13 May, 2022

Password manager

Cos’è e come funziona un password manager

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno. I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia). Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Approfondiamo meglio questi concetti, ma ti consigliamo anche di leggere l’articolo completo su come scegliere la password migliore, sicura. Siamo ancora lontani, infatti, da un mondo senza password (o, come qualcuno ama dire, “passwordless)” e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto. Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: secondo LastPass (uno dei più noti gestori di password) il dipendente medio di un’azienda gestisce 191 password. Un utente del web deve gestire almeno un centinaio di password. Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi. È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del credential stuffing, letteralmente “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti. Lo si può fare in modo automatico utilizzando software come Shard (“A command line tool to detect shared passwords”, open source e reperibile su GitHub). Quindi le password devono essere: sempre diverse, lunghe e complesse. “The only secure password is the one you can’t remember”: in questa frase, che è il titolo di un famoso articolo di Troy Hunt del 2011, c’è la sintesi del problema: dobbiamo usare password impossibili da ricordare. Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto proprio i password manager.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno. In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro. La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare. La medesima funzione è disponibile anche in Firefox, nella sezione delle impostazioni dedicate alle password, che è denominata Firefox Lockwise e che è – in pratica – un password manager anche se abbastanza rudimentale. Ne parleremo in seguito. Anche in questo caso si ottiene un file .csv non crittografato. Se, viceversa, non si proviene da un precedente gestore di password (o se l’opzione di importazione non è disponibile), l’iniziale utilizzo di un PM richiederà il riempimento manuale dei campi (soprattutto quelli indispensabili: username, password, URL del sito). Questa attività si rende necessaria solo al primo utilizzo, per popolare il PM. Successivamente, ogni nuova voce potrà essere aggiunta in modo automatico dal password manager (funzione presente nei PM migliori). In altre parole: grazie all’estensione del browser, il password manager può riconoscere se abbiamo creato un nuovo account/login e memorizzarlo nel suo database. Precisiamo – e ne tratteremo anche in seguito – che ogni password manager richiede l’installazione della sua estensione sul browser che utilizziamo. Tali estensioni sono componenti aggiuntivi, conosciuti anche come plugin o add-on che vengono installate nei browser e ne ampliano le funzionalità e le interazioni con altri programmi. Tutti i principali password manager mettono a disposizione le estensioni per i browser più diffusi.

I vantaggi dei password manager

Sono molti i vantaggi che offrono i migliori PM presenti sul mercato: serve ricordare una sola password: come detto, è la Master Password per aprirli; -offrono modelli standard da utilizzare per facilitare la compilazione delle principali tipologie di voci da inserire. Avremo quindi i template per: conto bancario, carta di credito, documento, login, account email, nota sicura, password Wi-Fi ecc.;

-per ciascuna voce possiamo aggiungere e memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, foto di documenti o carte di credito, ecc. e personalizzarli a nostro piacimento. Questo li rende molto più pratici e completi rispetto ai password manager che sono presenti nativamente nei principali browser (Chrome, Firefox, Safari);

-nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”. Tale crittografia è ritenuta inviolabile dai computer attuali. Quindi, anche se un attaccante riuscisse ad impossessarsi del file (vault) con le nostre password, non sarebbe in grado di decrittarlo;

-hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con i migliori requisiti di sicurezza da adottare per le password;

-la maggior parte dei PM integrano un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per completare il login. Questa funzionalità risulta eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali d’ A questo punto la lunghezza della password non sarà più un problema! Per utilizzarla occorre installare su ciascun browser l’estensione del password manager. Nei PM più evoluti l’autofill funziona non solo nei moduli di login, ma anche per il riempimento automatico dei dati delle carte di credito. Questo è molto pratico per evitare la – sconsigliabile – pratica di memorizzare i dati della carta di credito all’interno di un sito;

-la funzione di riempimento automatico è implementata anche sulle applicazioni mobili (iOS ed Android) dei PM;

