Che cos'è un gestore di password?
C'era una volta, nei primi anni di Internet, potresti aver avuto una manciata di password per alcune applicazioni web essenziali che usavi per fare acquisti, studiare, rimanere in contatto e lavorare. Oggi, le cose sono molto più complicate. In media, si riporta che le persone devono ricordare circa 100 password.
La tecnologia promette di rendere la nostra vita più facile, e generalmente lo fa, ma ogni nuovo sito web e applicazione a cui ci iscriviamo è un'altra password da ricordare. Per la maggior parte, è diventato impossibile ricordarle tutte. Pensa a te stesso: riutilizzi le tue password su più account (come fanno due terzi degli utenti di Internet)? Questo è un grande no-no.
Utilizzando liste gigantesche di password rubate (dette anche "dumps") acquistate sul darkweb, i criminali informatici possono entrare con la forza bruta in altri siti o utilizzare le vecchie password per estorcere denaro agli utenti nel corso di truffe. Questo è l'effetto domino della violazione dei dati. Una violazione porta a un'altra e a un'altra ancora e così via.
Si segnala che la maggior parte delle violazioni dei dati è causata da password compromesse, deboli e riutilizzate. 1234567, qualcuno?
Quindi, come siamo arrivati qui e cosa possiamo fare al riguardo?
La famosa web comic xkcd "Password Strength" l'ha spiegata al meglio: "Con 20 anni di sforzi, abbiamo addestrato con successo tutti a usare password che sono difficili da ricordare per gli umani, ma facili da indovinare per i computer."
È vero. 20 anni fa, i professionisti della sicurezza informatica rimproveravano i consumatori per non avere cambiato le password predefinite sui dispositivi IoT (come il tuo router Internet) o per l'utilizzo di password facili da indovinare come "12345" o "password". Da qui è nata la lunga e forte password presa in giro da xkcd: una parola comune con una miscela di lettere maiuscole e minuscole, almeno un numero e un simbolo.
Quando creiamo un nuovo account, i siti web ci chiedono di creare password lunghe e forti. In caso contrario, non ci è nemmeno permesso creare un account. Supponendo che si superi la fase di creazione dell'account, dimenticherete rapidamente il cifrario della macchina Enigma che avete appena creato e vi rassegnerete a usare il link "Password dimenticata?" come opzione di accesso quotidiana.
Fortunatamente, non devi ricordare tutte quelle password. Un password manager può farlo per te.
Malwarebytes Labs definisce un gestore di password come "un'applicazione software progettata per memorizzare e gestire le credenziali online. Genera anche password. Di solito, queste password sono memorizzate in un database crittografato e bloccate dietro una password principale".
Una volta inseriti tutti i nomi utente e le password del tuo account nel vault, la tua password principale è l'unica che devi memorizzare. Inserendo la tua password principale, sblocchi il tuo vault delle password, e da lì puoi recuperare qualsiasi password ti serva.
Quali sono i vantaggi di usare un password manager?
Non devi più memorizzare tutte le tue password. Hai solo bisogno di ricordare la password principale che sblocca il tuo vault delle password. E se opti per un password manager basato su cloud, puoi accedere al tuo vault da qualsiasi dispositivo, ovunque ti trovi.
Possono generare automaticamente password altamente sicure per te. I password manager di solito ti chiedono se desideri usare una password generata automaticamente ogni volta che crei un nuovo account con un sito web o un'applicazione. Queste password casuali sono lunghe, alfanumeriche e essenzialmente impossibili da indovinare.
Possono avvertirti di un sito di phishing. Ecco un breve glossario su truffe di phishing. Le email spam vengono imitate o falsificate per sembrare provenire da un mittente legittimo, come un amico, familiare, collega o organizzazione con cui fai affari. I link contenuti all'interno dell'email indirizzano a siti web dannosi similmente imitati progettati per raccogliere credenziali di accesso. Se usi un password manager basato su browser, non completerà automaticamente i campi del nome utente e della password poiché non riconosce il sito web come quello legato alla password.
Possono aiutare i tuoi eredi quando muori. Questo è chiamato eredità digitale. In caso di decesso, la tua famiglia o chiunque tu abbia designato per gestire il tuo patrimonio avrà accesso al tuo vault delle password.
I password manager risparmiano tempo. Oltre a memorizzare le password per te, molti password manager compilano automaticamente le credenziali per un accesso più rapido ai tuoi account online. Inoltre, alcuni possono memorizzare e compilare automaticamente nome, indirizzo, email, numero di telefono e informazioni sulla carta di credito. Questo può essere un enorme risparmio di tempo quando fai acquisti online, per esempio.
