Soluzioni aziendali
Informatica, telefonia
Telefonia
Trucchi e suggerimenti
Sicurezza
25.05.2024 08:00

Condividi con gli altri:

Condividere

Come proteggere le password?

Secondo le ultime ricerche, l’utente medio possiede più di 100 password o 100 account diversi. È impossibile ricordare la password e il nome utente di ogni account.
Foto: Freepik
Foto: Freepik

Cosa facciamo in questo caso? La soluzione più semplice è utilizzare lo stesso nome utente e password per diversi siti web. Un nome utente è spesso una variazione di un nome personale o di un soprannome con numeri aggiunti, lettere maiuscole casuali e simili. Anche se siamo avvertiti in ogni fase che le password devono essere lunghe, complesse e diverse su ogni sito web, utilizziamo ancora troppo spesso password semplici, come password, password12!, password1 e simili. Qualsiasi utente malintenzionato leggermente più esperto sarà in grado di forzare le tue password, ma a quel punto sarà troppo tardi.

Anche sui telefoni, la maggior parte delle persone utilizza semplici codici PIN (123456, 2222, 0000...) e sequenze (scorri verso destra e verso il basso...). Lo sblocco biometrico, disponibile su quasi tutti i telefoni più recenti, non compare nemmeno nell'elenco delle possibili soluzioni nelle mani di un utente inesperto. Per non parlare della possibilità che il codice PIN sia lo stesso utilizzato per accedere ai servizi di mobile banking o di trading.

Siamo diventati compiacenti. Facciamo affidamento sulle aziende per mantenere i nostri dati al sicuro, anche se possiamo fare molto da soli. Non ricorderai più di cento password a meno che tu non abbia una memoria fotografica. Non li scriverai nemmeno su un pezzo di carta.

Una soluzione sono i gestori di password dedicati

Alcuni di voi utilizzano già gestori di password nei browser Chrome, Firefox, Safari... Con loro è possibile creare password complesse, archiviarle in un "archivio di sicurezza" e lasciare che il browser le riempia automaticamente quando necessario.

Il gestore delle password di Google è sicuro?

Il gestore password di Google è una soluzione molto più sicura rispetto all'utilizzo ripetuto delle stesse password, ma non è comunque la migliore. Il gestore delle password di Google non è open source, quindi non possiamo sapere esattamente come funziona, come memorizza le password, ecc. Altrimenti anche l'etichetta “open source” non significa necessariamente che si tratti di una soluzione sicura. Ma esiste almeno la possibilità che il codice sorgente possa essere esaminato da esperti indipendenti.

Quello che sappiamo è che Google non utilizza un approccio di crittografia a conoscenza zero, il che significa che Google sa tutto sui dati archiviati sui propri server. Esiste un'opzione per abilitare la crittografia locale delle password prima che vengano salvate nel tuo account Google. Non abbiamo dati su quanti utenti lo hanno attivato, ma possiamo supporre che non sia la maggioranza. Inoltre, non è possibile impostare una password principale per accedere al gestore password. Oltre alla trasparenza, lo svantaggio è che non funziona al di fuori del browser Chrome.

Quindi dovresti usarlo? Anche se non è il migliore e non offre tutte le funzionalità offerte da altri gestori di password, è comunque sicuro e soprattutto conveniente.

In che modo Apple memorizza le password?

Similmente alla soluzione di Google, anche quella di Apple è molto comoda soprattutto per gli utenti, poiché è disponibile di default su tutti i dispositivi Apple. Con il gestore password portachiavi iCloud puoi generare password casuali, memorizzarle, memorizzare i numeri delle carte di credito, il gestore inserisce le informazioni per te, insomma molto simile a quello che fanno tutti gli altri gestori password. Utilizza la crittografia AES a 256 bit per la crittografia, le password sono sincronizzate con altri dispositivi Apple, è disponibile la verifica a più fattori e recentemente hanno aggiunto l'opzione per utilizzare le "passkey".

Funziona in modo molto simile al gestore di password di Google e presenta anche gli stessi inconvenienti: trasparenza, incompatibilità al di fuori dell'ecosistema Apple, mancanza di funzionalità più avanzate...

iCloud Portachiavi è un gestore di password sicuro e una soluzione che la maggior parte delle persone utilizzerà sui dispositivi Apple, principalmente per comodità.

5 Gli utenti % che desiderano approfondire la sicurezza preferiscono un gestore di password dedicato. Ce ne sono diversi e funzionano in modo molto simile, quindi è difficile determinare quale sia il migliore.

Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper... Ci sono diverse scelte e quelle elencate sono considerate le più popolari. Non devi limitarti a uno solo. Uno è più facile da gestire, ma non ci sono altri motivi per cui non dovresti utilizzare due gestori di password. La maggior parte di questi gestori offre una versione gratuita che sarà sufficiente per la maggior parte, ma puoi opzionalmente noleggiare una delle versioni a pagamento per funzionalità aggiuntive, come l'autenticazione a più fattori con dispositivi come YubiKey.

Poiché probabilmente hai già memorizzato le password in un gestore di password Google o Apple, dovrai prima esportarle per utilizzare altri gestori di password.

In Chrome, vai su Impostazioni, seleziona Compilazione automatica e password, quindi Gestione password di Google. Noterai quindi un'altra sezione Impostazioni sulla sinistra in cui selezionerai Esporta password in formato CSV. Se mai ne avessi bisogno, queste impostazioni ti consentono anche di attivare la crittografia e importare password da altri browser o gestori di password.

Utenti Apple, il modo più semplice per esportare le password sul portachiavi iCloud è su un computer Mac. Vai su Preferenze di Sistema o Impostazioni, seleziona Password dalle sezioni, molto probabilmente ti verrà chiesto di digitare la password o utilizzare Touch ID, quindi potrai scegliere tra diverse opzioni per esportare tutte le password. Secondo le nostre conoscenze, al momento è impossibile esportare le password sugli iPhone senza utilizzare soluzioni di terze parti, quindi assicurati di aver attivato la sincronizzazione delle password su tutti i dispositivi Apple.

Potrai quindi importare facilmente il file CSV esportato nel gestore password selezionato.

Cosa offrono i gestori di password dedicati?

Prendi Bitwarden per esempio.

Bitwarden è un gestore di password sicuro e open source. È estremamente facile da usare, le funzioni sono elaborate, da qui la sua popolarità tra gli utenti. La sua integrità è stata verificata l'ultima volta da esperti esterni nel 2022. Ti consente anche di installare il loro servizio sul tuo server se desideri gestire il tuo cloud.

Il suo vantaggio è anche che è disponibile su tutti i sistemi operativi (Android, iOS, MacOS, Windows e anche Linux) sotto forma di applicazione o interfaccia web. Può essere installato come estensione in quasi tutti i browser ed è compatibile anche con Windows Hello e Touch ID.

Bitwarden supporta l'autenticazione senza password, il che significa che puoi accedere con un codice monouso, verifica biometrica o chiave di sicurezza. Bitwarden offre anche un ottimo supporto per le passkey, inclusa la possibilità di accedere a Bitwarden con una passkey, il che significa che non è nemmeno necessario utilizzare un nome utente o una password per aprire il vault. Ci sono anche alcuni extra, come una funzione di condivisione sicura dei file (Bitwarden Send), un'app di autenticazione (purtroppo a pagamento), e puoi sempre contare su una community di utenti estremamente attiva.

Cosa sono le passkey o le chiavi di accesso?

Le passkey sono un nuovo tipo di credenziali di accesso che consentono di accedere a siti Web e servizi senza dover inserire una password. Non è necessario ricordarli, ma puoi utilizzarli con i dispositivi che già possiedi, come uno smartphone o un laptop. Le passkey si basano sugli standard WebAuthentication o WebAuthn. Entrambi utilizzano la crittografia a chiave pubblica.

Oltre all'hacking dei sistemi di dati, le chiavi di accesso non possono essere rubate tramite attacchi di phishing. I criminali informatici spesso utilizzano il phishing o l'ingegneria sociale come un modo per ottenere l'accesso al nome utente e alla password di un utente, che poi utilizzano per accedere a dati preziosi. La passkey è composta da una chiave privata e da una chiave pubblica. La chiave pubblica rimane sui server dell'azienda, la chiave privata rimane sul tuo dispositivo e non può essere rubata facilmente.

Qualunque soluzione tu scelga, o rimani con un gestore di password Google o Apple, rendi una pratica quotidiana l'utilizzo di password e nomi utente diversi. Inoltre, non memorizzi le password in documenti Word, Google Drive o qualcosa di simile. Le password devono essere lunghe e utilizzare sia caratteri che numeri. E in nessun caso non fidarti delle password degli altri.

Foto di copertina: Immagine di starline su Freepik




Cosa stanno leggendo gli altri?