Password manager: cosa sono, i 10 migliori del 2021, come usarli e perché - Cyber Security 360

LA GUIDA COMPLETA

Password manager: cosa sono, i 10 migliori del 2021, come usarli e perché

Questi programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) hanno vantaggi e svantaggi. Vediamo come usarli, perché, e quali sono i migliori

3 giorni fa
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

Password manager, probabilmente ne hai già sentito parlare. Ma noi ti spieghiamo come usarli al meglio e quali sono i migliori del 2021 da installare subito per mettere al sicuro le credenziali di accesso ai vari servizi che utilizziamo quotidianamente.

Cos’è e come funziona un password manager

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno.

I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia).

Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Approfondiamo meglio questi concetti, ma ti consigliamo anche di leggere l’articolo completo su come scegliere la password migliore, sicura.

Siamo ancora lontani, infatti, da un mondo senza password (o, come qualcuno ama dire, “passwordless)” e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto.

Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: secondo LastPass (uno dei più noti gestori di password) il dipendente medio di un’azienda gestisce 191 password. Un utente del web deve gestire almeno un centinaio di password.

Ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: il password reuse, cioè l’utilizzo della stessa password per account diversi.

È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del credential stuffing, letteralmente “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti. Lo si può fare in modo automatico utilizzando software come Shard (“A command line tool to detect shared passwords”, open source e reperibile su GitHub).

Quindi le password devono essere: sempre diverse, lunghe e complesse. “The only secure password is the one you cant remember”: in questa frase, che è il titolo di un famoso articolo di Troy Hunt del 2011, c’è la sintesi del problema: dobbiamo usare password impossibili da ricordare.

Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto proprio i password manager.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno.

In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro.

La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare.

La medesima funzione è disponibile anche in Firefox, nella sezione delle impostazioni dedicate alle password, che è denominata Firefox Lockwise e che è – in pratica – un password manager anche se abbastanza rudimentale. Ne parleremo in seguito. Anche in questo caso si ottiene un file .csv non crittografato.

Se, viceversa, non si proviene da un precedente gestore di password (o se l’opzione di importazione non è disponibile), l’iniziale utilizzo di un PM richiederà il riempimento manuale dei campi (soprattutto quelli indispensabili: username, password, URL del sito).

Questa attività si rende necessaria solo al primo utilizzo, per popolare il PM. Successivamente, ogni nuova voce potrà essere aggiunta in modo automatico dal password manager (funzione presente nei PM migliori).

In altre parole: grazie all’estensione del browser, il password manager può riconoscere se abbiamo creato un nuovo account/login e memorizzarlo nel suo database.

Precisiamo – e ne tratteremo anche in seguito – che ogni password manager richiede l’installazione della sua estensione sul browser che utilizziamo. Tali estensioni sono componenti aggiuntivi, conosciuti anche come plugin o add-on che vengono installate nei browser e ne ampliano le funzionalità e le interazioni con altri programmi. Tutti i principali password manager mettono a disposizione le estensioni per i browser più diffusi.

I vantaggi dei password manager

Sono molti i vantaggi che offrono i migliori PM presenti sul mercato:

