Perché usare un gestore di password - e i nostri 3 migliori!
È il 2024, scegliete già il miglior password manager! Perché dovreste usarne uno? Sono strumenti semplici per aumentare la vostra privacy e la vostra sicurezza.
Ho davvero bisogno di un gestore di password?
Siamotutti d’accordo sul fatto che la nostra esistenza digitale richiede un numero eccessivo di password. Abbiamo tutti incontrato il temuto messaggio “Vuoi leggere questo articolo? Per favore, iscriviti creando il tuo account gratuito!“. Questo è diventato fin troppo comune, dato che sempre più contenuti vengono rinchiusi in giardini digitali. Sebbene questo passo sia contrario alla filosofia di un Internet libero e aperto, questo è lo stato attuale dell’ecosistema online. Quindi, come possiamo rendere questa attività più sopportabile e, oserei dire, piacevole?
La risposta è l’utilizzo del miglior gestore di password, in modo da non dover più destreggiarsi tra molteplici credenziali di accesso in memoria, salvate nel browser o scritte su un bigliettino super segreto nascosto sotto la tastiera. Utilizzando un gestore di password gratuito, dovrete solo ricordare la vostra password principale per sbloccare il vostro archivio di password e il gestore si occuperà di tutto il resto.
Igestori di password sono software che generano password forti, casuali e soprattutto uniche in base ai parametri impostati dall’utente (maiuscole e minuscole, nessun simbolo speciale, ecc.) e le memorizzano in un database crittograficamente sicuro chiamato caveau. Per decifrare e visualizzare le password criptate, gli utenti devono disporre di una password principale forte e possibilmente anche di una forma di autenticazione a più fattori, come uno yubikey o un codice OTP. Se qualcuno dovesse imbattersi in un caveau di password crittografate e non disponesse dei dati di accesso richiesti, le password rimarrebbero al sicuro e inutilizzabili dall’aggressore.
In breve: un gestore di password è in grado di generare e salvare tutte le vostre password in modo sicuro, così non dovrete preoccuparvi di dimenticarle. Con un gestore di password potete facilmente utilizzare password uniche e forti per tutti gli account online più importanti, senza utilizzare due volte la stessa password (cosa assolutamente da evitare).
Grazie alla loro facilità d’uso e all’eccezionale sicurezza, tutti dovrebbero utilizzare un gestore di password.
Pur avendo la stessa funzione generale, il mercato dei gestori di password è esploso e ha portato a un’ampia varietà di funzioni disponibili nella scelta del miglior gestore di password. In definitiva, l’utilizzo di QUALSIASI gestore di password aumenta la vostra sicurezza e aggiunge un ulteriore livello di protezione ai vostri account. Esistono alcune differenze fondamentali tra alcuni dei principali gestori di password disponibili e vorremmo chiarirne e spiegarne l’uso, i pro e gli eventuali contro. In questo modo potrete scegliere il miglior gestore di password per le vostre esigenze personali o aziendali.Ma iniziamo con una domanda più generale:
I gestori di password sono sicuri?
Se siete nuovi al mondo dei gestori di password, potreste chiedervi se i gestori di password sono veramente sicuri. La risposta è sì. I gestori di password sono noti per la loro sicurezza e tutti gli esperti di cybersicurezza concordano sul fatto che l’uso dei gestori di password è il modo migliore per aumentare la sicurezza online. I gestori di password utilizzano una forte crittografia per proteggere le password, una solida difesa contro i criminali informatici. Molti gestori di password utilizzano una crittografia sicura post-quantistica come AES 256 o superiore, raccomandata dal governo degli Stati Uniti per proteggere i dati sensibili in un mondo post-quantistico.