Molti password manager si sincronizzano tra diversi sistemi operativi (OSes). Se sei un utente Windows al lavoro e un utente Mac a casa, usi Android dal lunedì al venerdì e iOS nei fine settimana, sarai in grado di accedere rapidamente alle tue password indipendentemente dalla piattaforma su cui ti trovi. Lo stesso vale per tutti i browser web più popolari; cioè, Chrome, Firefox, Edge, Internet Explorer e Safari.
Aiutano a proteggere la tua identità. In modo indiretto, i password manager aiutano a proteggere dal furto di identità, ecco perché. Usando una password unica per ogni sito, stai di fatto segmentando i tuoi dati su ciascun sito web e applicazione che utilizzi. Se un criminale riesce a hackerare uno dei tuoi account, non sarà necessariamente in grado di accedere a nessun altro. Non è infallibile, ma è uno strato di sicurezza aggiuntivo che sicuramente apprezzerai dopo una violazione dei dati.
I password manager sono sicuri?
I password manager sono stati hackerati, ma in generale il loro record quando si tratta di proteggere i dati degli utenti è molto buono. Il password manager LastPass ha subito alcune violazioni dei dati, così come alcuni altri strumenti di gestione delle password. Ci sono molti password manager affidabili che utilizzano crittografia e sono sicuri da usare nel 2023. Un esempio è il NordPass Password Manager, che è anche nella lista dei password manager più sicuri di Cyber News.
È importante ricordare che se il tuo telefono è infettato da malware, anche il tuo password manager può essere violato. Quindi, mantenere aggiornato il software anti-malware e antivirus è un must.
Quali sono i tipi di password manager?
I password manager basati su desktop memorizzano le tue password localmente sul tuo dispositivo, come il tuo laptop, in un vault criptato. Non puoi accedere a quelle password da nessun altro dispositivo, e se perdi il dispositivo, perdi tutte le password memorizzate lì. I password manager installati localmente sono un'ottima opzione per chi non vuole che i propri dati siano memorizzati sulla rete di qualcun altro. Alcuni password manager installati localmente trovano un equilibrio tra privacy e comodità permettendoti di creare più vault di password sui tuoi dispositivi e sincronizzarli quando ti connetti a Internet.
I password manager basati su cloud memorizzano le tue password criptate sulla rete del fornitore di servizi. Il fornitore di servizi è direttamente responsabile della sicurezza delle tue password. Il principale vantaggio dei password manager basati su cloud, 1Password e NordPass sono buoni esempi, è che puoi accedere al tuo vault delle password da qualsiasi dispositivo purché tu abbia una connessione Internet. I password manager basati sul web possono essere di diversi tipi, più comunemente come un'estensione del browser, app desktop o app mobile.
Single sign-on (SSO). A differenza di un password manager che memorizza password uniche per ogni applicazione che usi, l'SSO ti permette di usare una sola password per tutte le applicazioni. Pensa all'SSO come al tuo passaporto digitale. Quando entri in un paese straniero, un passaporto dice agli ufficiali alla dogana e all'immigrazione che il tuo paese di cittadinanza ti garantisce e che dovresti essere autorizzato a entrare con il minimo fastidio. Allo stesso modo, quando utilizzi l'SSO per accedere a un'applicazione, non sei tenuto a verificare la tua identità. Invece, è il fornitore di SSO che garantisce per la tua identità. Le aziende preferiscono l'SSO ai password manager per alcune ragioni. Soprattutto, l'SSO è un modo sicuro e conveniente per i dipendenti di accedere alle applicazioni di cui hanno bisogno per svolgere il loro lavoro. Gli SSO riducono anche il tempo che l'IT spende per la risoluzione dei problemi e il ripristino delle password dimenticate.
Le migliori pratiche per le password
Non riutilizzare le password. Anche con un password manager. Invece, crea password uniche per ogni sito e lascia che il tuo password manager faccia ciò per cui è progettato. Usa un generatore di password sicure per creare password uniche per tutti i tuoi account.
Crea password complesse. Molti password manager suggeriscono automaticamente password forti ogni volta che si crea un account per un nuovo sito. In caso contrario, prova a usare una combinazione casuale di lettere e numeri, e alterna maiuscole e minuscole. Più è complessa e insensata, meglio è, soprattutto dato che non sarai tenuto a ricordarla. Il password manager se ne occuperà. La differenza chiave è nella creazione della tua password principale (quella che sblocca tutte le altre). Questa dovrai ricordarla, quindi a meno che tu non abbia una memoria eidetica, cerca di pensare a qualcosa di memorabile per te, ma non facilmente tracciabile alla tua identità. Poi aggiungi alcune maiuscole, alcune lettere e alcuni caratteri fantasiosi, e avrai un vault delle password ben protetto.