  • serve ricordare una sola password: come detto, è la Master Password per aprirli;
  • offrono modelli standard da utilizzare per facilitare la compilazione delle principali tipologie di voci da inserire. Avremo quindi i template per: conto bancario, carta di credito, documento, login, account email, nota sicura, password Wi-Fi ecc.;
  • per ciascuna voce possiamo aggiungere e memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, foto di documenti o carte di credito, ecc. e personalizzarli a nostro piacimento. Questo li rende molto più pratici e completi rispetto ai password manager che sono presenti nativamente nei principali browser (Chrome, Firefox, Safari);
  • nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”. Tale crittografia è ritenuta inviolabile dai computer attuali. Quindi, anche se un attaccante riuscisse ad impossessarsi del file (vault) con le nostre password, non sarebbe in grado di decrittarlo;
  • hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con i migliori requisiti di sicurezza da adottare per le password;
  • la maggior parte dei PM integrano un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per completare il login. Questa funzionalità risulta eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali d’ A questo punto la lunghezza della password non sarà più un problema! Per utilizzarla occorre installare su ciascun browser l’estensione del password manager. Nei PM più evoluti l’autofill funziona non solo nei moduli di login, ma anche per il riempimento automatico dei dati delle carte di credito. Questo è molto pratico per evitare la – sconsigliabile – pratica di memorizzare i dati della carta di credito all’interno di un sito;
  • la funzione di riempimento automatico è implementata anche sulle applicazioni mobili (iOS ed Android) dei PM;
  • il riempimento automatico genera un ulteriore vantaggio: protegge dal Phishing scam. In altre parole, se siamo atterrati su una pagina di login attraverso un link di phishing, questo sarà falso, cioè diverso dall’URL del vero sito. Quindi la funzione di riempimento automatico fallirà, perché non trova corrispondenza tra l’URL in cui ci troviamo e quello salvato sul PM;
  • i PM non sono in grado di cambiare/aggiornare autonomamente le password nei siti, questa operazione dovrà ovviamente essere fatta dall’utente. Tuttavia, grazie all’estensione del browser, sono in grado di riconoscere il cambio della password (nel momento in cui viene fatto) e possono aggiornare automaticamente la password all’interno del loro database. In genere, prima di farlo, richiedono la conferma da parte dell’utente (per evitare aggiornamenti errati o non voluti).

Gli svantaggi dei password manager

I migliori PM sono sicuri e facili da usare, ma sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche i possibili errori che l’utente non dovrebbe fare nel loro utilizzo.

Segnalo solo tre possibili rischi (o svantaggi):

  • dimenticare la Master Password: nella maggior parte dei PM non esiste il solito pulsante Ho dimenticato la password” per recuperare la chiave d’accesso, proprio per ragioni di sicurezza. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene generata una chiave di sicurezza (lunga 32 caratteri almeno), da utilizzare in caso di emergenza. Ovviamente anche questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte;
  • farsi rubare la Master Password: conservare tutte le password in un unico archivio può essere rischioso, quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare. Questo è indiscutibilmente vero ed è – infatti – la principale critica che viene mossa da chi non apprezza i PM;
  • scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password ad un software creato da altri, perché un malintenzionato potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che è reale – consiglio di scegliere solo PM di aziende note ed affidabili. Vedremo quali sono i prodotti più consigliati.

Ci possiamo fidare dei password manager?

“Perché dovrei dare la mia password a qualcun altro per memorizzarla?”

Questa domanda che mi sento fare spesso, soprattutto nella mia attività di formazione, non è priva di senso.

Premesso che nella cyber security non esiste la sicurezza assoluta, i password manager rappresentano la miglior soluzione che compendia sicurezza e praticità.

I password manager affidabili utilizzano il metodo Zero-Knowledge encryption.

Significa che i fornitori dei PM non sanno nulla dei dati che gli consegnate. Li criptano prima che possano essere memorizzati sui loro server.

È una “busta sigillata”: non sanno cosa c’è dentro. Anche se loro o chiunque altro apre la busta, non saranno in grado di leggerla, perché è criptata con la master password, che solo noi conosciamo.

L’unico modo per perdere l’accesso al password manager è dimenticare la Master Password.

Proprio per effetto della Zero-Knowledge encryption, non c’è modo di leggere le password se non si ha la Master Password.

I migliori Password Manager a pagamento

Nel web e negli App Store si trovano decine, addirittura centinaia di password manager, ma non tutti sono uguali e soprattutto: non tutti sono ugualmente sicuri.

Elencheremo qui solo i prodotti più rinomati, suddividendo in due sezioni questa presentazione:

  • i prodotti a pagamento;
  • quelli gratuiti.

