Author

Topic: [THREAD] Privacyfolder - Post brevi su bitcoin, privacy e mondo open source (Read 176 times)

jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST][MESSAGGISTICA PRIVACY ORIENTED]

Vorrei approfondire l'argomento delle applicazioni di messaggistica più sicure disponibili per il vostro cellulare, introducendovi quelle che secondo me le migliori 3 opzioni da usare, valutando come parametri la loro sicurezza, privacy e utilizzo (bello avere un app fantastica ma se non la utilizza nessuno diventa inutile).

Eccole ordinate per sicurezza e privacy:

• Briar (https://briarproject.org/) è al momento l'applicazione con gli standard di sicurezza e privacy più alti, è completamente open source, crea un tunnel diretto tramite tor tra voi e il destinatario permettendo lo scambio di messaggi in modo totalmente anonimo, senza metadati (non si manda a server vari il vostro IP, orari di login, ecc) e non usa nessun intermediario tra voi e il ricevitore. L'applicazione non è particolarmente comoda per messaggiare tutti i giorni ma funziona estremamente bene!

• Molly (https://molly.im/) è un fork di Signal (quindi rimane compatibile con esso e potete messaggiare normalmente con chi lo utilizza) con però funzioni di privacy aggiuntive e senza tutte le porcherie presenti in esso (sistema di pagamento, servizi google e backup in cloud dei dati),
Comodissima da usare tutti i giorni e ottima a livello di privacy (anche se nemmeno lontanamente ai livelli di briar)

• Nekogram (https://www.f-droid.org/packages/nekox.messenger/) è un client telegram completamente open source, senza servizi google e che permette ulteriori personalizzazioni e features.
Telegram non è una buona app se cercate la privacy ma fortunatamente questo fork implementa la compatibilità con PGP ovvero vi permette in pochi click di criptare manualmente i messaggi in modo che siano leggibili solo da voi e il destinatario!

Se siete interessati ad una spiegazione di PGP (chiedo perché potrebbe essere un pò piu lunga delle solite pillole) fatemelo sapere nei commenti del post!

Ho escluso XMPP al momento in quanto lo tratterò in un post futuro a parte
jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST] [ANDROID KEYBOARD]

Sapevate che le tastiere predefinite di tutti i sistemi operativi android sono costantemente connesse ad internet e riportano continuamente il testo che digitate alle aziende sviluppatrici per """migliorare il correttore automatico"""?

Se volete preservare la vostra privacy consiglio a tutti Open Board (https://www.f-droid.org/packages/org.dslul.openboard.inputmethod.latin/), a mio parere la migliore (ma non l'unica) tastiera open source per android, basilare nelle funzioni ma rispettosa della vostra privacy.

Per una sicurezza totale consiglio anche di andare in:
Impostazioni →applicazioni→tutte le applicazioni → OpenBoard → dati mobili e disattivare l'accesso alla rete all'applicazione

Buona digitazione a tutti! 😁
jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
Vero a patto che sappia la tua masterpass e che usi lesspass.
A questo punto però vale la stessa cosa con qualsiasi password manager!!


Almeno lesspass essendo offline non lascia fingerprinting come le estensioni e non rischi leak di dati non avendo TTP (third trusted parties)

Aspetta, sarebbe vero solo se conoscesse anche la username, ma non è detto che sia sempre o facilmente nota.
Spesso viene salvata nel browser, ma se un attaccante non avesse accesso al tuo browser non sarebbe così facile sapere lo username.
Dico bene ?

p.s. comunque grazie per l'hint: uso KeepassCX e non sapevo di questo altro tipo di pwd manager.



Esattamente, prima di tutto l'attaccanta dovrebbe sapere che usi lesspass ( Molto poco diffuso ).
Dopo di che dovrebbe sapere lo username (su alcuni siti é noto, come instagram o qua su BTCTalk, ma su molti siti o anche giochi online il nome di login é differente dal nome mostrato agli utenti esterni).
Inoltre il vantaggio su keepass (che é un OTTIMO psw manager) é che crea password estremamente complicate,
avevo fatto un thread su twitter dove bucavo con la mia scheda video una password di un file criptato da 6 cifre con numeri, simboli, lettere e maiuscole in 2 ore, di default lesspass genera password complicate e con 16 caratteri (personalizzabile) che le rende super complesse da bucare (é esponenziale, piú la psw é lunga piu diventa dura).

Quindi keepass é forse piu adatto a gestire cose con meno sicurezza e fatte in passato, lesspass ottimo per generare psw complesse per siti delicati o file criptati!
legendary
Activity: 2562
Merit: 2640
Vero a patto che sappia la tua masterpass e che usi lesspass.
A questo punto però vale la stessa cosa con qualsiasi password manager!!


