Che cos’è un gestore di password?
C’era una volta, durante i primi anni di Internet, si può avere avuto una manciata di password per alcune applicazioni web essenziali che hai usato per fare acquisti, studiare, rimanere in contatto, e ottenere il lavoro fatto. Oggi le cose sono molto più complicate. Un rapporto 2017 di LastPass ha rilevato che, in media, le persone dovevano ricordare 191 password diverse—solo per lavoro—per non parlare delle loro password personali.
Mentre la tecnologia promette di rendere la nostra vita più facile, e in genere lo fa, ogni nuovo sito web e l’applicazione ci iscriviamo per è un’altra password che dobbiamo ricordare. Per la maggior parte, è diventato impossibile ricordarli tutti. Il sondaggio sulla sicurezza online di Google del 2019 ha rilevato che il 52% degli intervistati ha riutilizzato la stessa password per più account (ma non tutti). Questo è un grande no-no.
Utilizzando elenchi giganti di password rubate (aka “discariche”) acquistati dal dark web, i criminali informatici possono forzare bruta la loro strada in altri siti o utilizzare vecchie password per estorcere agli utenti in truffe. Questo è l’effetto domino violazione dei dati. Una breccia porta ad un’altra e un’altra e così via.
Secondo il rapporto Verizon Data Breach Investigations del 2019, l ‘ 80% delle violazioni dei dati sono causate da password compromesse, deboli e riutilizzate.
Quindi, come siamo arrivati qui, e cosa possiamo fare al riguardo?
Il famoso fumetto web xkcd “Password Strength” lo ha spiegato meglio: “Attraverso 20 anni di sforzi, abbiamo addestrato con successo tutti a utilizzare password difficili da ricordare per gli umani, ma facili da indovinare per i computer.”
È vero. 20 anni fa i professionisti della sicurezza informatica ammonivano i consumatori per non aver modificato le password predefinite sui dispositivi IoT (come il router Internet) o utilizzando password facili da indovinare come “12345” o “password”. Da questo è venuto il lungo e forte password xkcd prende in giro: una parola comune con una miscela di lettere maiuscole e minuscole, almeno un numero, e un simbolo.
Quando si crea un nuovo account, i siti web richiedono la creazione di password lunghe e complesse. In caso contrario, non siamo nemmeno autorizzati a fare un account. Supponendo che si supera la fase di creazione dell’account, si sta andando a dimenticare prontamente la macchina Enigma cypher che hai appena fatto e rassegnarsi a utilizzare la ” Password dimenticata?”link come opzione di accesso di tutti i giorni.
Fortunatamente, non è necessario ricordare tutte quelle password. Un gestore di password può ricordarli per te.
Malwarebytes Labs definisce un gestore di password come ” un’applicazione software progettata per archiviare e gestire le credenziali online. Genera anche password. Di solito, queste password vengono memorizzate in un database crittografato e bloccato dietro una password principale.”
Una volta che tutti i nomi utente e le password del tuo account sono stati inseriti nel vault, la password principale è l’unica che devi impegnare nella memoria. Inserendo la password principale si sblocca il vault password, e dal vault è quindi possibile recuperare qualsiasi password è necessario.
Quali sono i vantaggi dell’utilizzo di un gestore di password?
Non è più necessario memorizzare tutte le password. Hai solo bisogno di ricordare la password principale che sblocca la password vault. E se si opta per un gestore di password basato su cloud, è possibile accedere alla password vault ovunque, da qualsiasi dispositivo.
Possono generare automaticamente password altamente sicure per te. I gestori di password in genere ti chiedono se desideri utilizzare una password generata automaticamente ogni volta che crei un nuovo account con un sito Web o un’applicazione. Queste password casuali sono lunghe, alfanumeriche ed essenzialmente impossibili da indovinare.
Possono avvisarti di un sito di phishing. Ecco un rapido gloss sulle truffe di phishing. Le e-mail di spam vengono falsificate o falsificate per sembrare provenienti da un mittente legittimo, come un amico, un familiare, un collega o un’organizzazione con cui fai affari. Link contenuti all’interno della e-mail diretto allo stesso modo falsificato siti web dannosi progettati per raccogliere le credenziali di accesso. Se si utilizza un gestore di password basato su browser, non completerà automaticamente i campi nome utente e password poiché non riconosce il sito Web come quello legato alla password.
Possono aiutare i beneficiari quando si passa via. Questa è chiamata eredità digitale. In caso di morte, la vostra famiglia o chiunque si designa per amministrare il vostro patrimonio otterrà l’accesso al vault password.