I password manager a pagamento utilizzano ormai nella maggior parte dei casi la formula in abbonamento, con un canone mensile o annuale.

Solo in alcuni casi sono disponibili formule in acquisto di una licenza perpetua.

Tutti offrono sia formule per uso personale che per uso aziendale (business).

Sono quasi sempre disponibili anche versioni trial gratuite, che danno accesso a tutte le funzionalità del prodotto ma per un periodo limitato. Poi sarà necessario procedere al pagamento.

Indicheremo per alcuni anche i prezzi, con l’avvertenza che tali quotazioni sono solo indicative, perché potrebbero variare per effetto di promozioni o aumenti.

LastPass (di LogMeIn)

LastPass può essere considerato uno del “leader di mercato”, per rinomanza, diffusione e qualità.

È disponibile sia in versione Personale che Aziendale. La versione aziendale permette all’amministratore di sistema di avere il controllo di tutte le password aziendali e di distribuire le differenti casseforti in modo granulare agli utenti.

Esiste anche la versione gratuita “Free” che può essere utilizzata senza troppe limitazioni (ma su un solo dispositivo).

LastPass richiede – come la maggior parte di questi PM – la creazione di un account.

Consente di impostare le password utilizzando template già predisposti: login, carta di credito, documenti e via dicendo.

Esistono le versioni per macOS, Windows, iOS, Android, Linux e Chrome OS. Disponibile anche per Windows Phone.

Offre inoltre una funzionalità di importazione delle password provenienti da altri PM, tra i quali tutti i più noti: 1Password, Clipperz, Dashlane, eWallet, FireForm, HP Password Safe, KeePass, oltre che dal gestore delle password di Google Chrome.

PREZZI:

  • sono mediamente un poco più bassi rispetto a quelli dei principali concorrenti;
  • la versione personale è offerta in modalità singolo utente a 2,90 €/mese ed in modalità Families (6 licenze Premium per facilitare la condivisione delle password) a 3,90 €/mese;
  • per le aziende esistono la versione Teams (massimo 50 membri) a 3,90 €/mese per utente e quella Enterprise (per un numero illimitato di utenti) a 5,90 €/mese per utente. Maggiori dettagli sul sito.

PRO:

  • versione gratuita utilizzabile con poche limitazioni;
  • indicatore della forza della password e strumenti di monitoraggio del dark web;
  • autenticazione a due fattori presente (per accedere all’account LastPass);
  • possibilità di generare le OTP per l’autenticazione a due fattori (con app collegata “LastPass Authenticator”);
  • mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • Alcuni tipi di dati personali non possono essere utilizzati per la compilazione automatica dei moduli.

1Password (di AgileBits)

1Password È un altro leader di mercato, probabilmente il principale concorrente di LastPass.
La società AgileBits (con sede a Toronto) è nata sviluppando un password manager per Mac già nel 2006. Anche per questo, 1Password è il PM più apprezzato soprattutto da chi utilizza dispositivi Apple.

Rispetto ai concorrenti si caratterizza per una grafica particolarmente curata, per i costi leggermente più alti e per l’assenza di una versione gratuita. Esiste solo la possibilità di provarlo gratuitamente per 30 giorni, al termine però sarà necessario sottoscrivere l’abbonamento a pagamento.

1Password è disponibile per tutti i sistemi operativi: macOS, Windows, iOS, Android, Linux ed anche ChromeOS. Sono disponibili le estensioni per Firefox, Chrome, Brave. Non occorre per Safari, perché incorporata nell’applicazione per macOS (a dimostrazione di come 1Password sia particolarmente legata al mondo Apple).

È un prodotto molto ben costruito, come si può vedere consultando le dettagliate pagine di supporto che spiegano in modo chiaro come è implementata la sicurezza.

Utilizza la crittografia AES a 256 bit per la cassaforte delle password (come anche LastPass) ed implementa l’algoritmo di derivazione della chiave PBKDF2 (Password-Based Key Derivation Function 2), con un valore di “iteration count” pari almeno a 10.000 iterazioni. Questo rappresenta una protezione molto efficace dagli attacchi brute force, come spiegato in questa pagina di supporto dell’azienda.

