Rinnovamento delle Passkey su Windows 11: Funzionalità e Integrazione

Bitwarden rende più difficile hackerare i vault delle password senza MFA

Bitwarden, il gestore di password open source, sta continuando a migliorare la sua sicurezza per proteggere i dati degli utenti. Una delle ultime novità è l’aggiunta di un ulteriore livello di sicurezza per gli account non protetti dall’autenticazione a due fattori (MFA). Questo nuovo metodo richiede la verifica dell’e-mail prima di consentire l’accesso agli account, aggiungendo un codice di verifica via e-mail per confermare l’azione. In questo articolo, esploreremo come questa aggiornata sicurezza funziona e forniremo consigli su come utilizzarla al meglio.

Come funziona la nuova sicurezza di Bitwarden

La nuova sicurezza di Bitwarden è progettata per proteggere gli account che non utilizzano l’autenticazione a due fattori. Quando un utente tenta di accedere al suo account da un dispositivo non riconosciuto, gli viene richiesto di confermare l’azione inserendo un codice di verifica ricevuto tramite e-mail. Questo codice è unico e deve essere inserito per poter accedere al vault delle password. Se l’utente non fornisce il codice, non potrà accedere al suo account.

Esempi di situazioni in cui viene richiesto il codice di verifica

  • Accesso da un dispositivo non riconosciuto: Se un utente tenta di accedere al suo account da un dispositivo che non è stato precedentemente riconosciuto da Bitwarden, gli verrà richiesto di inserire il codice di verifica via e-mail.
  • Reinstallazione dell’app: Se un utente reinstalla l’app di Bitwarden su un nuovo dispositivo, potrebbe essere richiesto di inserire il codice di verifica per accedere al suo account.
  • Cancellazione dei cookie del browser: Se un utente cancella i cookie del suo browser web, potrebbe essere richiesto di inserire il codice di verifica per accedere al suo account.

Perché è importante abilitare l’autenticazione a due fattori (MFA)

Sebbene la nuova sicurezza di Bitwarden aggiunga un ulteriore livello di protezione, l’approccio migliore sarebbe quello di abilitare l’autenticazione a due fattori. L’MFA esclude automaticamente gli utenti da questo nuovo meccanismo di sicurezza e offre una protezione più robusta. Ecco alcuni motivi per cui è importante abilitare l’MFA:

  • Protezione aggiuntiva: L’MFA aggiunge un ulteriore livello di protezione, rendendo più difficile per gli hacker accedere ai dati degli utenti.
  • Esclusione dal nuovo meccanismo di sicurezza: Se un utente abilita l’MFA, non sarà soggetto al nuovo meccanismo di sicurezza che richiede il codice di verifica via e-mail.
  • Migliore sicurezza per le istanze self-hosted: L’MFA offre una maggiore sicurezza anche per le istanze self-hosted, che altrimenti potrebbero essere vulnerabili ai tentativi di accesso non autorizzati.

Suggerimenti per utilizzare al meglio la nuova sicurezza di Bitwarden

Per utilizzare al meglio la nuova sicurezza di Bitwarden, gli utenti dovrebbero seguire questi suggerimenti:

  • Assicurarsi di avere accesso indipendente alle proprie credenziali e-mail: Gli utenti dovrebbero assicurarsi di avere accesso indipendente alle proprie credenziali e-mail per evitare di essere bloccati sia dalla propria e-mail che dagli account Bitwarden.
  • Abilitare l’autenticazione a due fattori (MFA): L’abilitazione dell’MFA esclude automaticamente gli utenti da questo nuovo meccanismo di sicurezza e offre una protezione più robusta.
  • Utilizzare password difficili da forzare brute-force: Gli utenti dovrebbero scegliere password lunghe e univoche, incluse diversi tipi di caratteri, per evitare che siano forzate brute-force.
  • Evitare di riciclare password: Gli utenti dovrebbero evitare di riciclare password per diverse applicazioni, poiché questo aumenta la possibilità che una password compromessa possa essere utilizzata per accedere a altri account.