I gestori di password risparmiano tempo. Oltre a memorizzare le password per te, molti gestori di password compilano automaticamente le credenziali per un accesso più rapido agli account online. Inoltre, alcuni possono memorizzare e compilare automaticamente nome, indirizzo, e-mail, numero di telefono e informazioni sulla carta di credito. Questo può essere un enorme risparmio di tempo quando lo shopping online, per esempio.
Molti gestori di password si sincronizzano tra diversi sistemi operativi (SO). Se sei un utente Windows al lavoro e un utente Mac a casa, salta sul tuo Android dal lunedì al venerdì e passa a iOS nei fine settimana, sarai in grado di accedere rapidamente alle tue password indipendentemente dalla piattaforma in cui ti trovi. Idem per tutti i browser web più diffusi; cioè, Chrome, Firefox, Edge, Internet Explorer e Safari.
Aiutano a proteggere la tua identità. In modo indiretto, i gestori di password aiutano a proteggere dal furto di identità, ed ecco perché. Utilizzando una password univoca per ogni sito, stai essenzialmente segmentando i tuoi dati su ogni sito Web e applicazione che usi. Se un criminale hackera uno dei tuoi account, non sarà necessariamente in grado di entrare in nessuno degli altri. Non è infallibile, ma è un ulteriore livello di sicurezza che apprezzerai sicuramente in seguito a una violazione dei dati.
I gestori di password sono sicuri?
I gestori di password sono stati violati, ma il loro track record complessivo quando si tratta di proteggere i dati degli utenti è molto buono.
Password manager LastPass ha subito una violazione dei dati nel 2015. Durante la violazione, i criminali informatici hanno fatto fuori con le e-mail degli utenti, ma non sono riusciti a rubare alcuna password. Anche se lo facessero, la maggior parte dei gestori di password, incluso LastPass, utilizza la crittografia di livello militare per mantenere le password al sicuro.
Confronta questo con Facebook, Google e Twitter. Tutti e tre i giganti tecnologici hanno ammesso di memorizzare accidentalmente le password degli utenti in un testo semplice e leggibile – nessuna crittografia di cui parlare-per alcuni dei loro utenti, risalenti a diversi anni fa. E nel caso di Google, tutta la strada fino al 2005. Per quanto qualcuno sa, nessuna delle password è stata rubata, anche se Google ha ripristinato le password interessate” per un’abbondanza di cautela ” subito dopo aver scoperto il loro errore.
Ultime notizie sui gestori di password
Quando possiamo sbarazzarci delle password per sempre?
Sono gli hacker intenzione hack più? Non se continuiamo a riutilizzare le password
Perché non hai bisogno di 27 password diverse
Quali sono i tipi di gestori di password?
I gestori di password basati su desktop memorizzano le password localmente sul dispositivo, come il laptop, in un caveau crittografato. Non è possibile accedere a tali password da qualsiasi altro dispositivo, e se si perde il dispositivo, poi si perdono tutte le password memorizzate lì. I gestori di password installati localmente sono un’ottima opzione per le persone che semplicemente non vogliono che i loro dati vengano memorizzati sulla rete di qualcun altro. Alcuni gestori di password installati localmente trovare un equilibrio tra privacy e convenienza, consentendo di creare più depositi di password tra i dispositivi e sincronizzarli quando ci si connette a Internet.
I gestori di password basati su cloud memorizzano le password crittografate sulla rete del fornitore di servizi. Il fornitore di servizi è direttamente responsabile della sicurezza delle password. Il vantaggio principale dei gestori di password basati su cloud, 1Password e LastPass sono buoni esempi, è che è possibile accedere al vault della password da qualsiasi dispositivo purché si disponga di una connessione Internet. I gestori di password basati sul Web possono venire in diverse forme, più comunemente come estensione del browser, app desktop o app mobile.
Single sign-on (SSO). A differenza di un gestore di password che memorizza le password univoche per ogni applicazione utilizzata, SSO consente di utilizzare una password per ogni applicazione. Pensa a SSO come al tuo passaporto digitale. Quando si entra in un paese straniero, un passaporto dice ai funzionari della dogana e dell’immigrazione che il vostro paese di cittadinanza garantisce per voi e che si dovrebbe essere permesso di entrare con il minimo fastidio. Allo stesso modo, quando si utilizza SSO per accedere a un’applicazione, non è necessario verificare la propria identità. Invece, il provider SSO garantisce la tua identità. Le aziende favoriscono gli SSOS rispetto ai gestori di password per alcuni motivi. Principalmente, SSO è un modo sicuro e conveniente per i dipendenti di accedere alle applicazioni di cui hanno bisogno per svolgere il loro lavoro. SSOs anche ridurre la quantità di tempo che trascorre la risoluzione dei problemi e reimpostare le password dimenticate.