Usa una passphrase. Quando si tratta di creare la tua password principale (quella che sblocca le altre password), prova a usare una passphrase; cioè una serie di parole facili da ricordare ma difficili da indovinare. Qualcosa di familiare con una svolta strana, per esempio: "burrito di fagioli gelato diviso." O semplicemente un insieme di cose casuali che un umano può facilmente visualizzare, ma un computer no: "topo lussuoso avocado neon macchina." Usa la tua immaginazione! Nomi di animali, bambini o altri familiari, o frasi come "Fammi entrare!" sono fin troppo comuni, e quindi facili per i criminali informatici da decifrare.
Abilita l'autenticazione a due fattori (2FA) o multi-fattore (MFA). Uno dei migliori modi per proteggere qualsiasi account, sia o meno un password manager, è abilitare l'MFA. Con un password manager abilitato all'MFA, ti sarà richiesto di verificare la tua identità utilizzando due o più fattori di autenticazione, che includono qualcosa che sai, qualcosa che possiedi e qualcosa che sei. Qualcosa che sai è tipicamente la tua password, ma può anche essere un numero PIN. Qualcosa che possiedi potrebbe essere il tuo telefono cellulare, la tua carta di credito o un token di sicurezza su una chiavetta USB. Infine, qualcosa che sei può essere verificato utilizzando la biometria, come riconoscimento facciale, vocale o dell'iride e ID dell'impronta digitale. Anche le biometrie comportamentali, come le sequenze di tasti, possono essere applicate.
Questo ulteriore livello di sicurezza significa che chiunque tenti di accedere al tuo account (incluso te stesso) dovrà controllare quei fattori di autenticazione aggiuntivi al di fuori del nome utente e della password. Un esempio di ciò sarebbe: Dopo aver inserito la tua password principale per accedere al password manager, un codice verrebbe inviato al tuo telefono cellulare, che dovresti quindi inserire prima di accedere al vault. Una cosa da tenere a mente quando si usa il telefono come fattore di autenticazione: i numeri di telefono possono essere dirottati.
Si chiama SIMjacking (alias SIM-swapping) e avviene quando un cybercriminale, spacciandosi per te, convince il tuo operatore di telefonia mobile a riassegnare il tuo numero di telefono al loro telefono rispondendo con successo alle tue domande di sicurezza. Una rapida ricerca sui social media è spesso tutto ciò che serve ai malfattori per ottenere le risposte di cui hanno bisogno. E una volta che i criminali hanno il controllo del tuo telefono, hanno tutto ciò di cui hanno bisogno per rubare la tua identità. Pertanto, potresti rivolgersi a un autenticatore basato su software come Authy o Google Authenticator per gli account critici.
Pensaci due volte sui password manager gratuiti. Molti dei password manager gratuiti più popolari operano effettivamente sotto un modello di business freemium, il che significa che devi pagare se vuoi le funzionalità migliori, a volte essenziali. Hai bisogno che le tue password si sincronizzino tra browser e dispositivi? Hai bisogno di eredità digitale? Hai bisogno di condividere le credenziali con la famiglia? Hai bisogno di autenticazione multi-fattore? I password manager gratuiti di solito non includono queste funzionalità. L'MFA, in particolare, è un must. Nel confronto tra gratuito e a pagamento, opta per un password manager a pagamento.
Crea una politica per il password manager. Ecco un consiglio per le piccole e medie imprese: crea una politica per il password manager e fai sapere ai dipendenti che è giusto usare un password manager per proteggere i loro account di lavoro. Il tuo staff sta già usando un miscuglio di metodi potenzialmente non sicuri per cercare di gestire le loro numerose password, e la maggior parte delle violazioni dei dati inizia con una password debole o riutilizzata. Una politica ufficiale sui password manager è la tua prima linea di difesa contro un attacco informatico alla tua rete.
Vedi anche: Passkey
FAQs
Che cos'è un gestore di password?
Un gestore di password è un'applicazione software progettata per archiviare e gestire le credenziali online.
A cosa serve un gestore di password?
Un gestore di password vi aiuta a generare e memorizzare in modo sicuro password lunghe e uniche per tutti i vostri account online. Dovete usare password diverse per tutti i vostri account ed è difficile ricordarle tutte.