top of page

Notizie

Password Manager


Il precedente articolo abbiamo parlato di come creare delle password sicure e in particolare del metodo di memorizzazione, purtroppo le password da ricordare sono in continuo aumento, alcune persone ne devono gestire oltre il centinaio, uno sforzo non da poco per la nostra memoria, e siccome il futuro senza password, (passwordless) come chiamato da alcuni, è ancora lontano, dobbiamo trovare una strategia che ci dia una mano a riguardo, per quello sono stati inventati i Password Manager, (no non sono i post it attaccati al monitor del computer), scherzi a parte, sono dei programmi che possono memorizzare centinaia di password.

Premesso che ne esistono diversi tipi sia programmi da installare sul vostro computer oppure da usare sul Cloud (Argomento del prossimo articolo), alcuni gratuiti e altri a pagamento, ma cosa sono e come funzionano?

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno.

I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia).

Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Approfondiamo meglio questi concetti, ma ti consigliamo anche di leggere l’articolo di come creare password sicure.

Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: secondo gli esperti del settore, il dipendente medio di un’azienda gestisce 191 password. Un utente del web deve gestire almeno un centinaio di password.

Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi.

È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del credential stuffing, letteralmente “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti.

Quindi le password devono essere: sempre diverse, lunghe e complesse. “L’unica password sicura è quella che non puoi ricordare”: in questa frase, che è il titolo di un famoso articolo di Troy Hunt del 2011, c’è la sintesi del problema: dobbiamo usare password impossibili da ricordare.

Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto proprio i password manager.

Ma come funzionano, sia quelli da installare che sul Cloud al primo accesso si crea una Master Password, che sarà l’unica che dovrete memorizzare, perderla significa perdere tutto il contenuto del Password Manager, i dati vengono memorizzati in maniera sicura e criptata, leggibile sono tramite la Master Password, questo fa sì che nessun’altro potrà leggerne il contenuto, neanche gli amministratori che gestiscono il Cloud del password manager, per questo sono classificati sicuri.

A seguire lo dovrete alimentare manualmente inserendo tutte le vostre password, che potrete richiamare in automatico sul sito che state accedendo.

Attualmente oltre ai programmi password manager, esistono alcuni antivirus che hanno anche questa opzione, oltre ai Browser internet (Edge, Chrome e Firefox), ma il livello di sicurezza non è lo stesso.


Quali sono i vantaggi del Password Manager:

  1. Serve ricordare una sola password: come detto, è la Master Password per aprirli;

  2. Offrono modelli standard da utilizzare per facilitare la compilazione delle principali tipologie di voci da inserire. Avremo quindi i template per: conto bancario, carta di credito, documento, login, account e-mail, nota sicura, password Wi-Fi ecc.;

  3. Per ciascuna voce possiamo aggiungere e memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, foto di documenti o carte di credito, ecc. e personalizzarli a nostro piacimento. Questo li rende molto più pratici e completi rispetto ai password manager che sono presenti nativamente nei principali browser (Chrome, Firefox, Safari);

  4. Nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”. Tale crittografia è ritenuta inviolabile dai computer attuali. Quindi, anche se un attaccante riuscisse ad impossessarsi del file (vault) con le nostre password, non sarebbe in grado di decrittarlo;

  5. Hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con i migliori requisiti di sicurezza da adottare per le password;

  6. La maggior parte dei PM integrano un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per completare il login. Questa funzionalità risulta eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali. A questo punto la lunghezza della password non sarà più un problema! Per utilizzarla occorre installare su ciascun browser l’estensione del password manager. Nei PM più evoluti l’autofill funziona non solo nei moduli di login, ma anche per il riempimento automatico dei dati delle carte di credito. Questo è molto pratico per evitare la – sconsigliabile – pratica di memorizzare i dati della carta di credito all’interno di un sito;

  7. La funzione di riempimento automatico è implementata anche sulle applicazioni mobili (iOS ed Android) dei PM;

  8. Il riempimento automatico genera un ulteriore vantaggio: protegge dal Phishing scam. In altre parole, se siamo atterrati su una pagina di login attraverso un link di phishing, questo sarà falso, cioè diverso dall’URL del vero sito. Quindi la funzione di riempimento automatico fallirà, perché non trova corrispondenza tra l’URL in cui ci troviamo e quello salvato sul PM;

  9. I PM non sono in grado di cambiare/aggiornare autonomamente le password nei siti, questa operazione dovrà ovviamente essere fatta dall’utente. Tuttavia, grazie all’estensione del browser, sono in grado di riconoscere il cambio della password (nel momento in cui viene fatto) e possono aggiornare automaticamente la password all’interno del loro database. In genere, prima di farlo, richiedono la conferma da parte dell’utente (per evitare aggiornamenti errati o non voluti)


Gli svantaggi del Password Manager:

I migliori PM sono sicuri e facili da usare, ma sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche i possibili errori che l’utente non dovrebbe fare nel loro utilizzo.

Segnalo solo tre possibili rischi (o svantaggi):

  1. Dimenticare la Master Password: nella maggior parte dei PM non esiste il solito pulsante “Ho dimenticato la password” per recuperare la chiave d’accesso, proprio per ragioni di sicurezza. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene generata una chiave di sicurezza (lunga 32 caratteri almeno), da utilizzare in caso di emergenza. Ovviamente anche questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte;

  2. Farsi rubare la Master Password: conservare tutte le password in un unico archivio può essere rischioso, quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare. Questo è indiscutibilmente vero ed è – infatti – la principale critica che viene mossa da chi non apprezza i PM;

  3. Scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password ad un software creato da altri, perché un malintenzionato potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che è reale – consiglio di scegliere solo PM di aziende note ed affidabili.

 
 
 

Comments


  • LinkedIn
  • Facebook
  • Instagram

Contattaci

Via Trucco di Brione 1/a Val della Torre

P.iva : 11015280016 HD ON LINE

bottom of page