Password best practice
Non riutilizzare le password. Anche con un gestore di password. Invece, crea password univoche per ogni sito e lascia che il tuo gestore di password faccia ciò per cui è progettato.
Crea password complesse. Molti gestori di password utilmente auto-suggerire password complesse ogni volta che si crea un account per un nuovo sito. In caso contrario, provare a utilizzare una combinazione casuale di lettere e numeri, e spostare tra maiuscole e minuscole. Il più complesso e privo di senso, il meglio—soprattutto perché non sarà richiesto di ricordarlo. Il gestore di password lo farà. L’unica differenza fondamentale è nella creazione della password principale (quella che sblocca tutte le altre password). Questo è necessario ricordare, quindi a meno che non hai una memoria eidetica, provare a pensare a qualcosa di memorabile per voi, ma non facilmente risalire alla vostra identità. Quindi aggiungere in alcuni tappi, alcune lettere, e alcuni caratteri di fantasia, e hai una cassaforte password ben protetta.
Usa una passphrase. Quando si tratta di creare la password principale (quella che sblocca le altre password), provare a utilizzare una passphrase; cioè, una serie di parole che sono facili da ricordare, ma difficile da indovinare. Qualcosa di familiare con una strana torsione, ad esempio: “bean burrito ice cream split.”O solo un mucchio di cose casuali che un essere umano può facilmente visualizzare, ma un computer non può: “fancy rat neon avocado car.”Usa la tua immaginazione! Animali domestici, bambini, o altri nomi di famiglia, o linee come ” Fammi entrare!”sono troppo comuni e quindi facili da decifrare per i criminali informatici.
Abilita autenticazione a due fattori (2FA) o a più fattori (MFA). Uno dei modi migliori per proteggere qualsiasi account, gestore di password o meno, è abilitare MFA. Con un gestore di password abilitato MFA, ti verrà richiesto di verificare la tua identità utilizzando due o più fattori di autenticazione, che includono qualcosa che conosci, qualcosa che possiedi e qualcosa che sei. Il qualcosa che conosci è in genere la tua password, ma può anche essere un numero PIN. Qualcosa che possiedi potrebbe essere il tuo telefono cellulare, carta di credito o un token di sicurezza su una chiavetta USB. Infine, qualcosa che sei può essere verificato utilizzando la biometria, come il riconoscimento facciale, vocale o dell’iride e l’ID dell’impronta digitale. È possibile applicare anche la biometria comportamentale, come le sequenze di tasti.
Questo ulteriore livello di sicurezza significa che chiunque tenti di accedere al tuo account (incluso te stesso) dovrà controllare questi fattori di autenticazione aggiuntivi al di fuori del nome utente e della password. Un esempio di questo potrebbe essere: dopo aver inserito la password principale per accedere al gestore di password, un codice verrebbe inviato al tuo telefono cellulare, che dovrai quindi inserire prima di accedere al vault. Una cosa da tenere a mente quando si utilizza il telefono come fattore di autenticazione-i numeri di telefono possono essere dirottati.
Si chiama SIMjacking (aka SIM-swapping) e succede quando un criminale informatico, in posa come te, convince il tuo operatore telefonico a riassegnare il tuo numero di telefono al proprio telefono rispondendo con successo alle tue domande di sicurezza. Una rapida ricerca sui social media è spesso tutto ciò che serve per i truffatori per raccogliere le risposte di cui hanno bisogno. E una volta che i criminali hanno il controllo del telefono, hanno tutto il necessario per rubare la vostra identità. Di conseguenza, potresti cercare un autenticatore basato su software come Authy o Google Authenticator invece per gli account critici.
Pensa due volte ai gestori di password gratuiti. Molti dei più popolari gestori di password gratuiti operano in realtà sotto un modello di business freemium, il che significa che devi pagare se vuoi le migliori—a volte essenziali—caratteristiche. Hai bisogno delle tue password per la sincronizzazione tra browser e dispositivi? Avete bisogno di eredità digitale? Hai bisogno di condividere gli accessi con la famiglia? Hai bisogno di autenticazione a più fattori? I gestori di password gratuiti di solito non includono queste funzionalità. MFA, in particolare, è un must have. Nel dibattito tra free vs. pagato, optare per un gestore di password a pagamento.
Crea un criterio di gestione password. Ecco un suggerimento per le piccole e medie imprese: Creare una politica di gestione delle password e far sapere ai dipendenti che va bene utilizzare un gestore di password per proteggere i loro account di lavoro. Il tuo staff sta già utilizzando un miscuglio di metodi potenzialmente insicuri per cercare di gestire le loro numerose password e la maggior parte delle violazioni dei dati inizia con una password debole o riutilizzata. Una politica ufficiale di gestione delle password è la tua prima linea di difesa contro un attacco informatico sulla tua rete.