Che cos'è un gestore di password?
Una volta, durante i primi anni di Internet, si poteva disporre di una manciata di password per alcune applicazioni web essential che si usavano per fare acquisti, studiare, rimanere connessi e lavorare. Oggi le cose sono molto più complicate. In media, si dice che le persone debbano ricordare circa 100 password.
Sebbene la tecnologia prometta di semplificarci la vita, e in genere lo fa, ogni nuovo sito web e applicazione a cui ci iscriviamo è un'altra password da ricordare. Per molti è diventato impossibile ricordarle tutte. Pensate a voi stessi: riutilizzate le vostre password su più account (come due terzi degli utenti di Internet)? Questo è un grande no.
Utilizzando liste gigantesche di password rubate (dette anche "dumps") acquistate sul darkweb, i criminali informatici possono entrare con la forza bruta in altri siti o utilizzare le vecchie password per estorcere denaro agli utenti nel corso di truffe. Questo è l'effetto domino della violazione dei dati. Una violazione porta a un'altra e a un'altra ancora e così via.
È stato riferito che la maggior parte delle violazioni di dati è causata da password compromesse, deboli e riutilizzate. 1234567, qualcuno?
Come siamo arrivati a questo punto e cosa possiamo fare?
Il famoso fumetto web xkcd "Password Strength" lo spiega meglio: "Grazie a 20 anni di sforzi, siamo riusciti ad addestrare tutti a usare password difficili da ricordare per gli esseri umani, ma facili da indovinare per i computer".
È vero. 20 anni fa i professionisti della sicurezza informatica ammonivano i consumatori per non aver cambiato le password predefinite sui dispositivi IoT (come il router Internet) o per aver utilizzato password facili da indovinare come "12345" o "password". Da qui è nata la password lunga e forte che xkcd prende in giro: una parola comune con un misto di lettere maiuscole e minuscole, almeno un numero e un simbolo.
Quando si crea un nuovo account, i siti web ci chiedono di creare password lunghe e forti. In caso contrario, non ci viene nemmeno permesso di creare un account. Ammesso che si riesca a superare la fase di creazione dell'account, si dimenticherà subito il codice della macchina Enigma appena creato e ci si rassegnerà a usare il link "Password dimenticata?" come opzione di accesso quotidiana.
Fortunatamente, non è necessario ricordare tutte queste password. Un gestore di password può ricordarle per voi.
Malwarebytes Labs definisce un gestore di password come "un'applicazione software progettata per memorizzare e gestire le credenziali online. Genera anche password. Di solito, queste password sono memorizzate in un database crittografato e bloccate dietro una password principale".
Una volta che tutti i nomi utente e le password dei vostri account sono stati inseriti nel caveau, la vostra password principale è l'unica che dovete memorizzare. Inserendo la password principale si sblocca il caveau delle password, dal quale è possibile recuperare qualsiasi password.
Quali sono i vantaggi dell'utilizzo di un gestore di password?
Non è più necessario memorizzare tutte le password. È sufficiente ricordare la password principale che sblocca il vostro archivio di password. E se scegliete un gestore di password basato sul cloud, potete accedere al vostro archivio di password ovunque e da qualsiasi dispositivo.
Possono generare automaticamente password altamente sicure per voi. I gestori di password di solito chiedono se si desidera utilizzare una password generata automaticamente ogni volta che si crea un nuovo account con un sito web o un'applicazione. Queste password casuali sono lunghe, alfanumeriche e sostanzialmente impossibili da indovinare.
Possono segnalarvi un sito di phishing. Ecco una breve panoramica sulle truffe di phishing. Le e-mail di spam sono falsificate per sembrare provenienti da un mittente legittimo, come un amico, un familiare, un collega o un'organizzazione con cui si lavora. I link contenuti all'interno dell'e-mail rimandano a siti web dannosi, anch'essi contraffatti, progettati per raccogliere le credenziali di accesso. Se si utilizza un gestore di password basato su browser, questo non compila automaticamente i campi del nome utente e della password poiché non riconosce il sito web come quello legato alla password.
Possono aiutare i vostri beneficiari alla vostra morte. Si tratta della cosiddetta eredità digitale. In caso di morte, i vostri familiari o chi da voi designato per amministrare la vostra eredità avrà accesso al vostro caveau di password.
I gestori di password fanno risparmiare tempo. Oltre a memorizzare le password, molti gestori di password sono in grado di compilare automaticamente le credenziali per un accesso più rapido agli account online. Inoltre, alcuni possono memorizzare e compilare automaticamente nome, indirizzo, e-mail, numero di telefono e informazioni sulla carta di credito. Questo può essere un enorme risparmio di tempo quando si fanno acquisti online, ad esempio.
