Categorie
Blog

Aumentare la sicurezza di WordPress

wp_bruteforce_opt1Negli ultimi giorni c’è stata un drastico aumento degli attacchi alla pagina di login di WordPress. Quasi 100.000 computer “zombies” in preda a un botnet stanno cercando di forzare un gran numero di installazioni tramite un attacco “brute force” che tenta di indovinare la password dell’amministratore.

Difendersi non è difficile, basta prendere alcune precauzioni. Potete cambiare il nome dell’amministratore, scegliendone uno diverso da “admin”, potete scegliere una password complessa di almeno 10 caratteri, o potete attivare l’autenticazione a due fattori. Continua a leggere

Categorie
Blog

Proteggere l’accesso SSH tramite l’autenticazione a due fattori

Tempo fa ho parlato dell’autenticazione a due fattori dell’account Google. Il codice di Google Authenticator rilasciato da Big G è Open Source e può essere utilizzato per diverse applicazioni. Per esempio può aggiungere uno strato alla sicurezza dell’accesso SSH con una time based one-time password (TOTP). Il bello è che Google non mette il naso nella vostra connessione: è una faccenda tra il vostro server e il vostro smartphone e chiunque lo può verificare esaminando il codice sorgente. Continua a leggere

Categorie
Blog

Aumentare la sicurezza di Gmail con la verifica in due passaggi

La sicurezza della maggior parte dei nostri account dipende da un solo fattore di autenticazione, il che è abbastanza rozzo e non particolarmente sicuro; questo fattore è la password: un oggetto che può essere indovinato, forzato, smarrito, trovato in un cassetto e così via. In pratica, per accedere a un sistema, oltre al nome utente mi basta “qualcosa che so”.

Aggiungere un fattore aumenta drasticamente la sicurezza, oltre a “qualcosa che so”, mi serve “qualcosa che ho”. Un esempio noto a tutti è il bancomat: il PIN (che “so”) non serve senza la tessera (che “ho”). Un caso simile sono i token forniti dalle banche per i servizi online, ma in quel caso la sicurezza è ulteriormente incrementata perché si aggiunge il fattore tempo: le password che il token mi aiuta a generare non sono riutilizzabili (one-time password) e funzionano solo in un determinato arco di tempo. Continua a leggere