1Password utilizza anche una tecnica di Secure input fields, ovvero una modalità di immissione sicura per impedire ai keylogger di leggere ciò che si digita all’interno di 1Password.

È molto completo e ricco di funzionalità. Tra queste segnaliamo il tool Watchtower, che individua se le nostre password sono state compromesse o sono vulnerabili. Per fare questo consulta il noto sito Have I Been Pwned realizzato da Troy Hunt.

Ha, inoltre, la capacità di riconoscere quando viene aggiornata una password o ne viene aggiunta una nuova: in tal caso ci chiederà se vogliamo aggiungerla in 1Password. Quindi, fatta la prima inevitabile compilazione delle password (all’installazione dell’applicazione), poi le successive credenziali (username, password, URL del sito) si aggiorneranno automaticamente. Questa funzionalità è implementata anche in altri PM, ma non in tutti funziona in maniera perfetta.

Da rimarcare anche il servizio clienti: 1Password offre inoltre un ottimo blog, dove si possono trovare le risposte per quasi tutti i problemi dell’applicazioni. Qualora non fosse sufficiente, un efficiente servizio clienti risponde (via email) nel giro di poche ore.

Tra le molte istruzioni che si possono trovare nel blog di supporto, troviamo anche il procedimento per importare le password provenienti da altri PM, tra i quali: LastPass, Dashlane, Encryptr, RoboForm, SpashID, oltre che dal gestore delle password di Google Chrome.

Come LastPass offre sia la versione Personal/Family che quelle Business/Enterprise.

PREZZI:

  • Personal: 35,88 $/anno, oppure 2,99 $/mese;
  • Family (5 membri): 59,88 $/anno, oppure 4,99 $/mese;
  • Team: 47,88 $/utente/anno, oppure 3,99 $/mese;
  • Business: 95,88 $/utente/anno, oppure 7,99 $/mese;
  • Enterprise: quotazioni a richiesta.

PRO:

  • grafica molto curata ed intuitiva;
  • facilità d’uso;
  • autenticazione a due fattori presente (per accedere all’account 1Password);
  • possibilità di generare (e memorizzare) codici TOTP per i siti che supportano per l’autenticazione a due fattori;
  • mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • opzioni di importazione limitate;
  • versione gratuita non presente (solo trial limitata a 30 giorni).

Dashlane

Dashlane è un altro password manager molto noto, presenta caratteristiche molto simili a LastPass, ma offre un’interfaccia più fluida.

L’applicazione è disponibile per tutte piattaforme più popolari, è altamente configurabile ed è uno dei pochi gestore di password che include una VPN di base.

Offre anche un piano gratuito che include funzioni avanzate, ma che supporta solo fino a 50 password e un solo dispositivo. È più costoso di LastPass.

PREZZI:

  • Il piano Premium individuale costa 3,33 €/mese (ovvero 39,99 € fatturato annualmente), rimuove il limite delle password e le sincronizza sul cloud e su tutti i dispositivi. Consente inoltre di memorizzare file sensibili e dispone di funzioni di sicurezza aggiuntive come il monitoraggio del dark web e una VPN.
  • Il piano Family Premium costa invece 4,99 €/mese (59,99 €/anno) e gestisce fino a 6 utenti, con password e dispositivi illimitati, monitoraggio per il dark web, autenticazione a due fattori e VPN.

I piani aziendali sono di due tipi (entrambi con possibilità di prova gratuita di 30 giorni):

  • TEAM: a 5,00 € al mese per utente con fattura annuale (60,00 €/anno/utente),
  • BUSINESS: a 8,00 € al mese per utente con fattura annuale (96,00 €/anno/utente).

