Come scegliere un Password Manager e perchè usarlo

Pubblicato da buio2005 il

L’uso di un Password Manager può essere essenziale per una buona gestione delle password. In generale, i gestori di password consentono di generare password forti, ma soprattutto di avere password uniche per i vari account online, eliminando la necessità di riutilizzarle. L’abitudine di memorizzare o di riutilizzare la stessa Password per più di un account è deleterio e ci mette in serio rischio nel momento in cui venisse violata o hackerata.


La stragrande maggioranza di tutte le ricerche ed indagini effettuate online riguardo alla sicurezza in rete e sulla gestione delle password è concorde nell’affermare che oltre il 70% degli utenti online usa password deboli e spesso ha 1 sola password per decine di account perchè ha paura di dimenticarla o perchè è facile da ricordare.

Per chi non avesse chiaro cosa è un Password Manager, in poche parole, si può riassumere come un software/estensione che ti aiuta a memorizzare e gestire le tue password in modo sicuro e facile. Compila automaticamente i form di login sia su App installate sia su accessi online da Browser, ti avverte se una o più delle tue password è stata trovata sul Dark Web o in generale in qualche lista di data Breach che sta girando in rete suggerendoti i passi da fare per proteggersi e cambiare password. Un sistema che automatizza, inserisce, controlla, aggiorna le tue password tutte le volte che è necessario o consigliato.

Password Manager

Come scegliere un Password Manager

Le caratteristiche principali di un Gestore di Password “serio” sono sostanzialmente:

  • Abbia subito almeno un resoconto ed un’istanza di Audit di terze parti riguardo alla sicurezza ed alla gestione della Privacy
  • Utilizzi una crittografia forte (XChaCha20)
  • Utilizzi la Zero-Knowledge (conoscenza zero) per i dati salvati in Password Manager
  • Possa lavorare od essere accessibile anche Offline
  • Dia la possibilità di condividere in modo sicuro le password
  • Avvisi in caso di ritrovamento di una o più password nel dark Web o nelle liste di data Breach

Creazione della Master Password

Tutti i Password Manager richiedono la creazione di una master password (password principale) che sarà l’unica password in grado di decifrare e sbloccare il caveau criptato del gestore di password. Questo è un passaggio chiave e va fatto prestando la massima attenzione e che, a ragion veduta, deve essere forte. La master password deve essere unica e non deve essere utilizzata altrove, nemmeno per sbloccare dispositivi facenti parte della propria rete.

Non deve contenere informazioni personali identificabili, come parti di Codice Fiscale o date di nascita. La master password non deve contenere informazioni che potrebbero essere facilmente “trovate” con, ad esempio, una ricerca OSINT* oppure nomi di animali domestici, di bambini o di familiari, nomi di scuole, compleanni, informazioni sull’indirizzo, il nome della strada o il numero dell’edificio di residenza.

*L’OSINT è la raccolta, l’analisi e la diffusione di informazioni pubblicamente disponibili e legalmente accessibili. Viene utilizzata da varie organizzazioni, tra cui governi, aziende e organizzazioni non governative, per la raccolta di informazioni su un’ampia gamma di argomenti, quali minacce alla sicurezza, ricerche di mercato e informazioni sulla concorrenza.

Caratteristiche dell’OSINT

  • Disponibile al pubblico: Le informazioni OSINT sono accessibili a chiunque e le loro fonti sono pubblicamente note.
  • Legalmente accessibili: Le informazioni OSINT sono ottenute con mezzi legali e la loro raccolta e il loro utilizzo non violano leggi o regolamenti. – Raccolta occulta: L’OSINT è raccolta con mezzi palesi, come fonti pubblicamente disponibili, e non richiede tecniche di raccolta clandestine.

Tipi di OSINT

  • Social media: Le piattaforme dei social media, come Facebook, Twitter e LinkedIn, sono una ricca fonte di OSINT.
  • Forum online: I forum online, i forum di discussione e le comunità online sono un’altra fonte di OSINT.
  • Articoli di giornale: Articoli di cronaca, blog e pubblicazioni online sono una fonte preziosa di OSINT.
  • Rapporti governativi: I rapporti governativi, come le relazioni annuali, i libri bianchi e i documenti politici, sono una fonte di OSINT.
  • Database commerciali: I database commerciali, come LexisNexis e Bloomberg, forniscono accesso alla OSINT.

