Nuova puntata del Podcast Cronache Digitali, che puoi ascoltare cliccando qui.

Ascolta "Cyber Security: Password Manager. Cosa sono e perché devi usarli." su Spreaker.

Oggi vi lascio anche il contributo con questo post perché l'argomento è molto interessante e certamente andrà approfondito.

Le password sappiamo oramai essere la croce e delizia del mondo digitale: oggi tutti i sistemi e le applicazioni ai quali abbiamo accesso, ci richiedono una password.

Questa password, assieme al nostro codice identificativo, chiamato anche username, ci permette prima di tutto di identificarci, ovvero di dire al sistema "hey, sono io", così che poi l'applicazione risponda in funzione del mio profilo utente.

Da qui emerge subito il problema principale: se qualcuno entra in possesso delle nostre credenziali, username e password, di fatto ruba la nostra identità digitale: può di conseguenza entrare ed usare una applicazione al posto nostro, proprio come fossimo noi a svolgere l'attività.

Tutto questo potrebbe non essere rilevante se le credenziali rubate forniscono l'accesso alla nostra app preferita per fare fitness in casa, ad esempio. Ma se invece queste credenziali servono per accedere al nostro conto bancario? Oppure alla nostra email? O al sistema di gestione delle macchine automatiche della nostra azienda? Oppure al portale dei pagamenti fornitori o delle buste paga dell'impresa in cui lavoriamo?

Penso sia superfluo sottolineare i danni che un furto del genere possa creare.

Per proteggere le nostre credenziali una delle prime pratiche è quella di attivare il secondo fattore di autenticazione, ovvero un codice ulteriore che l'applicazione ci invia su un dispositivo (di solito il nostro smartphone) dopo aver inserito la password. Su questo sistema farò una puntata ad hoc perché ci sono alcune cose interessanti da raccontare.

Rimane comunque il problema principale: oggi le password che dobbiamo ricordarci sono decine, o meglio, centinaia. Tutte diverse, tutte complesse, composte da sequenze di caratteri non solo alfanumerici. Impossibile ricordarle. Da qui, l'uomo cerca spesso una scorciatoia: password simili tra loro, facili da ricordare, magari che contengono parole familiari.

Ecco, questo è quello su cui fanno leva i criminali informatici, il così detto fattore umano: password così costruite, sono molto deboli, ovvero diventano facili da riuscire a scoprire spesso anche grazie ad attività di social engineering.

La soluzione esiste, anzi ne esiste più d'una, per fortuna. Da un lato ci sono alcuni che preferiscono utilizzare il così detto passphrase, ovvero un insieme di parole che compongono la nostra password. Ad esempio: "cane automobile carota 12 fiori". Una password di questo tipo ha un buon livello di sicurezza e - con il giusto allenamento - può essere ricordata. Personalmente però non consiglio questo metodo perché rimane comunque il problema di dover memorizzare un numero molto elevato di password e lo sforzo da compiere per ricordarle tutte è decisamente importante. Il rischio è che la persona si lasci tentare di scriverle da qualche parte sul PC...e qui saremmo punto a capo.

La soluzione che io consiglio è quella di utilizzare un Password Manager.

Un Password Manager è un software che crea le password al posto nostro, le memorizza e ci permette di richiamarle all'occorrenza. Esistono varie tipologie di Password Manager, che possono adattarsi alle esigenze di singole persone, di piccoli team, o grandi aziende.

Una delle critiche che più se sente quando si parla di Password Manager è: "ma chi mi garantisce che nessuno possa accedere alle mie password?".

Diciamo che con le tecnologie attuali e quindi i livelli di crittografia che vengono applicati alle nostre password, anche il Password Manager in realtà non potrebbe leggerle. Un altro tema è dove siano memorizzate le password. Esistono alcuni password manager che le memorizzano in cloud e questo porta tra i vari vantaggi quello di averle sempre disponibili su tutti i dispositivi, che si sincronizzano automaticamente ogni volta che aggiungiamo, modifichiamo o eliminiamo una password. Poi ci sono password manager che invece lavorano in locale, permettendo all'utente - di norma medie e grandi organizzazioni - di crearsi un data base locale magari nel proprio data center, così da evitare l'utilizzo del cloud.

Oggi quindi, proprio a causa dell'elevato numero di credenziali di accesso, l'uso di un Password Manager diventa a mio avviso obbligatorio: sia per le singole persone, che per le organizzazioni.

Tra l'altro, i prodotti disponibili in commercio si sono evoluti molto negli ultimi anni, ed oggi hanno prestazioni e funzioni molto interessanti ad un prezzo decisamente accessibile a chiunque. Vediamone alcuni.

1Password.

Vi dico subito che è il password manager che utilizzo personalmente. Salva tutte le password, ovviamente crittografate, in cloud, così da poterle avere sempre aggiornate su diversi dispositivi. Grazie alle app per iOS e Android ed ai plug in per i vari browser, avete sempre a portata di mano ciò che vi serve. Molto interessante la funzione watch tower che verifica se ci sono stati data breach che possono essere associati alle nostre password, avvertendoci. Concludo dicendovi che 1Password è entrato a far parte della FIDO Alliance e che dal 2023 inizierà ad utilizzare la modalità Passkey per autenticarsi: ho provato la versione beta ed è veramente interessante oltre che comoda. In sostanza grazie al Passkey, non dovremmo più digitare la password per effettuare l'accesso, ma il sistema utilizzerà la verifica biometrica (o hardware) presente sul nostro dispositivo. Vi terrò aggiornati su questa funzione perché credo vada approfondita. 1Password è una app a pagamento, circa 35€ all'anno per la versione personale.


LastPass.

LastPass è un altro Password Manager molto utilizzato. Ricco di funzionalità, tra cui sincronizzazione tra i dispositivi, condivisione sicura delle password, integrazioni con tutti i browser, esiste sia nella versione personal che in quella business (così come 1Password). E' anch'esso quindi un password manager di tutto rispetto ricco di funzionalità e con una ottima user experience. LastPass ha - a differenza di 1Password - anche un piano gratuito. Una nota: negli ultimi mesi LastPass è stato vittima di due attacchi informatici che hanno portato ad un furto di informazioni interne: voglio sottolineare che tutte le password degli utenti non hanno subito alcuna manomissione o altro. Certo, a livello di immagine, è difficile per una società che custodisce le password dei propri clienti, gestire un attacco del genere.

Questo post è solo per gli iscritti

Iscriviti ora per leggere il post e far parte della community. E' gratis, veloce e sicuro.

Iscriviti ora Hai già un account? Accedi