PRO:

  • grafica curata;
  • sincronizzazione su tutti i dispositivi Windows, macOS, Android e iOS;
  • molto completa: presenti tutte le avanzate per la gestione delle password;
  • include la protezione con VPN;
  • scansiona il Dark Web alla ricerca di account compromessi.

CONTRO:

  • costoso;
  • la versione gratuita non sincronizza tra i dispositivi.

Keeper

Keeper è abbastanza completo, offre anche una versione gratuita che funziona su un singolo dispositivo e una prova gratuita di 30 giorni.

Nel complesso, un PM valido, ma non al livello dei concorrenti precedentemente elencati.

PREZZI:

Nella versione base a pagamento per singolo utente costa € 3,55 al mese (€ 42,69 con fatturazione annuale). È un po’ meno costoso di 1Password e Dashlane ma con meno funzioni. Se si integra con le funzioni aggiuntive (piani MaxBundle e PlusBundle) diviene significativamente più costoso rispetto ad altri gestori di password: rispettivamente 6,82 €/mese e 5,67 €/mese.

Costoso anche il piano Famiglia (per 5 utenti): rispettivamente 7,62 €/mese (base), 15,12 €/mese (MaxBundle) e 10,52 €/mese (PlusBundle).

Ci sono poi due versioni aziendali, a prezzi in questo caso interessanti:

  • Keeper Business a 3,75 €/mese/utente;
  • Keeper Enterprise a 5,00 €/mese/utente.

PRO:

grafica elegante;

autenticazione a due fattori presente;

mantiene la cronologia completa delle password precedentemente usate.

CONTRO:

  • versione gratuita con molte limitazioni.

I migliori password manager gratuiti

Sono disponibili anche alcuni interessanti PM gratuiti.

Il fatto che non siano a pagamento non deve destare sospetto, perché si tratta di prodotti appartenenti alla logica dell’open source. Consiglio comunque di evitare di uscire dalla cerchia dei prodotti che indicheremo, per non incappare in PM gratuiti ma di dubbia reputazione o con finalità truffaldine.

KeePass

KeePass è sicuramente il PM gratuito più diffuso.

Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina di download si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linux, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere.

Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente).

Un prodotto gratuito, ma il cui utilizzo può risultare ostico per un utente non particolarmente evoluto.

PRO:

  • gratuita;
  • open source;
  • molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce;
  • possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud).

CONTRO:

  • grafica poco curata;
  • installazione poco intuitiva, soprattutto per i plugin aggiuntivi;
  • compilazione automatica dei moduli non è di default, ma deve essere aggiunta con plugin di terze parti.

Bitwarden

Bitwarden è un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso.

Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi browser: oltre ai più noti, esiste l’estensione anche per i browser Opera, Brave, Tor, Vivaldi.

Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

Molto sicuro: i dati sono criptati con algoritmo AES-256, salted hashing, e PBKDF2 SHA-256.

Il codice sorgente è pubblicato su GitHub.

È gratuito, quindi tutte le funzionalità sono disponibili senza dover pagare un abbonamento.

Sono presenti, in realtà, anche alcune opzioni a pagamento, peraltro non necessarie per la gran parte degli utenti e comunque meno costose dei più noti PM a pagamento.

L’opzione Premium costa 10 $/anno ed offre qualche funzionalità aggiuntiva (per esempio TOTP per l’autenticazione a due fattori).

Potrebbe essere utile, in ambito aziendale il piano Teams a 3,00 $/mese/utente, che permette di gestire i gruppi di utenti.

Bitwarden è dunque un ottimo prodotto, molto completo già nella versione gratuita e preferibile al più noto, ma meno curato, KeePass.

PRO:

  • gratuita, comunque economica;
  • grafica abbastanza curata;
  • facilità d’uso;
  • supporta autenticazione a due fattori tramite Yubikey o FIDO;
  • genera codici TOTP per i siti che supportano 2FA;
  • codice sorgente pubblico.