Sembrerebbero consigli inutili o banali ma, paradossalmente, la master password è l’unica password che deve essere ricordata in quanto una volta impostata se dimenticata o persa è assolutamente impossibile poter rientrare in possesso dei dati salvati nemmeno chiedendo al Provider che per quanto detto sopra (Zero-Knowledge) non la conosce e non è recuperabile in quanto non è salvata sui loro Server.

Per questo motivo si tende a creare una Master Password facile da ricordare facendo uso di spunti o suggerimenti provenienti dalle cose che “conosciamo” a memoria. Un buon sistema per evitarsi possibili problemi è quello di creare una passphrase. Una stringa di 6-7 parole casuali cambiando magari alcune lettere con altri caratteri/simboli. La casualità è la chiave per la creazione di una password o passphrase efficente e sicura.

Dove memorizzo la mia Master Password?

Idealmente la password principale non dovrebbe essere memorizzata da nessuna parte se non nella propria testa. Tuttavia, a scanso di equivoci, da qualche parte è meglio memorizzarla evitando però di memorizzarla sul dispositivo in cui viene utilizzato il gestore di password, giusto nel caso in cui venga compromesso. Scrivere la password su un supporto fisico e conservarla in un luogo sicuro dovrebbe essere un metodo ragionevolmente sicuro, meglio se su di un supporto fisico non collegato al dispositivo in modo permamente (Hard Disk esterno), una chiavetta USB potrebbe essere una buona soluzione. Anche crittografare la password e caricarla su un provider di cloud storage affidabile e crittografato è una buona idea.

Backup dei dati

In tutti i Password Manager è possibile effettuare un backup (oltre a quello automatico previsto) e scaricarlo esternamente. Come per la conservazione della password principale salvare il backup su di un supporto fisico o caricarlo su di un Cloud sicuro e criptato può salvarci nel caso in cui perdessimo e/o non ricordassimo la Master Password o nella malaugurata e remota possibilità che il Provider del Password Manager venga compromesso (anche se i dati non sono comunque raggiungibili e leggibili grazie alla crittografia).

Installare il Password Manager su tutti i dispositivi

Un gestore di password ha senso quando lo uso spesso, o perlomeno durante lo svolgimento delle attività online “quotidiane” visitando gli account abituali (Social, Homebanking, Email …) quindi è importante installarlo sui dispositivi che utilizziamo di più Smartphone in primis. La sincronizzazione dell’account del Password Manager diventa fondamentale. E’ comunque sconsigliato installarlo sui dispositivi condivisi o sui dispositivi di lavoro.

Cambiare le password degli account critici esistenti

Una volta che il gestore di password è stato impostato, che è stata creata una password principale forte e che sono stati creati metodi di backup sicuri, è il momento di cambiare le password dei vari account (non obbligatoriamente) già che posso utilizzare un nuovo strumento un cambio di password esistenti incrementa la sicurezza ed interrompe eventuali breach precedenti che non abbiamo avuto modo di scoprire.
Dovremo “smistare” questi account, iniziando dai più “critici” e inserendoli nel password manager, per critici si intende quegli account che hanno accesso ai nostri dati personali in particolar modo gli account Social ricchi di informazioni sensibili, gli account finanziari e gli account di posta.

Secondo una ricerca condotta nel 2020, un utente medio aveva mediamente 70-80 account e, di conseguenza, 70-80 credenziali da gestire. Dopo l’inizio della pandemia globale COVID-19, si pensa che questo numero sia aumentato di circa il 25%. Supponendo che questo sia vero, la maggior parte delle persone ha 100 o più credenziali di account online da gestire.
Ad esempio, se un malintenzionato riuscisse ad accedere alla stessa e-mail che utilizziamo per il login ad uno dei Social, potrebbe facilmente reimpostare la password del nostro account (e quella dell’account e-mail) per bloccarci l’accesso e fare razzia di dati ed informazioni sensibili.

