Categorie
Blog

Aumentare la sicurezza di WordPress

wp_bruteforce_opt1Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore.

Difendersi non è difficile, basta prendere alcune precauzioni. Potete cambiare il nome dell’amministratore, scegliendone uno diverso da “admin”, potete scegliere una password complessa di almeno 10 caratteri, o potete attivare l’autenticazione a due fattori. Continua a leggere

Categorie
Blog

Proteggere l’accesso SSH tramite l’autenticazione a due fattori

Tempo fa ho parlato dell’autenticazione a due fattori dell’account Google. Il codice di Google Authenticator rilasciato da Big G è Open Source e può essere utilizzato per diverse applicazioni. Per esempio può aggiungere uno strato alla sicurezza dell’accesso SSH con una time based one-time password (TOTP). Il bello è che Google non mette il naso nella vostra connessione: è una faccenda tra il vostro server e il vostro smartphone e chiunque lo può verificare esaminando il codice sorgente. Continua a leggere

Categorie
Blog

Aumentare la sicurezza di Gmail con la verifica in due passaggi

La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.

Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo. Continua a leggere

Categorie
Blog

Problemi di autenticazione con il servizio POP3 di Exchange Server

Ora che ci penso è tipo la terza volta che devo risolvere il problema perché mi sono dimenticato di cosa avevo fatto le altre volte, ergo ne scrivo qui.

Il servizio POP3 di Exchange Server rifiuta la connessione segnalando nome utente e/o password sbagliati; accedendo via telnet si scopre che la casella esiste, quindi il nome utente è corretto, ma la password viene rifiutata; se l’utente fosse sbagliato, Exchange segnalerebbe come inesistente la casella postale. Una volta accertato al di là di ogni dubbio (mai fidarsi dell’utente) che le credenziali sono corrette, possiamo attivare i log diagnostici per capire meglio cosa succede. Dalle proprietà del server Exchange, nel System Manager, andiamo alla linguetta “Diagnostic Logging”. L’ultima voce è il servizio POP3SVC, scegliamolo e nelle “Categories” attiviamo il log “Authentication” con “Logging Level” impostato su “Maximum” e confermiamo il tutto. Non ricordo se il servizio deve essere riavviato, nel dubbio se ve ne è la possibilità è meglio far ripartire tutto Exchange tramite il servizio “Microsoft Exchange System Attendant”. Continua a leggere