Rischi associati all’auto-fill di Bitwarden

Bitwarden ha anche un’auto-fill di credenziali che contiene un comportamento rischioso che potrebbe permettere ai hacker di rubare le credenziali degli utenti utilizzando iframes malici. Questo rischio è stato segnalato dagli analisti di Flashpoint, che hanno scoperto che Bitwarden ha saputo di questo problema sin dal 2018 ma ha deciso di mantenere il comportamento per accogliere siti legittimi che utilizzano iframes[2].

Come proteggersi dagli iframes malici

Per proteggersi dagli iframes malici, gli utenti di Bitwarden dovrebbero:

  • Disabilitare l’auto-fill per impostazione predefinita: L’auto-fill di credenziali è disabilitato per impostazione predefinita, ma gli utenti possono attivarlo se necessario. Tuttavia, è importante essere consapevoli dei rischi associati.
  • Verificare le origini degli iframes: Gli utenti dovrebbero verificare le origini degli iframes prima di inserire le credenziali. Se un iframe è proveniente da un dominio non riconosciuto, è meglio non utilizzare l’auto-fill.
  • Aggiungere URL specifici: Gli utenti possono aggiungere URL specifici ai loro item per autorizzare l’auto-fill solo per quei siti riconosciuti[2].

Accesso senza password con Bitwarden

Bitwarden offre anche un’opzione per accedere al vault delle password senza dover inserire la password master. Questo viene chiamato “Log in with device” e consente agli utenti di approvare l’accesso da un altro dispositivo, come un telefono o un computer[3].

Come approvare l’accesso con un dispositivo

Per approvare l’accesso con un dispositivo, gli utenti devono seguire questi passaggi:

  1. Accedere al client Bitwarden: Gli utenti devono accedere al client Bitwarden su un dispositivo che supporta l’approvazione dei dispositivi, come il web app, l’app mobile o l’app desktop.
  2. Inserire l’indirizzo e-mail: Gli utenti devono inserire l’indirizzo e-mail del loro account Bitwarden.
  3. Selezionare “Log in with device”: Gli utenti devono selezionare l’opzione “Log in with device”, che invierà una notifica push ai loro dispositivi mobili e desktop per l’approvazione.
  4. Approvare la richiesta: Gli utenti devono aprire il loro app mobile, confrontare le frasi di dito, e confermare la richiesta di accesso all’interno della notifica.

Sicurezza del processo di accesso senza password

Il processo di accesso senza password è sicuro grazie a diversi tecnologie di sicurezza:

  • Crittografia end-to-end e zero-knowledge: La comunicazione tra il client web vault e l’app mobile è completamente crittografata con una coppia di chiavi pubblica e privata, con i dati crittografati prima di lasciare il dispositivo.
  • Fingerprint Phrase: Il client web vault mostrerà una Fingerprint Phrase che identifica l’accesso. Questa frase sarà anche visibile nella richiesta di accesso sull’app mobile. Gli utenti devono assicurarsi che le frasi siano compatibili prima di approvare la richiesta.
  • Due-step Login: Se l’utente ha attivato il due-step login, dovrà completare il secondo passaggio dopo aver approvato l’accesso.

La nuova sicurezza di Bitwarden aggiunge un ulteriore livello di protezione per gli account non protetti dall’autenticazione a due fattori. Sebbene sia importante abilitare l’MFA per una protezione più robusta, gli utenti possono utilizzare al meglio la nuova sicurezza di Bitwarden seguendo i suggerimenti forniti. Inoltre, è importante essere consapevoli dei rischi associati all’auto-fill e prendere misure per proteggersi dagli iframes malici. Infine, l’opzione di accesso senza password con “Log in with device” offre una soluzione conveniente e sicura per accedere al vault delle password.

Fonte: https://www.bleepingcomputer.com/news/security/bitwarden-makes-it-harder-to-hack-password-vaults-without-mfa

Inizia a scrivere e premi Invio per cercare

Torna in alto