Molti gestori di password si sincronizzano tra diversi sistemi operativi (OS). Se siete utenti di Windows al lavoro e di Mac a casa, utilizzate Android dal lunedì al venerdì e iOS nei fine settimana, sarete in grado di accedere rapidamente alle vostre password indipendentemente dalla piattaforma su cui vi trovate. Lo stesso vale per tutti i browser web più diffusi: Chrome, Firefox, Edge, Internet Explorer e Safari.
Aiutano a proteggere la vostra identità. In un certo senso, i gestori di password aiutano a proteggere dal furto di identità, ed ecco perché. Utilizzando una password unica per ogni sito, segmentate essenzialmente i vostri dati in ogni sito e applicazione che utilizzate. Se un criminale entra in uno dei vostri account, non sarà necessariamente in grado di accedere agli altri. Non è un sistema infallibile, ma è un ulteriore livello di sicurezza che apprezzerete sicuramente in caso di violazione dei dati.
I gestori di password sono sicuri?
I gestori di password sono stati violati, ma il loro bilancio complessivo in termini di sicurezza dei dati degli utenti è molto buono. Il gestore di password LastPass ha subito alcune violazioni di dati, così come altri strumenti di gestione delle password. Esistono molti gestori di password affidabili che utilizzano la crittografia e sono sicuri da usare nel 2023. Un esempio è NordPass Password Manager, che è anche nell'elenco dei password manager più sicuri stilato da Cyber News.
È importante ricordare che se il telefono è infettato da malware, anche il gestore di password può essere violato. Pertanto, è indispensabile tenere aggiornato il software antimalware e antivirus.
Quali sono i tipi di password manager?
I gestori di password basati su desktop memorizzano le password localmente sul dispositivo, come il laptop, in un caveau crittografato. Non è possibile accedere a tali password da un altro dispositivo e, se si perde il dispositivo, si perdono tutte le password memorizzate. I gestori di password installati localmente sono un'ottima opzione per chi non vuole che i propri dati siano memorizzati sulla rete di qualcun altro. Alcuni gestori di password installati localmente raggiungono un equilibrio tra privacy e convenienza, consentendo di creare più archivi di password sui propri dispositivi e di sincronizzarli quando ci si connette a Internet.
I gestori di password basati sul cloud memorizzano le vostre password crittografate sulla rete del fornitore di servizi. Il fornitore di servizi è direttamente responsabile della sicurezza delle vostre password. Il vantaggio principale dei gestori di password basati sul cloud, di cui 1Password e NordPass sono buoni esempi, è che potete accedere al vostro archivio di password da qualsiasi dispositivo, purché abbiate una connessione a Internet. I gestori di password basati sul Web possono essere disponibili in diverse forme: più comunemente come estensione del browser, applicazione per desktop o applicazione per dispositivi mobili.
Single sign-on (SSO). A differenza di un gestore di password che memorizza password uniche per ogni applicazione utilizzata, SSO consente di utilizzare una sola password per ogni applicazione. Pensate a SSO come al vostro passaporto digitale. Quando si entra in un paese straniero, il passaporto indica ai funzionari della dogana e dell'immigrazione che il vostro paese di cittadinanza garantisce per voi e che dovreste essere autorizzati a entrare senza problemi. Allo stesso modo, quando si utilizza l'SSO per accedere a un'applicazione, non viene richiesto di verificare la propria identità. Al contrario, il fornitore di SSO garantisce per la vostra identità. Le aziende preferiscono l'SSO ai gestori di password per alcuni motivi. In primo luogo, l'SSO è un modo sicuro e conveniente per i dipendenti di accedere alle applicazioni di cui hanno bisogno per svolgere il proprio lavoro. Inoltre, gli SSO riducono il tempo che l'IT dedica alla risoluzione dei problemi e alla reimpostazione delle password dimenticate.
Le migliori pratiche per le password
Non riutilizzate le password. Anche con un gestore di password. Create invece password uniche per ogni sito e lasciate che il vostro password manager faccia ciò per cui è stato progettato. Utilizzate un generatore di password forte e sicuro per creare password uniche per tutti i vostri account.
