I password manager sono tutti progettati per farvi ricordare centinaia di password univoche, in modo da ridurre al minimo i rischi legati alla sicurezza. Ci sono molti tra cui scegliere, pertanto diamo un’occhiata a questi strumenti e come si accumulano contro l’altro in termini di sicurezza.
Salvataggio account di accesso nel browser
IE, Chrome, Firefox e altri browser possono salvare i dati di accesso e le informazioni di base per la compilazione dei moduli in automatico. Questo è comodo, perché non c’è bisogno di scaricare o creare un’altra applicazione, ma non è l’opzione più sicura e robusta.
Come funzionano: il browser memorizza le password in database crittografati o voci di registro memorizzati in una cartella locale sul computer. Se il browser ha una funzione per sincronizzare i dati tra i computer e altri dispositivi, le informazioni vengono salvate nel formato crittografato su un profilo on-line (ad esempio, Google se utilizzate il vostro account Google Chrome o Firefox Sync su Mozilla).
Carenze di sicurezza: il più grande problema con il salvataggio delle password nel browser è che non è difficile per qualcuno riuscire ad accedere al computer e a tutte le vostre password. In Chrome, per esempio, voi (o qualcuno che hackera il vostro computer) potete solo recarvi nelle impostazioni del browser e fare clic sul pulsante Mostra nella scheda Preferenze per visualizzare le password salvate. Internet Explorer è più sicuro in quanto non consente di visualizzare le password salvate e non permette di sincronizzare i dati tra computer. Sia IE che Chrome, tuttavia, utilizzano la password di accesso del computer, come la cifra per i dati crittografati. A causa di questo, le password possono essere rivelate con strumenti come WebBrowserPassView. Se utilità di terze parti come questo sono in grado di recuperare i dati, i malware in esecuzione con l’account utente potrebbero anche essere in grado di accedere ai dati.
Opzione più sicura: WebBrowserPassView non può recuperare le password che sono criptate con una password principale. Questo rende Firefox il più sicuro di questi tre browser quando si tratta di gestione delle password, in quanto è possibile crittografare e proteggere con password i dati di accesso in Firefox con una master password. Se non si imposta la master password in Firefox (che non è abilitato per impostazione predefinita), però, si è vulnerabile agli stessi problemi di sicurezza se il computer entra nella mani sbagliate.
Password manager web-based
I gestori di password web-based sono utili per salvare i dati di accesso nel vostro browser. Queste applicazioni web offrono funzionalità più robuste come la generazione casuale di password sicure, la verifica delle vostre password e la memorizzazione di ulteriori informazioni riservate (numeri di carte di credito, assicurazioni, note, ecc).
Come funzionano: password manager online come LastPass e Roboform Everywhere crittografano il database delle password, dandovi un’unica chiave d’accesso che solo voi conoscete. Tutta la crittografia e la decrittografia avvengono localmente sul proprio computer.
Carenze di sicurezza: la password principale dev’essere molto forte e non si deve utilizzare la stessa password su altri siti.
Opzione più sicura: LastPass è il leader dei gestori di password online, perché è sia facile da usare. LastPass ha delle opzioni di sicurezza che consentono di un’autenticazione a due fattori, limitare gli accessi in base al paese e consentire altre funzioni, ad esempio un indirizzo mail dedicato alla sicurezza e limitato all’accesso mobile.
Gestori di password da desktop
I gestori più sicuri non memorizzano i dati sul web.
Come funzionano: i password manager locali funzionano in modo simile a quelli on line. Hanno caratteristiche simili ai generatori di password, auto compilazione dei moduli, note messe al sicuro e così via. Salvare il database crittografato sul computer, piuttosto che sul web. Quelli popolari sono KeePass, 1Password, SplashID e la versione desktop di Roboform.
Carenze di sicurezza: la più grande debolezza per i gestori di password desktop è la mancanza di accessibilità. Senza alcune soluzioni, non si ottiene il comodo accesso alla sincronizzazione dei dati di accesso da qualsiasi dispositivo, che potrebbe essere un ostacolo per le persone che utilizzano effettivamente molto i gestori di password. Per molti di questi, è possibile sincronizzare il database tra computer che utilizzano Dropbox, ma che riporta il rischio legato al cloud storage.
Opzione più sicura: KeyPass vince non solo per essere l’unico open source, ma anche per avere una grande schiera di caratteristiche di sicurezza e le più informazioni approfondite sulla sua sicurezza. Il programma protegge contro gli attacchi alla master password, mantiene le password crittografate, mentre il programma è in esecuzione, e dispone di sicurezza avanzata, i controlli di modifica della password. È possibile utilizzare un key file invece di una master password per una maggiore sicurezza o combinare il file di chiave e la password per bloccare i vostri dati. KeePass è anche portatile e supporta tanti plugin.
SplashID è il meno costoso e può sincronizzare via Wi-Fi il desktop e le edizioni mobili. 1Password è un po’caro, ma ha una bella interfaccia e un’eccellente integrazione con il browser. Roboform è un’applicazione desktop solo per Windows, crea una password solida, auto-fill del browser, con il quale instaura una perfetta integrazione e la generazione di password casuali.
Che cosa si deve utilizzare?
In breve, un gestore di password desktop come KeePass è l’opzione più sicura ma meno conveniente. Le opzioni cloud-based (ad esempio, LastPass) sono sicuramente più convenienti e sicure e proteggono maggiormente da furti di password.
2 commenti su “Gestori di password, qual è il migliore?”