Almeno lesspass essendo offline non lascia fingerprinting come le estensioni e non rischi leak di dati non avendo TTP (third trusted parties)

Aspetta, sarebbe vero solo se conoscesse anche la username, ma non è detto che sia sempre o facilmente nota.
Spesso viene salvata nel browser, ma se un attaccante non avesse accesso al tuo browser non sarebbe così facile sapere lo username.
Dico bene ?

p.s. comunque grazie per l'hint: uso KeepassCX e non sapevo di questo altro tipo di pwd manager.

jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST] [GESTIONE PASSWORD]

Memorizzare tutte le password, soprattutto se complicate, è praticamente impossibile mentre utilizzare gestori di password rispetta poco la nostra privacy (introduce un aspetto di fiducia verso un terzo attore ovvero il gestore).
La terza opzione sarebbe il self hosting, ovvero salvare le nostre password su un server di nostra proprietà ma è complicato per i non esperti.

Esiste un ultima soluzione, a mio parere la migliore!

Vi presento Less pass (https://www.f-droid.org/packages/com.lesspass.android/),
Un applicazione android open source che permette di generare una password complicata sulla base di 3 dati: nome utente, nome del sito e una master password a vostra scelta,
Eseguendo una funzione matematica su questi 3 dati genera determisticamente una chiave derivata da questi. Esempio:

Sito:
Instagram

Nome:
Marcorossi

Password:
Password123

La password generata sarebbe: vtQ!
Cambiando una sola lettera in un qualsiasi dei 3 campi la password generata sarebbe stata completamente diversa.
In questo modo se dovrete fare il login su un sito di cui non ricordate la password anche dopo anni vi basterà inserire nome del sito, nome utente, password unica che usate sempre per generare tutte le password e ri-avrete l'accesso!
Tutto offline e senza salvare nessun dato sul vostro dispositivo!

Sito web in cui potete verificare il funzionamento: https://www.lesspass.com/

Se vi piace come servizio consiglio fortemente però l'applicazione, dato che essa è completamente offline.



Scusa ma non ho capito una cosa, ammettiamo che un malintenzionato riesca a sapere la tua password che usi per generare la password sull'applicazione teoricamente ha accesso a tutti i siti che richiedono login. Perché se è vero che con 3 dati ti genera la psw sarà la stessa sempre. O ho interpretato male?

Vero a patto che sappia la tua masterpass e che usi lesspass.
A questo punto però vale la stessa cosa con qualsiasi password manager!!


Almeno lesspass essendo offline non lascia fingerprinting come le estensioni e non rischi leak di dati non avendo TTP (third trusted parties)
hero member
Activity: 504
Merit: 625
Pizza Maker 2023 | Bitcoinbeer.events
[POST] [GESTIONE PASSWORD]

Memorizzare tutte le password, soprattutto se complicate, è praticamente impossibile mentre utilizzare gestori di password rispetta poco la nostra privacy (introduce un aspetto di fiducia verso un terzo attore ovvero il gestore).
La terza opzione sarebbe il self hosting, ovvero salvare le nostre password su un server di nostra proprietà ma è complicato per i non esperti.

Esiste un ultima soluzione, a mio parere la migliore!

Vi presento Less pass (https://www.f-droid.org/packages/com.lesspass.android/),
Un applicazione android open source che permette di generare una password complicata sulla base di 3 dati: nome utente, nome del sito e una master password a vostra scelta,
Eseguendo una funzione matematica su questi 3 dati genera determisticamente una chiave derivata da questi. Esempio:

Sito:
Instagram

Nome:
Marcorossi

Password:
Password123

La password generata sarebbe: vtQ!
Cambiando una sola lettera in un qualsiasi dei 3 campi la password generata sarebbe stata completamente diversa.
In questo modo se dovrete fare il login su un sito di cui non ricordate la password anche dopo anni vi basterà inserire nome del sito, nome utente, password unica che usate sempre per generare tutte le password e ri-avrete l'accesso!
Tutto offline e senza salvare nessun dato sul vostro dispositivo!

Sito web in cui potete verificare il funzionamento: https://www.lesspass.com/

Se vi piace come servizio consiglio fortemente però l'applicazione, dato che essa è completamente offline.



Scusa ma non ho capito una cosa, ammettiamo che un malintenzionato riesca a sapere la tua password che usi per generare la password sull'applicazione teoricamente ha accesso a tutti i siti che richiedono login. Perché se è vero che con 3 dati ti genera la psw sarà la stessa sempre. O ho interpretato male?
jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST] [GESTIONE PASSWORD]

Memorizzare tutte le password, soprattutto se complicate, è praticamente impossibile mentre utilizzare gestori di password rispetta poco la nostra privacy (introduce un aspetto di fiducia verso un terzo attore ovvero il gestore).
La terza opzione sarebbe il self hosting, ovvero salvare le nostre password su un server di nostra proprietà ma è complicato per i non esperti.

Esiste un ultima soluzione, a mio parere la migliore!