Creare password complesse. Molti gestori di password suggeriscono automaticamente password forti ogni volta che si crea un account per un nuovo sito. In caso contrario, cercate di utilizzare una combinazione casuale di lettere e numeri e di alternare maiuscole e minuscole. Più è complessa e insensata, meglio è, soprattutto perché non dovrete ricordarla. Il gestore di password si occuperà di questo. L'unica differenza fondamentale è la creazione della password principale (quella che sblocca tutte le altre). Questa dovrà essere ricordata, quindi, a meno che non abbiate una memoria eidetica, cercate di pensare a qualcosa di memorabile per voi, ma non facilmente riconducibile alla vostra identità. Aggiungete poi qualche maiuscola, qualche lettera e qualche carattere di fantasia e otterrete una password ben protetta.
Utilizzare una passphrase. Quando si tratta di creare la password principale (quella che sblocca le altre password), provate a usare una passphrase, cioè una serie di parole facili da ricordare, ma difficili da indovinare. Qualcosa di familiare con un tocco strano, ad esempio: "split di gelato al burrito di fagioli". Oppure un insieme di cose a caso che un essere umano può facilmente visualizzare, ma un computer no: "auto di lusso con neon di avocado". Usate la vostra immaginazione! Animali domestici, bambini o altri nomi di famiglia o frasi come "Fammi entrare!" sono troppo comuni e quindi facili da decifrare per i criminali informatici.
Abilitare l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori (MFA). Uno dei modi migliori per proteggere qualsiasi account, gestore di password o meno, è attivare l'MFA. Con un gestore di password abilitato all'MFA, vi verrà richiesto di verificare la vostra identità utilizzando due o più fattori di autenticazione, che comprendono qualcosa che conoscete, qualcosa che possedete e qualcosa che siete. Il fattore che si conosce è di solito la password, ma può anche essere un numero PIN. Il fattore che si possiede può essere il telefono cellulare, la carta bancaria o un token di sicurezza su una chiavetta USB. Infine, la verifica di ciò che si è può essere effettuata utilizzando la biometria, come il riconoscimento facciale, vocale o dell'iride e l'identificazione delle impronte digitali. È possibile applicare anche la biometria comportamentale, come la pressione dei tasti.
Questo ulteriore livello di sicurezza significa che chiunque tenti di accedere al vostro account (voi stessi compresi) dovrà controllare i fattori di autenticazione aggiuntivi al di fuori di nome utente e password. Un esempio potrebbe essere il seguente: Dopo aver inserito la password principale per accedere al password manager, viene inviato un codice al cellulare, che deve essere inserito prima di accedere al vault. Una cosa da tenere presente quando si usa il telefono come fattore di autenticazione: i numeri di telefono possono essere dirottati.
Si chiama SIMjacking (anche detto SIM-swapping) e si verifica quando un criminale informatico, spacciandosi per voi, convince il vostro operatore telefonico a riassegnare il vostro numero di telefono al suo rispondendo con successo alle vostre domande di sicurezza. Spesso basta una ricerca sommaria sui social media perché i criminali riescano a ottenere le risposte di cui hanno bisogno. Una volta che i criminali hanno il controllo del vostro telefono, hanno tutto ciò che serve per rubare la vostra identità. Di conseguenza, per gli account più importanti è consigliabile utilizzare un autenticatore basato su software come Authy o Google Authenticator.
Pensate due volte ai gestori di password gratuiti. Molti dei più popolari gestori di password gratuiti operano in realtà secondo un modello commerciale freemium, il che significa che dovete pagare se volete le funzioni migliori, a volte essenziali. Avete bisogno che le vostre password si sincronizzino tra i vari browser e dispositivi? Avete bisogno di un'eredità digitale? Avete bisogno di condividere i login con i vostri familiari? Avete bisogno dell'autenticazione a più fattori? I gestori di password di Free di solito non includono queste funzioni. L'MFA, in particolare, è un must. Nel dibattito tra gratuito e a pagamento, optate per un password manager a pagamento.
Creare una politica di gestione delle password. Ecco un consiglio per le piccole e medie imprese: Creare una politica di gestione delle password e far sapere ai dipendenti che è possibile utilizzare un gestore di password per proteggere i loro account di lavoro. Il vostro personale sta già utilizzando una serie di metodi potenzialmente insicuri per cercare di gestire le loro numerose password e la maggior parte delle violazioni dei dati inizia con una password debole o riutilizzata. Una politica ufficiale di gestione delle password è la prima linea di difesa contro un attacco informatico alla rete.
Vedi anche: Passkey
Domande frequenti
Che cos'è un gestore di password?
Un gestore di password è un'applicazione software progettata per archiviare e gestire le credenziali online.
A cosa serve un gestore di password?
Un gestore di password vi aiuta a generare e memorizzare in modo sicuro password lunghe e uniche per tutti i vostri account online. Dovete usare password diverse per tutti i vostri account ed è difficile ricordarle tutte.