CONTRO:

  • supporto per iOS piuttosto limitato

Altri Password Manager

In conclusione, elenchiamo anche altri prodotti presenti nel mercato. A parere di chi scrive non sono ai livelli di quelli precedentemente recensiti, ma possono essere comunque ritenuti affidabili, quindi da considerare e provare.

  • RoboForm Everywhere. Prodotto completo, ma che non ha ancora raggiunto le funzionalità dei PM di punta. Versione RoboForm Free gratuita, RoboForm Everywhere a pagamento (da16,68 $/anno).
  • Sticky Password. Disponibile in versione gratuita ed a pagamento (159,00 € lifetime, oppure 26,95 €/anno).
  • McAfee True Key. Funzioni di base, mancano alcune funzioni avanzate ed il supporto per Safari (macOS). Gratuita la versione base, $19,99 all’anno quella Premium.
  • Zoho Vault. Prodotta dalla nota Zoho, versione gratuita e versioni a pagamento (Professional 3,60 €/mese, Enterprise 6,30 €/mese).
  • Kaspersky Password Manager. A pagamento 13,99 €/anno, per Windows, Mac, Android, iOS.
  • LogMeOnce Password Management Suite Ultimate. Offre un vasto numero di funzioni, che hanno un costo extra. L’installazione di tutte le funzioni è abbastanza costosa e rende l’applicazione complicata. Versione gratuita e versioni a pagamento (Professional 2,50 €/mese, Ultimate 3,25 €/mese, Family 4,99 €/mese).
  • Password Safe. Gratuito, open source, progettato dal famoso crittografo Bruce Schneier.
  • Passbolt. Gratuito, open source, made in in Luxembourg, basato su OpenPGP (usa GnuPG per autenticare gli utenti).

I password manager integrati nei browser

In conclusione, riteniamo utile fare un accenno anche all’utilizzo dei browser come password manager.

Mi viene spesso posta la domanda: È sicuro salvare le proprie password nei browser?”.

Fino a qualche tempo fa, la mia risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM.

Esaminiamo come i principali browser trattano e conservano le password.

Safari per MacOS

Le password possono essere archiviate all’interno del Portachiavi iCloud, che permette di condividere gli account e le password salvati in tutti i dispositivi che abbiamo lo stesso ID Apple.

Il Portachiavi iCloud (Keychain) è effettivamente un password manager, perché le password in esso salvate sono protette da crittografia, Apple indica genericamente l’uso di “Codifica minima AES a 128 bit” (quindi crittografia simmetrica) e di “codifica end-to-end” (senza ulteriori dettagli).

Possiamo considerarlo ragionevolmente sicuro (non a livello dei migliori PM), ma sicuramente molto povero di funzionalità. In pratica archivia esclusivamente: username, password e URL. Non permette di aggiungere altre voci, come è invece possibile nei PM.

Google Chrome

In modo simile a Safari, permette di salvare le password su Chrome sotto il proprio Account Google/Android e sincronizzarle su tutti i dispositivi connessi a quell’account.

Le password così salvate possono essere gestite dal Gestore delle password” di Google.

Non è chiaro quale sia il livello di crittografia utilizzato. Google si limita ad affermare genericamente che Proteggiamo questi dati con più livelli di sicurezza che includono tecnologie di crittografia all’avanguardia, come il protocollo HTTPS e lo standard Transport Layer Security (TLS)”.

Sulle password salvate, attraverso il menù “Controlla password” viene eseguito un controllo per verificare se:

  • sono state compromesse nell’ambito di una violazione dei dati;
  • sono potenzialmente inefficaci e facili da indovinare.

Inizialmente Chrome eseguiva questo controllo con lo strumento Password Checkup, introdotto nella versione 78, rilasciata il 22 ottobre 2019.

L’estensione Password Checkup è stata poi eliminata dal 31 agosto 2020, perché il servizio di controllo password è stato integrato in Chrome e può essere gestito mediante l’impostazione di sicurezza “Controlla password”.