Vi presento Less pass (https://www.f-droid.org/packages/com.lesspass.android/),
Un applicazione android open source che permette di generare una password complicata sulla base di 3 dati: nome utente, nome del sito e una master password a vostra scelta,
Eseguendo una funzione matematica su questi 3 dati genera determisticamente una chiave derivata da questi. Esempio:

Sito:
Instagram

Nome:
Marcorossi

Password:
Password123

La password generata sarebbe: vtQ!
Cambiando una sola lettera in un qualsiasi dei 3 campi la password generata sarebbe stata completamente diversa.
In questo modo se dovrete fare il login su un sito di cui non ricordate la password anche dopo anni vi basterà inserire nome del sito, nome utente, password unica che usate sempre per generare tutte le password e ri-avrete l'accesso!
Tutto offline e senza salvare nessun dato sul vostro dispositivo!

Sito web in cui potete verificare il funzionamento: https://www.lesspass.com/

Se vi piace come servizio consiglio fortemente però l'applicazione, dato che essa è completamente offline.

jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST][BITCOIN WALLETS]

Specter (https://specter.solutions/) una GUI costruita direttamente su bitcoin-CLI, rivolto soprattutto a chi è interessato ad avere un wallet multi signature.


Oh finalmente il topic del priorato del Bitcoin, ci sono tante cose utili da leggere meno male che ci sta babo.
Lo sapevi che specter ha una versione assemblabile con stampa 3d per avere il proprio hardware wallet? È figo e puoi trovare tutta la guida a questo link https://specter.solutions/hardware/

yup, conosco lo specter DIY ma al momento sono un fan più di seedsigner 😁
hero member
Activity: 504
Merit: 625
Pizza Maker 2023 | Bitcoinbeer.events
[POST][BITCOIN WALLETS]

Specter (https://specter.solutions/) una GUI costruita direttamente su bitcoin-CLI, rivolto soprattutto a chi è interessato ad avere un wallet multi signature.


Oh finalmente il topic del priorato del Bitcoin, ci sono tante cose utili da leggere meno male che ci sta babo.
Lo sapevi che specter ha una versione assemblabile con stampa 3d per avere il proprio hardware wallet? È figo e puoi trovare tutta la guida a questo link https://specter.solutions/hardware/
jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
[POST][BITCOIN WALLETS]
Esistono tantissimi wallet Bitcoin,
Non si può dire in maniera definitiva che uno sia migliore di tutti gli altri in quanto bisogna trovare quello che meglio si adatta alle proprie necessità.

Ecco una lista di quelli che piú mi sono piaciuti:

Android:

SBW (https://sbw.app/) semplice e pulito, supporta wallet view only, tor e anche lightning! Leggero e fluido, minimale ma con tutte le funzioni necessarie. Nota di pregio: é tra i pochissimi wallet mobile con il codice perfettamente riproducibile.

Blue wallet (https://bluewallet.io/) A mio parere di livello un po inferiore rispetto a sbw ma in lista per la semplicità d'uso,la piacevole UI e la compatibilità con PSBT,quindi usabile con coldcard, probabilmente il miglior wallet per le persone con meno esperienza. Supporta sia onchain (non custodial) che lightning (custodial).

Desktop:

Wasabi (https://www.wasabiwallet.io/) fondamentale se non avete un nodo in quanto previene parzialmente la divulgazione dei vostri address e balance verso esso, permette anche coinjoin e coin selection, non semplicissimo da usare per le persone alle prime armi ma la nuova versione 2.0 in arrivo a breve dovrebbe migliorare anche questo aspetto!

Specter (https://specter.solutions/) una GUI costruita direttamente su bitcoin-CLI, rivolto soprattutto a chi è interessato ad avere un wallet multi signature.

Bitcoin core (https://bitcoincore.org/) l'evoluzione del software creato da satoshi, il pacchetto wallet + nodo più sicuro di tutti: poche funzioni e semplicità, Bitcoin allo stato puro.

Sparrow (https://www.sparrowwallet.com/) come wasabi improntato alla privacy, introduce una tecnica di coinjoin differente, a mio parere peggiore di quella di wasabi, ma nasconde piccole chicche interessanti, molto apprezzabile lo schema di come verrà creata la transazione con input e output.

Siete ancora indecisi su quale scegliere?
Provate questo sito (https://bitcoin.org/en/choose-your-wallet) che in base alle vostre esigenze e gusti vi mostrerà i wallet bitcoin piu adatti assieme ai loro pregi e difetti!
jr. member
Activity: 39
Merit: 76
Host of 'Il Priorato del Bitcoin' podcast.
Un buonsalve a tutto il priorato, in questo thread ( nato grazie al consiglio di @babo ), porteró piccoli post brevi su tematiche come privacy in generale e sui vari dispositivi, bitcoin, programmi open source e tematiche di sicurezza digitale.

I post si ispireranno al mio canale telegram https://t.me/privacyfolder

Aggiorneró il thread con circa 2 nuovi post a settimana  Grin

Jump to: