Recentemente abbiamo “celebrato” la Giornata Mondiale delle Password con un articolo che analizzava i cinque errori più comuni da evitare nel comporre chiavi di accessohttps://www.welivesecurity.com/2020/05/07/5-common-password-mistakes-you-should-avoid/. E anche se queste rappresentano una pietra miliare delle nostre esistenze digitali, raramente le scegliamo con la dovuta attenzione. Nulla lo dimostra più chiaramente delle liste annualmente compilate delle password maggiormente utilizzate, che vedono “12345” e “password” tra le scelte più comuni tutti gli anni.
La scelta di parole d’accesso deboli può essere in parte dovuta all’enorme quantità di servizi online che utilizziamo – a meno che non si acceda tramite Google o Facebook – che spesso implicano la creazione di un nuovo account. Del resto, se si possiedono più password complesse, può essere difficile ricordarsele. Quindi, si finisce con il riciclare sempre la stessa, con l’idea che tutto sommato questa pratica non possa arrecare danno. Ma se un hacker riesce a violare una password riutilizzata su più siti, i nostri account saranno tutti facilmente accessibili dall’aggressore.
Questo è ciò che un gestore di password, un’applicazione specificamente progettata per l’archiviazione dei dati di accesso in una “cassaforte” crittografata e per la generazione di password complesse per nostro conto, può aiutarci ad evitare. Poiché rende estremamente facile creare, salvare e compilare in automatico password forti per ciascun account. Tutto ciò che è necessario memorizzare è una singola password denominata ‘master password’.
Tipi di gestori di password
I più diffusi PM funzionano come applicazioni cloud cui è possibile accedere via browser. Indipendentemente dal gestore di password in uso, sarà necessario creare una master password complessa che protegga le credenziali memorizzate per accedere ai diversi servizi utilizzati; sarà perciò necessario sceglierla con attenzione. Nel caso di un gestore di password in cloud questo passaggio è incluso nella procedura di creazione dell’account.
Password Manager gestirà le credenziali di accesso di tutti i servizi in uso. È possibile aggiungere tutti gli account che già sono in nostro possesso e quando ci si iscrive a nuovi servizi si potranno utilizzare le proprie passphrase o si utilizzerà il gestore di password incorporato per creare password random, lunghe e complesse. Quando si dovrà accedere a uno qualsiasi dei servizi in uso, il PM inserirà automaticamente le credenziali.
Se si verifica un problema con l’attendibilità delle applicazioni basate su cloud per la gestione delle password è possibile optare per una “cassaforte” locale che memorizzerà tutto sul dispositivo scegliendo tra una serie di opzioni open source che forniscono molte delle funzionalità dei loro concorrenti cloud, anche se spesso con qualche restrizione. Anche se meno curate nell’estetica, le caratteristiche che offrono compensano questo aspetto.
A parte le soluzioni in cloud e open source esistono anche i gestori di password inclusi nelle suite di sicurezza degli endpoint che rappresentano un’alternativa ideale per aiutare a gestire e proteggere le proprie credenziali di accesso.
Pro e contro nell’utilizzo di un Password Manager
Esistono vari tipi di gestori di password tra cui scegliere e quelli basati su cloud sono tra i più popolari. Il vantaggio aggiuntivo di questo tipo di scelta è la possibilità di accedere alle password da qualsiasi luogo. I gestori più noti (1Password, Dashlane, LastPass, ecc.) offrono app per gli smartphone, quindi se si usano più dispositivi (come capita alla stragrande maggioranza delle persone) i servizi basati sul cloud sincronizzeranno tutte le password su tutti i dispositivi in uso. Alcuni dispongono anche di opzioni desktop e di plug-in per il browser, in modo da avere una copertura completa.
Parlando di abbonamenti, il set di opzioni base è gratuito. Se non lo si considera sufficiente è sempre possibile acquistare una versione premium che solitamente include impostazioni e funzionalità di sicurezza aggiuntive.
Questa potrebbe sembrare la scelta ideale; c’è però un rischio. Si stanno raccogliendo tutte le proprie informazioni in un unico luogo, ma in rete. Alcuni gestori di password online in passato hanno avuto diversi problemi. Alcuni mesi fa, ad esempio, dei ricercatori hanno scoperto delle falle nella sicurezza di un certo numero di gestori di password in cloud tra i più popolari: alcune versioni Android delle loro app erano suscettibili di attacchi di phishing, mentre altri consentivano tentativi continui di accesso al PIN master.
È importante tenere a mente che dal momento che i dati sono memorizzati su un server, in caso di una violazione o di un hack di successo, i cybercriminali possono scaricare le informazioni in blocco e le nostre informazioni di accesso finire nelle loro mani. In questo caso, ci si affida agli operatori del servizio scelto, contando sul fatto che abbiamo implementato correttamente la crittografia avanzata e sulla complessità della nostra master password, ricordando sempre che è quest’ultima che protegge l’accesso alla nostra vita digitale.
Sull’argomento: Come scoprire se la password è stata rubata attraverso una violazione della sicurezza.
Come con qualsiasi servizio è necessario informarsi attraverso i blog di sicurezza e le recensioni di società indipendenti e riconosciute di test per verificare che il gestore prescelto non abbia avuto segnalazioni di vulnerabilità recenti. Sarebbe anche opportuno identificare le misure messe in atto dal servizio per proteggere password e account.
Nel caso delle app open source installate localmente, alcune sono in grado di soddisfare i requisiti specifici dei siti per la creazione delle password. KeePass, ad esempio, permette anche di memorizzare l’archivio delle password su chiavetta USB. Il database è sottoposto a crittografia a protezione dell’utente e degli indirizzi associati.
Alcuni elementi che potrebbero sembrare svantaggi nei gestori di password che memorizzano tutto in locale in realtà aggiungono sicurezza. Dal momento che i codici vengono memorizzati su un dispositivo specifico, non è possibile sincronizzarli con altri dispositivi. Questo ovviamente rende più difficile il compito per un cybercriminale che, per compromettere il dispositivo, dovrà installare un keystroke logger.
Le soluzioni di sicurezza degli endpoint sono progettate specificamente per proteggere da queste minacce.
D’altro canto, bisogna considerare che, se si perde il dispositivo o se questo non funziona correttamente, tutte le password memorizzate su di esso andranno perse. È quindi opportuno fare un backup da tenere a portata di mano.
Questo vale anche per le soluzioni open source installate localmente. La perdita di un dispositivo dovrebbe essere insignificante, invece, per chi opta per le soluzioni in cloud, dal momento che può comunque accedere da un altro dispositivo tra quelli sincronizzati.
Riflessioni finali
Anche se tutti abbiamo più o meno le stesse esigenze nel gestire la nostra vita online, possono esserci piccole differenze nelle nostre preferenze. Perciò è importante essere consapevoli di quale soluzione possa adattarsi meglio alle nostre necessita. Ci sono però alcune domande da porsi prima di decidere cosa scegliere.
In caso di perdita del dispositivo i dati sono recuperabili?
Esistono ulteriori opzioni di sicurezza attivabili per aumentare la protezione?
Bisogna assicurarsi di scegliere attentamente il proprio gestore di password per evitare gli errori più comuni che abbiamo elencato in questo articolo nella creazione della master password. Per una maggiore sicurezza si potrebbe aggiungere un ulteriore fattore di autenticazione per tutti i nostri account online o anche per il gestore di password stesso.
Per ulteriori informazioni consultare la sezione online sul Password Manager di ESET.
A cura di linkAmer Owaida, Content Writer, ESET Security Community