Caratteristiche da ricercare
Le caratteristiche necessarie di un gestore di password possono variare da persona a persona in base alle preferenze o alle esigenze di sicurezza, ma ci sono alcune caratteristiche che non dovrebbero essere oggetto di compromesso. La prima di queste caratteristiche imprescindibili è la capacità di generare password casuali. Questo può sembrare un punto irrinunciabile, ma ci sono anche pratiche alternative utilizzate da alcuni gestori di password che prevedono semplicemente il salvataggio di una password scelta mentalmente in un file criptato. Un gestore di password dovrebbe essere in grado di creare password casuali di varia lunghezza e scelta di caratteri. Evitando di utilizzare le password più comuni, i vostri account saranno molto più sicuri. Un buon esempio è rappresentato da KeyPassXC, un gestore di password locale con un’ottima serie di opzioni per la generazione di password sicure. È possibile generare password forti, uniche e casuali con un solo clic. Quando si generano queste password casuali è buona norma assicurarsi che siano lunghe almeno 20 caratteri, ma se non è necessario ricordarle perché non fare le cose in grande! Usare un password manager è facilissimo.
Supporto per l’autenticazione multifattoriale
Oltre alla possibilità di generare e salvare password sicure, è un vantaggio per la qualità della vita se la finestra di gestione unica può includere anche le opzioni di autenticazione multifattoriale. Una password sicura da sola non è sufficiente per mantenere la sicurezza dei vostri account online. Quasi tutte le piattaforme online offrono la possibilità di aggiungere un secondo fattore di autenticazione e la loro configurazione non è troppo difficile. Il vantaggio di utilizzare un gestore di password che supporta l’autenticazione TOTP è quello di abbandonare i codici di autenticazione via SMS, che non sono sicuri e possono essere facilmente intercettati da un attacco di SIM swap. Questa funzione consente di generare codici TOTP che vengono utilizzati per confermare l’accesso dopo l’inserimento del nome utente e della password corretti. Se si desidera aumentare la sicurezza, si consiglia di utilizzare un dispositivo U2F come Yubikey, pienamente supportato da Tuta.
Supporto per Passkeys o Passphrases
I passkeys sono l’ultimo passo per cercare di sconfiggere la crescente stanchezza da password degli utenti di Internet senza compromettere la sicurezza dei loro account. I passkeys funzionano in base alla crittografia a chiave accoppiata, che crea una chiave privata e una pubblica sul dispositivo. La chiave pubblica viene condivisa con il server, mentre la chiave privata rimane memorizzata in modo sicuro sul dispositivo locale. Quando si tenta di effettuare il login, il sito web in questione richiede questa chiave specifica per il dispositivo, altrimenti il login non riesce. Il supporto per i passkeys è presente nelle ultime versioni dei dispositivi iOS, Google e Microsoft, ma è supportato anche da alcuni dei migliori gestori di password come Keeper o Bitwarden. Le password non scompariranno presto, ma possiamo incrociare le dita affinché vengano gradualmente eliminate.
Un generatore di passphrase è integrato direttamente in Tuta e può essere usato quando si registra un nuovo account. Naturalmente, assicuratevi di salvare questa frase e il codice di recupero nel vostro password manager appena installato.
Controllo delle violazioni dei dati
Alcuni prodotti offrono la possibilità di controllare il vostro archivio di password in base alle informazioni sulle violazioni dei dati e vi avvisano se una delle vostre credenziali di accesso è stata esposta in un incidente di violazione. Questa funzione può darvi una buona indicazione nel caso in cui i vostri account possano essere vulnerabili, senza che dobbiate rimanere costantemente aggiornati sulle violazioni di dati del giorno. Se non siete interessati ad acquistare uno dei servizi che offrono questa funzione, potete anche visitare HaveIBeenPwned per verificare se il vostro indirizzo e-mail, nome utente o password sono stati inclusi in una violazione. (In generale non è una buona pratica incollare la propria password in giro, ma se si utilizzano nomi utente e password unici è possibile determinare se si è verificata una compromissione).
Caratteristiche da evitare
Sorgente chiusa
È diventato un luogo comune e una buona pratica rilasciare progetti software come open source. La trasparenza garantisce la sicurezza, in quanto se tutti gli occhi possono esaminare il codice, i bug possono essere trovati e risolti più rapidamente. Questa pratica è particolarmente importante per i progetti che riguardano la crittografia e l’archiviazione sicura dei dati dei clienti. Se le aziende sviluppano il proprio schema di crittografia e non rilasciano il codice per una revisione aperta e onesta, bisogna diffidare perché non sappiamo cosa succede sotto il cofano e non abbiamo alcuna prova che i nostri dati siano veramente al sicuro.