Cambiare le password degli account utilizzati per accedere ad altri servizi/dispositivi

La violazione degli account utilizzati per accedere ad altri dispositivi può portare alla compromissione degli stessi servizi/dispositivi che dipendono da tali account per l’autenticazione. Servizi come account AppleID od account Microsoft.
Un malintenzionato che possa accedere ad uno di questi account di fatto ottiene il pieno controllo del dispositivo e di tutto il suo contenuto.

Quel che è peggio è che a cascata verranno compromessi tutti gli altri servizi associati o dipendenti da quegli account. un account Microsoft compromesso regala l’accesso al PC od alla serie di PC connessi a quell’account. Alcune di queste logiche di accesso offrono ed implementano l’autenticazione a due fattori che di per se impedisce l’accesso anche quando la password viene violata ma non per questo è comunque consigliato di configurare una password forte e sicura come primo step di Login.

Cambiare le password degli account finanziari

Con gli account utilizzati per l’autenticazione dotati di password sicure, possiamo proteggere altri account sensibili, come quelli finanziari. Anche se l’Homebanking è diventato molto più sicuro dotarsi di ulteriori verifche accessorie al login diminuisce sensibilmente la possibilità di una violazione.
Per account finanziari non si intendono solo gli account legati ad uno o più conti bancari ma anche a tutte quelle App o servizi online come piattaforme di investimento, bitcoin o conti gioco/scommesse. Le informazioni contenute in questi account sono di estrema sensibilità e possono coinvolgere anche terze persone interessate per questioni legate al trasferimento di denaro oltre alle informazioni sulle entità e saldi.

Utilizzare un Password Manager è un passo importante nella gestione della nostra sicurezza online e nella protezione dei nostri dati personali, gli attacchi sono diventati sempre più frequenti e grazie alle nuove tecnologie ed all’AI anche più fruttiferi in termini di dati carpiti od acquisiti. La gestione della nostra sicurezza online è fondamentale e l’uso di un Password Manager ci aiuta ad elevare il nostro livello di protezione diminuendo sensibilmente l’eventualità di una violazione.

Password Manager

NordPass piani di 2 anni Personale (1 account) in promozione a 35.76€ per i primi 2 anni (50% di sconto) o Family (fino a 6 account inclusi) a 66.96€ per i primi 2 anni (53% di sconto)

30 giorni soddisfatti o rimborsati per entrambi i piani.

TivuStream affiliate Alcuni dei link che compaiono sul sito od articoli sono link di affiliazione dai quali, in caso di acquisto o sottoscrizione, TivuStream percepisce una commissione commisurata al tipo, durata ed importo dell'acquisto-sottoscrizione.
Visualizzazioni: 15
Categorie: Gestione PasswordHow-ToSicurezza web
Tag:

Articoli correlati

ZoogVPN
VPN ed anonimato in rete

ZoogVPN gratuita a vita 10Gb/mese 3 Server (e 5 location) tutti i dispositivi

ZoogVPN gratuita a vita 10Gb/mese di banda automaticamente rinnovati ogni mese 3 Server Regno Unito, Olanda, e Stati Uniti. Protocolli VPN disponibili PTP, OpenVPN, L2TP/IPSEC ed IKEv2. Come PrivadoVPN di cui abbiamo scritto, il piano Leggi tutto…

Audacity
Audio podcast e suono

Audacity ed audio.com crea, edita, libera, e condividi i tuoi audio gratis per sempre

Audacity ed audio.com sono due risorse assolutamente gratuite ed Open Source. Audacity ed audio.com fanno parte di Muse Group la risorsa gratuita dedicata all’audio, il suono ed alla Musica tra le più grandi al mondo Leggi tutto…

Unbound
Risorse Web

Come creare il proprio DNS resolver su PC con Unbound

Cos’è Unbound DNS Resolver? Unbound è un risolutore DNS sviluppato da NLnet Labs . Supporta la validazione, la cache il DNSSEC e NSEC, NSEC3, Ipv4 e Ipv6. Unbound è scritto per macchine Unix (posix) e Leggi tutto…