-il riempimento automatico genera un ulteriore vantaggio: protegge dal Phishing scam. In altre parole, se siamo atterrati su una pagina di login attraverso un link di phishing, questo sarà falso, cioè diverso dall’URL del vero sito. Quindi la funzione di riempimento automatico fallirà, perché non trova corrispondenza tra l’URL in cui ci troviamo e quello salvato sul PM;

-i PM non sono in grado di cambiare/aggiornare autonomamente le password nei siti, questa operazione dovrà ovviamente essere fatta dall’utente. Tuttavia, grazie all’estensione del browser, sono in grado di riconoscere il cambio della password (nel momento in cui viene fatto) e possono aggiornare automaticamente la password all’interno del loro database. In genere, prima di farlo, richiedono la conferma da parte dell’utente (per evitare aggiornamenti errati o non voluti).

Gli svantaggi dei password manager

I migliori PM sono sicuri e facili da usare, ma sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche i possibili errori che l’utente non dovrebbe fare nel loro utilizzo. Segnalo solo tre possibili rischi (o svantaggi):

-dimenticare la Master Password: nella maggior parte dei PM non esiste il solito pulsante “Ho dimenticato la password” per recuperare la chiave d’accesso, proprio per ragioni di sicurezza. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene generata una chiave di sicurezza (lunga 32 caratteri almeno), da utilizzare in caso di emergenza. Ovviamente anche questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte;

-farsi rubare la Master Password: conservare tutte le password in un unico archivio può essere rischioso, quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare. Questo è indiscutibilmente vero ed è – infatti – la principale critica che viene mossa da chi non apprezza i PM;

-scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password ad un software creato da altri, perché un malintenzionato potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che è reale – consiglio di scegliere solo PM di aziende note ed affidabili. Vedremo quali sono i prodotti più consigliati.

Ci possiamo fidare dei password manager?

“Perché dovrei dare la mia password a qualcun altro per memorizzarla?” Questa domanda che mi sento fare spesso, soprattutto nella mia attività di formazione, non è priva di senso. Premesso che nella cyber security non esiste la sicurezza assoluta, i password manager rappresentano la miglior soluzione che compendia sicurezza e praticità. I password manager affidabili utilizzano il metodo Zero-Knowledge encryption. Significa che i fornitori dei PM non sanno nulla dei dati che gli consegnate. Li criptano prima che possano essere memorizzati sui loro server. È una “busta sigillata”: non sanno cosa c’è dentro. Anche se loro o chiunque altro apre la busta, non saranno in grado di leggerla, perché è criptata con la master password, che solo noi conosciamo. L’unico modo per perdere l’accesso al password manager è dimenticare la Master Password. Proprio per effetto della Zero-Knowledge encryption, non c’è modo di leggere le password se non si ha la Master Password.

I migliori Password Manager a pagamento

Nel web e negli App Store si trovano decine, addirittura centinaia di password manager, ma non tutti sono uguali e soprattutto: non tutti sono ugualmente sicuri. Elencheremo qui solo i prodotti più rinomati, suddividendo in due sezioni questa presentazione:

-i prodotti a pagamento;

-quelli gratuiti.

I password manager a pagamento utilizzano ormai nella maggior parte dei casi la formula in abbonamento, con un canone mensile o annuale. Solo in alcuni casi sono disponibili formule in acquisto di una licenza perpetua. Tutti offrono sia formule per uso personale che per uso aziendale (business). Sono quasi sempre disponibili anche versioni trial gratuite, che danno accesso a tutte le funzionalità del prodotto ma per un periodo limitato. Poi sarà necessario procedere al pagamento. Indicheremo per alcuni anche i prezzi, con l’avvertenza che tali quotazioni sono solo indicative, perché potrebbero variare per effetto di promozioni o aumenti.