Modelli di prezzo predatori
A seconda dei modelli di prezzo e di abbonamento disponibili, alcune aziende possono spingere per cercare di bloccare l’utente in un abbonamento per “sbloccare” le funzioni di sicurezza di base. Un esempio potrebbe essere BitWarden, che pur essendo un’ottima scelta come gestore di password basato sul cloud, nega agli utenti gratuiti l’accesso al proprio autenticatore, in quanto lascia questi utenti a rischio di sicurezza se non sono disposti a fare il passo verso il pagamento del servizio. La sicurezza dovrebbe essere disponibile di default e l’autenticazione a più fattori non è un lusso, ma una necessità.
Gratuito, ma a quale costo?
Molti servizi offrono una versione gratuita del loro prodotto, che però può presentare delle funzionalità mancanti. Alcune esigenze, come la sincronizzazione con il cloud, potrebbero non essere richieste, ma il supporto per la 2FA, sia come voci TOTP che come fase di autenticazione aggiuntiva per aprire il gestore di password, non dovrebbe essere chiuso dietro un muro a pagamento. Laddove alcune aziende bloccano le funzioni, esistono numerosi progetti open source che sono completamente gratuiti e offrono ottime funzioni, ma che potrebbero richiedere un po’ di know-how tecnico o di lavoro per funzionare esattamente come si desidera.
L’equilibrio tra convenienza e sicurezza
Questo dipende molto dal vostro modello di minaccia, ma io mi innervosisco quando sincronizzo le password su server cloud ospitati esternamente. Un esempio del perché questo sia preoccupante è l’incidente di violazione di LastPass nell’agosto del 2022. Un malintenzionato è riuscito a compromettere un server che ospitava i dati dei clienti ed è stato in grado di scaricare le informazioni personali e le password criptate. Questi dati potrebbero essere utilizzati per attacchi di spearphishing utilizzando i dati dei clienti compromessi. O peggio, se i clienti di LastPass non utilizzavano master password forti per il loro vault, tutte le informazioni sulle password memorizzate nel loro password manager potevano essere decriptate. Incidenti di questo tipo rappresentano una minaccia per tutti i password manager che ospitano il proprio vault in un ambiente di server cloud e questo deve essere preso in considerazione.
I servizi che operano solo a livello locale evitano completamente questo tipo di minaccia e richiederebbero un attacco diretto al vostro computer per compromettere il vostro caveau di password.
Per me il rischio non vale la comodità aggiuntiva, ma potrei essere uno di quei tipi “paranoici”. Preferisco di gran lunga utilizzare un gestore di password locale, con una password dannatamente forte e backup multipli crittografati. Questo tipo di violazione non è possibile nemmeno se si conserva un elenco di password scritto fisicamente in una cassaforte sicura. Se questa cassaforte viene compromessa, è probabile che il problema sia più grave della sola violazione dei dati.
Per le informazioni di accesso finanziarie, come le criptovalute, vale la pena di considerare questo aspetto. In seguito alla violazione di LastPass, un rapporto afferma che la violazione ha portato direttamente alla perdita di oltre 35 milioni di dollari.
Confronto tra le caratteristiche dei migliori fornitori
Il nostro Best Of per il 2024
I tre migliori
1. Bitwarden: Bitwarden combina tutte le funzionalità di cui avete bisogno con un prezzo mensile basso di 1 dollaro, o addirittura gratis. Il loro software è rilasciato open source, il che consente la revisione del codice da parte della comunità, in modo che possiate fidarvi che non ci sia nulla di losco che possa avere un impatto sulla vostra sicurezza.
2. 1Password: 1Password combina tutte le funzionalità che potreste cercare a un basso costo di abbonamento. Al costo di 2,99 dollari per i singoli utenti o di 5 dollari per un piano familiare di 5 utenti, potete essere certi che i vostri dati sono al sicuro e che possono essere comodamente condivisi con i vostri cari quando e se necessario.