L’accesso alle password salvate in Chrome richiede esclusivamente la conoscenza della password principale del computer, non è richiesta una password dedicata. Questo rappresenta un elemento che rende meno sicuro Chrome rispetto ad un PM che invece va sbloccato con la Master Password (e meno sicuro anche rispetto a Firefox, come spiegheremo sotto).

Inoltre, come per Safari, anche in Chrome i dati che possono essere memorizzati sono quelli strettamente necessari, non è possibile aggiungerne altri opzionali.

Mozilla Firefox

In Firefox è stato creato un gestore delle password denominato “Firefox Lockwise”, che è stato introdotto nel maggio 2019. Da Firefox versione 70 (oggi è arrivato alla 91), Lockwise è integrato nel browser ed esiste anche come applicazione per iOS ed Android.

È a tutti gli effetti un password manager, senz’altro più avanzato rispetto a quello di Chrome, meno completo rispetto ai PM precedentemente citati.

Dichiara di utilizzare la crittografia a 256 bit (quindi in linea con i PM più qualificati) ed inoltre permette (opzionalmente) di impostare una “password principale”, in pratica una master password differente da quella principale del computer. Questa password principale viene richiesta per visualizzare e/o modificare le password salvate in Lockwise.

A partire dalla versione di Firefox 76, viene anche eseguito un controllo su password potenzialmente vulnerabili che siano state salvate in Lockwise. Il browser Firefox esegue questa verifica interrogando in forma crittografata il famoso sito Have I been Pwned?.

Questo sito, creato a fine 2013 dall’australiano Troy Hunt, ha ormai acquisito una fama mondiale ed è utilizzato anche dai CERT di molti stati per indagare su eventuali data leak sui loro domini governativi. Con il recente accordo con il proprio TR-CERT, la Turchia è diventata il 26° governo ad avere un accesso completo e gratuito ad HIBP attraverso API.

Per ragioni di sicurezza, tuttavia, il browser non invia l’intera password al sito “Have I been pwned?”, ma viene utilizzata una tecnica nota come k-anonymity. In pratica: viene calcolato in partenza l’hash SHA-1 della password da esaminare. Di tale hash viene inviata a HIBP solo una prima parte (i primi cinque caratteri). Una API di Pwned Passwords ricava dal proprio archivio tutti gli hash che hanno corrispondenza con i cinque caratteri ricevuti e li ritorna (tutti) al servizio da cui è partita l’interrogazione. Questo verificherà se tra gli hash ricevuti è presente anche quello corrispondente alla password esaminata. In tal caso la password verrà segnalata come compromessa e non sicura.

In questo modo, la password non verrà mai inviata all’esterno per intero.

Un’ulteriore funzionalità presente in Firefox Lockwise permette di verificare anche se il proprio indirizzo email è stato coinvolto in una violazione di dati: questo servizio si chiama Firefox Monitor ed anche in questo caso utilizza la banca dati sui data breach forniti da Have I Been Pwned.

Possiamo ritenere che Firefox Lockwise si collochi ad un livello di sicurezza superiore a quello di Chrome.

In conclusione

I gestori di password incorporati nei browser hanno un grosso limite in termini di funzionalità, non permettendo di salvare tutti quei dati supplementari che possono essere aggiunti invece nei PM veri e propri (e che li rendono un vero e proprio “taccuino segreto”).

Sono utili solo per lo sblocco con password in una pagina di login e poco di più.

Inoltre utilizzano livelli di sicurezza e di crittografia sicuramente inferiori rispetto ai PM più evoluti, con un livello migliore – come già spiegato – per Firefox Lockwise, rispetto a Chrome.

Consigliamo per questo di utilizzare un vero password manager, scegliendolo tra quelli di migliore qualità: ci sarà richiesta una prima fase di “apprendimento” appena più complicata rispetto all’abitudine del salvataggio delle password sul browser, ma i vantaggi in termini di sicurezza e praticità saranno notevoli e non paragonabili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5