LastPass (di LogMeIn)

1Password (di AgileBits)

Dashlane

Keeper

I migliori password manager gratuiti

Sono disponibili anche alcuni interessanti PM gratuiti. Il fatto che non siano a pagamento non deve destare sospetto, perché si tratta di prodotti appartenenti alla logica dell’open source. Consiglio comunque di evitare di uscire dalla cerchia dei prodotti che indicheremo, per non incappare in PM gratuiti ma di dubbia reputazione o con finalità truffaldine.

KeePass

Bitwarden

I password manager integrati nei browser

In conclusione, riteniamo utile fare un accenno anche all’utilizzo dei browser come password manager. Mi viene spesso posta la domanda: “È sicuro salvare le proprie password nei browser?”. Fino a qualche tempo fa, la mia risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM. Esaminiamo come i principali browser trattano e conservano le password.

Safari per MacOS

Google Chrome

Mozilla Firefox

In conclusione

I gestori di password incorporati nei browser hanno un grosso limite in termini di funzionalità, non permettendo di salvare tutti quei dati supplementari che possono essere aggiunti invece nei PM veri e propri (e che li rendono un vero e proprio “taccuino segreto”). Sono utili solo per lo sblocco con password in una pagina di login e poco di più. Inoltre utilizzano livelli di sicurezza e di crittografia sicuramente inferiori rispetto ai PM più evoluti, con un livello migliore – come già spiegato – per Firefox Lockwise, rispetto a Chrome. Consigliamo per questo di utilizzare un vero password manager, scegliendolo tra quelli di migliore qualità: ci sarà richiesta una prima fase di “apprendimento” appena più complicata rispetto all’abitudine del salvataggio delle password sul browser, ma i vantaggi in termini di sicurezza e praticità saranno notevoli e non paragonabili.

Per approfondire pro, contro e prezzi dei PM elencati, potete leggere l'articolo completo su CYBERSECURITY360

Altre News

  • 25 November, 2024Attenzione ad usare la password dei colleghi
  • 18 December, 2024Il DPO nell’era dell’AI: custode della privacy e architetto dell’etica digitale
  • 04 December, 2024Shopping online, 4.700 siti fasulli mettono a rischio privacy e sicurezza degli utenti in occasione del Black Friday
  • 04 November, 2024Dossieraggio, l’alibi del super hacker per distrarci dall’inadeguatezza della sicurezza
  • 23 October, 2024Data breach, Garante Privacy sanziona Postel per 900mila euro
  • 23 October, 2024Garante: stop al software che accede all’email del dipendente
  • 08 October, 2024Installare una telecamera È LEGALE per un privato cittadino? Solo a certe condizioni!
  • 26 September, 2024La Direttiva NIS2 ed il suo recepimento nella normativa nazionale: un nuovo standard per la cybersecurity in Europa
  • 18 September, 2024Provvedimenti disciplinari, utili a gestire la responsabilità
  • 17 September, 2024Sanzione di 5mln di euro a un fornitore di luce e gas
  • 09 September, 2024Le IA nelle chatbot come le sirene di Ulisse: quali pericoli comportano per gli adolescenti, anche a livello privacy?
  • 30 August, 2024Noleggio auto: il Garante della Privacy sanziona una banca e una società di leasing
  • 23 August, 2024Email aziendali, il datore di lavoro decide, a suo rischio, per quanto tenere i metadati
  • 08 August, 2024La strategia italiana per l’IA 2024-2025: un bilancio tra ambizioni e criticità
  • 02 August, 2024Google Chrome, sparite le password di 15 milioni di utenti che le avevano salvate sul browser
  • 25 July, 2024Prenota le vacanze, ma attenzione alla privacy!
  • 19 July, 2024Problemi a milioni di utenti di Microsoft Windows nel mondo
  • 12 July, 2024Scoperto in un forum di hacking un file contenente quasi 10 miliardi di password uniche in chiaro
  • 03 July, 2024RELAZIONE ANNO 2023 SULL’ATTIVITÀ DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI