggiungere account per cagate temporanee (concorsi, account per prodotti e altro, che ormai sono tutti lì a chiederti una mail e una pwd) e tenerle d'occhio senza troppi patemi.

Se qualcuno le ha memorizzate per i siti web sul browser, sappia che può estrarle in un file compatibile con tutti questi programmi, o almeno con quelli più conosciuti/di riferimento.

[il Cinese]

Firefox Lockwise non ci piace? Rispetto a un Bitwarden è così inferiore?

[Kayato]

Anche chrome le genera casualmente....cosa cambia?

[magen1]

il problema di quei servizi banca e' che fanno comunque base ad una sola password di accesso all'account.
basta bucare l'account per avere accesso a tutto il vostro forziere
ok crittografia, 2fa e cazzi e mazzi di fatto hanno gia' bucato quei servizi, direttamente entrando nei loro server, senza nemmeno perdete tempo con gli account singoli.
non esiste un metodo sicuro nemmeno con la password piu' cazzuta, ne con i sistemi piu' impenetrabili.
se non sfondano voi, sfondano il servizio.
e' piu' una questione di probabilita'.

[Kemper Boyd]

Keepass ad esempio non è un servizio, il database è un file criptato.

[albero]

Password resettata, grazie.
Semi-ot: sono casi come questi, ormai molto frequenti, che mi fanno essere più tranquillo usando un password manager. Tutte le mie password sono diverse ed estremamente complesse (generate casualmente), inoltre uso la multi-factor authentication ovunque sia possibile.
Questo aggiunge un minimo di scomodità, ma aumenta tantissimo la sicurezza. In servizi dove ci sono dati personali e dove ho speso soldi, per me questo è più importante.
Quindi fate i bravi e non usate le password imparate a memoria, che poi lo so che usate sempre la stessa per tutti i siti.

Ma come si fa con Bitwarden a generare password automaticamente? Permette anche di cambiarne di esistenti?

[Lars_Rosenberg]

uhm... ci penserò, più che altro io ho almeno una 50ina di siti che controllo più o meno spesso...avere una pass diversa per sito sarebbe una tortura

Sei il tipo di utente più vulnerabile in assoluto. Tutelati prima che sia troppo tardi.
Comunque i browser memorizzano le password e auto-completano i campi, non c'è nessuna scomodità.

Considera che il password reuse è uno dei rischi più alti delle password: te ne trovano una, ti bucano 50 siti

L'altra cosa riguardo le password è che ci hanno insegnato le cose al contrario: maiuscole, minuscole, simboli, insomma roba difficilissima da ricordare per un umano che magari la fa "difficile ma corta" e quindi in realtà fa il gioco di una macchina che debba provare a crackarla. È invece molto più comodo, nonché sicuro, usare password facili da ricordare ma LUNGHE. La lunghezza è la qualità più importante di una password (a meno che non sia una sequenza di 40 caratteri uguali), quindi è meglio "epic store fa cagare" di "djD(hj34!". La prima è molto più difficile da crackare e contemporaneamente molto più facile da ricordare. Quasi tutte le password policy dei siti sono merda, ogni volta che qualche servizio impone una lunghezza massima alle password (e non sono pochi) mi sale la bestemmia.

Quoto tutto con forza

Anche chrome le genera casualmente....cosa cambia?

Solo che Chrome è molto basic come funzionalità e soprattutto diventa scomodo quando usi altre app che non stiano nel browser.
Comunque in molti casi va benissimo.

il problema di quei servizi banca e' che fanno comunque base ad una sola password di accesso all'account.
basta bucare l'account per avere accesso a tutto il vostro forziere
ok crittografia, 2fa e cazzi e mazzi di fatto hanno gia' bucato quei servizi, direttamente entrando nei loro server, senza nemmeno perdete tempo con gli account singoli.
non esiste un metodo sicuro nemmeno con la password piu' cazzuta, ne con i sistemi piu' impenetrabili.
se non sfondano voi, sfondano il servizio.
e' piu' una questione di probabilita'.

Ni.
Il database è criptato quindi anche una compromissione lato server non ti mette in pericolo.
Basta proteggere le proprie credenziali d'accesso e con l'MFA attivo è piuttosto sicuro.
Una cosa da evitare è lasciare sempre il vault aperto e sbloccato perché potrebbe diventare vulnerabile a virus/trojan, meglio aprirlo solo per i pochi minuti che ci serve
Ma stiamo parlando proprio di casi limite, che rispetto all'utente che usa le password tutte uguali ha diversi ordini di grandezza di probabilità in meno.