3. Keeper: Keeper combina la gestione e la condivisione sicura delle password con la possibilità di condividere i file tra i vostri profili utente. Se avete bisogno di condividere la scansione di un documento sensibile, non dovete affidarvi a WhatsApp: potete inviarlo rapidamente senza compromettere la vostra privacy e sicurezza. Attualmente a 2,92 dollari al mese, Keeper offre anche una prova gratuita di 30 giorni che vi permetterà di testare il servizio prima di impegnarvi.
Alternative FOSS
1. Pass: Pass è un gestore di password gratuito e open source nato come opzione per gli utenti Linux/Unix. Il software di base di Pass è un’interfaccia a riga di comando che memorizza ogni password in un unico file crittografato. Costruito all’insegna della semplicità, Pass è un approccio senza fronzoli alla gestione delle password. Esistono diversi componenti aggiuntivi che possono essere utilizzati se si preferisce un’interfaccia grafica e si può anche attivare la sincronizzazione con il cloud se si desidera ospitare il proprio gestore di password basato sul cloud. È l’ideale per i più esperti o per chi vuole imparare.
2. KeePassXC: KeePassXC è un gestore di password open source disponibile per Mac, Windows e Linux. Sono disponibili anche porte di terze parti che consentono di tenere al sicuro le password su Android e iOS. KeyPassXC è dotato di tutte le funzioni necessarie per un gestore di password ed è disponibile gratuitamente. È possibile effettuare la sincronizzazione con il cloud, ma è necessario che l’hosting sia gestito direttamente dall’utente.
3. Bitwarden: Bitwarden viene riproposto in questo elenco perché si impegna per la sicurezza del software open source. Mantenendo il codice in pubblico, gli utenti possono essere certi che i loro dati siano veramente sicuri.
3 migliori gestori di password gratuiti
1. KeePassXC
2. Bitwarden (versione gratuita)
3. Pass
Potete criptare molto di più delle vostre e-mail! Tenete al sicuro le vostre password.
A questo punto speriamo di aver risposto alla vostra domanda: “Ho bisogno di un gestore di password?” I gestori di password sono diventati un punto irrinunciabile nella costruzione di una forte sicurezza online. Non solo vi salvano il cervello, ma possono anche creare password matematicamente forti e uniche. Questa combinazione, a prescindere dal fatto che si scelga di rimanere in locale o di passare a un provider cloud, elimina già i vostri account dai potenziali bersagli. Quando si sceglie tra un servizio e l’altro, è importante esaminare onestamente il proprio modello di minaccia. Siete interessati a minacce persistenti avanzate come i servizi segreti di una nazione industrializzata? Allora i vostri requisiti saranno molto diversi da quelli di un utente medio che vuole solo creare una password forte per un account Instagram. La sicurezza non è una cosa unica e non è uno sprint. Dovrete decidere con attenzione quali sono i vostri punti deboli, trovare un equilibrio tra convenienza e sicurezza e rendervi conto che questo singolo passo non sarà l’ultimo del vostro viaggio nella privacy.
Se volete portare la vostra sicurezza a un livello superiore, combinare il vostro gestore di password con un provider di e-mail sicuro e crittografato Ende-zu-Ende come Tuta è un ottimo primo passo. Non solo le vostre password saranno più sicure dagli hacker, ma i vostri dati saranno protetti anche a riposo e via cavo. Un fattore importante da tenere presente quando si sceglie un servizio di posta elettronica è che la maggior parte dei servizi offre la possibilità di reimpostare la password via e-mail. La reimpostazione della password via e-mail rappresenta una grave minaccia per la vostra identità online: se il vostro account di posta elettronica viene violato, quasi tutti i vostri account, come PayPal, Amazon, Facebook e Twitter, possono essere facilmente rilevati dai malintenzionati attraverso la semplice reimpostazione della password. Ecco perché la scelta di un servizio di posta elettronica sicuro, insieme all’utilizzo di uno dei migliori gestori di password recensiti in questo articolo, è il modo migliore per ottenere la massima sicurezza online.
Registratesubito il vostro account Tuta gratuito.
E non dimenticate di iniziare a usare un password manager oggi stesso!
Rimanete al sicuro. 🔒