Usiamo le password per tutto. Dai nostri conti bancari ai siti di social media, le impronte delle nostre password si diffondono in tutto il nostro panorama digitale. Ma ciò significa che se riutilizzi sempre gli stessi, ti esponi agli hacker che potrebbero trovarne uno in una fuga di notizie e accedere ai tuoi account più sensibili. È qui che entrano in gioco i password manager. Memorizzano tutte le tue credenziali in un’unica “cassaforte crittografata“, sollevandoti dall’onere di ricordarle tutte e offrono anche opzioni di password più efficaci per evitare il riutilizzo in futuro.
Non ci sono scuse per avere delle password troppo semplici nel 2024
Tuttavia, è uno spazio confuso, pieno di aziende diverse, funzionalità extra e lacune di sicurezza che possono rendere difficile la navigazione. Abbiamo testato alcuni dei migliori password manager attualmente disponibili per aiutarti a scegliere quello giusto per le tue esigenze. Bitwarden rimane la nostra scelta migliore grazie alla sua politica a conoscenza zero, al suo essere open source e alle numerose funzionalità di sicurezza e alla facilità d’uso generale, ma ci sono anche altri solidi gestori di password da considerare.
Come funzionano i password manager?
Pensa ai password manager come a cassette di sicurezza virtuali. Conservano i tuoi oggetti di valore, in questo caso solitamente credenziali online, in una sezione del caveau accessibile solo a te tramite chiave di sicurezza o password principale. La maggior parte di questi servizi dispone di funzionalità di compilazione automatica che rendono comodo l’accesso a qualsiasi sito senza dover ricordare tutte le password che hai.
Ma dato che le password sono uno dei modi migliori per mantenere sicura la tua identità online, il vero valore dei password manager è rimanere al sicuro online. “Senza un gestore di password non è possibile avere password uniche, lunghe e difficili da indovinare“, ha affermato Florian Schaub, professore associato di informazione e di ingegneria elettrica e informatica presso l’Università del Michigan.
Le linee guida comuni affermano che le password sicure dovrebbero essere univoche, con il numero massimo di caratteri consentito e lettere maiuscole, lettere minuscole, numeri e caratteri speciali (non come quelle più usate in Italia). Questo è l’esatto opposto dell’utilizzo di un’unica password ovunque, con piccole variazioni a seconda dei requisiti del sito. Pensa a quanti account e siti online hai credenziali: è un compito impossibile ricordarli tutti senza un posto dove archiviare le password in modo sicuro (no, una nota adesiva sulla tua scrivania non basterà). I password manager sono più facilmente accessibili e offrono il vantaggio di compilare quelle password lunghe per te.
I password manager sono sicuri?
Sembra controintuitivo archiviare tutte le informazioni sensibili in un unico posto. Un attacco hacker potrebbe farti perdere tutto a causa di un aggressore e lottare per mesi o addirittura anni per ricostruire la tua presenza online, per non parlare del fatto che potresti dover cancellare carte di credito e altri conti. Ma la maggior parte degli esperti del settore concorda sul fatto che i gestori di password sono un modo generalmente sicuro e protetto per tenere traccia dei propri dati personali e che i vantaggi di password complesse e complesse superano i possibili rischi.
I meccanismi per mantenere tali password al sicuro differiscono leggermente da fornitore a fornitore. Generalmente, hai una “password principale” lunga e complessa che salvaguarda il resto delle tue informazioni. Questa è l’unica password che devi ricordare.
In alcuni casi, è possibile usare un secondo fattore di autenticazione, come una “chiave di sicurezza” da inserire quando accedi a nuovi dispositivi. Questa può essere una chiave fisica da collegare alla porta USB (o da usare tramite NFC) oppure un codice TOTP da 6 caratteri che dura solo 30 secondi. Solo tu conosci questa chiave e, poiché è fisicamente nelle tue mani ed è più difficile da trovare per gli hacker.
Crittografia e audit di terze parti sono delle buone pratiche
Questi molteplici livelli di sicurezza rendono difficile per un utente malintenzionato entrare nel tuo deposito anche se il fornitore del tuo gestore di password subisce una violazione. Ma l’azienda dovrebbe anche seguire alcuni principi fondamentali in materia di sicurezza.
Una politica “zero trust” significa che l’azienda non conserva nessuno dei tuoi dati in archivio, quindi in caso di attacco, non c’è nulla che gli hacker possano trovare. Report regolari sullo stato di salute come pentest e audit di sicurezza sono essenziali per mantenere le aziende al passo con le migliori pratiche, e altri sforzi come i programmi di bug bounty o l’hosting su un sito Web open source incoraggiano una vigilanza costante per i difetti di sicurezza.
La maggior parte dei password manager ora offre anche un certo livello di crittografia che rientra nell’Advanced Encryption Standard (AES). AES a 256 bit è il più potente, perché esiste il maggior numero di combinazioni possibili, ma AES a 128 bit o 192 bit sono comunque buoni.
