Cos’è un password manager?

Partiamo dalla definizione fornita da Wikipedia:

“Un gestore di password è un software che consente agli utenti di archiviare, generare e gestire le proprie password per applicazioni locali e servizi online.”

La definizione è chiara. Un password manager è un software che, utilizzando un database come una cassaforte digitale, permette di organizzare e proteggere tutti i dati di accesso relativi ai tuoi account. Questi dati vengono memorizzati in formato crittografato. Oltre alle password, è possibile archiviare anche note, numeri di carte di credito, numeri di telefono e qualsiasi altra informazione rilevante.

Una funzionalità interessante di questi programmi è la capacità di generare password totalmente casuali, complesse e uniche. Queste caratteristiche sono fondamentali per evitare di utilizzare password prevedibili e deboli che potrebbero causare problemi di sicurezza.

Qualora ti fosse sfuggito, ho precedentemente scritto un articolo sulle password deboli. Ti consiglio di dargli un’occhiata!

Come una chiave apre una cassaforte, il database del password manager è accessibile solo tramite una “master password” scelta da te. È importante non dimenticare questa password. Ricorda che la stessa attenzione nella scelta di password robuste si applica anche alla master password, poiché è l’unico modo per accedere al tuo “caveau” digitale.

1password.com

Come funziona?

Tutte le credenziali possono essere organizzate e raggruppate in cartelle, ognuna delle quali può essere rinominata in base alla categoria di credenziali. Ad esempio: Social network, E-Commerce, Home Banking, ecc…

Quando hai bisogno di effettuare il login a un account, basta copiare le credenziali relative a quel servizio dal password manager e incollarle nei campi di accesso dell’account. È semplice e immediato, non devi ricordare alcuna password. Alcuni password manager offrono anche una funzione di riempimento automatico che automatizza l’intero processo di copia e incolla.

Un password manager offre una serie di vantaggi che lo rendono praticamente indispensabile oggigiorno. Insieme a quest’ultimo è altamente consigliato utilizzare anche l’autenticazione a più fattori (MFA) per garantire un ulteriore livello di sicurezza.

“La sicurezza è un processo, non un prodotto.”

Quali tipologie di password manager esistono?

Abbiamo visto cos’è un password manager, a cosa serve e perchè è indispensabile usarne uno. Ma quali tipologie esistono? Innanzitutto facciamo distinzione fra due principali categorie. La prima categoria comprende i password manager basati sul web, che sono comodi e accessibili da qualsiasi browser. In questo caso, il tuo “caveau” contenente le tue informazioni di accesso crittografate risiede in uno spazio di archiviazione cloud fornito dal provider del servizio. È facilmente accessibile da qualsiasi dispositivo previa tua autorizzazione.

La maggior parte dei password manager basati sul web fornisce anche un’applicazione da installare su smartphone e computer o un’estensione da aggiungere al tuo browser preferito. Questa estensione può includere una funzione di riempimento automatico che inserisce i tuoi dati di accesso nei campi corrispondenti di un sito web durante la procedura di login. Questa categoria è comoda perché puoi accedere ai tuoi dati ovunque ti trovi.

La seconda categoria comprende i software offline, che non sono basati sul web ma vengono scaricati e installati localmente sul tuo PC o smartphone. In questo caso, non puoi utilizzare il password manager tramite il browser. Inoltre, il tuo database crittografato, ovvero il tuo “caveau”, rimane localmente sui tuoi dispositivi e sotto il tuo completo controllo.

È tua responsabilità prenderti cura dei tuoi dati di accesso effettuando regolari backup per evitare la perdita delle tue informazioni in caso di imprevisti. Dovrai anche assicurarti che il tuo database sia protetto in modo sicuro. Se utilizzi un password manager offline, puoi scegliere di caricare il database crittografato su un servizio di archiviazione cloud di terze parti come Google Drive o Dropbox, oppure puoi utilizzare un servizio di cloud storage self-hosted come Nextcloud per sincronizzare il database con altri dispositivi. Tutto dipende dalle tue esigenze e preferenze.

È importante notare che ci sono password manager sia a pagamento, con abbonamenti mensili o annuali, che gratuiti. Tuttavia, il fatto che un password manager offra piani a pagamento non significa necessariamente che sia più sicuro rispetto a quelli gratuiti. Semplicemente, sottoscrivendo un abbonamento, avrai accesso a funzionalità aggiuntive o vantaggi che potrebbero essere utili a seconda delle tue esigenze, che siano personali o aziendali.

Solitamente lo stesso prodotto offre sia una versione gratuita che diverse soluzioni a pagamento.

Ecco alcuni esempi di ottimi password manager web-based che ho avuto modo di provare:

ProtonPass - In realtà, quando si tratta dei servizi Proton in generale, c’è poco da aggiungere. Che si tratti del servizio di posta elettronica, della VPN o di qualsiasi altro servizio annesso, sono a mio avviso tutti fantastici ed efficienti. Oltre a ProtonVPN, utilizzo Proton Mail fin dalla sua fase beta, quando era possibile richiedere un invito per ottenere la prima e-mail con dominio protonmail.ch. Comunque sia, tornando al gestore di password, ti esorto ad esplorare direttamente sul sito le caratteristiche di ProtonPass, che si integra perfettamente con tutti gli altri servizi. Ovviamente, è disponibile sia in versione gratuita che a pagamento; puoi trovare le differenze qui: https://account.proton.me/it/pass/signup

Bitwarden - Bitwarden offre una gamma di opzioni che include sia un piano gratuito che dei piani premium, tra i quali il più conveniente disponibile a meno di 1 dollaro al mese. Se vi è possibile, suggerisco vivamente di prendere in considerazione quest’ultimo, non tanto per accedere a chissà quali funzionalità aggiuntive, ma piuttosto per sostenere il fantastico lavoro svolto dagli sviluppatori. Apprezzo particolarmente Bitwarden per la sua flessibilità, inclusa la possibilità di auto-ospitare il servizio su infrastrutture personali come server privati o persino su quel Raspberry Pi che hai collocato sotto la scrivania :P. Per facilitare questa opzione, puoi sfruttare strumenti come VaultWarden

1password - Offre una prova gratuita di 14 giorni e successivamente richiede un abbonamento premium a 2,99 dollari al mese. Le sue funzionalità lo rendono sicuramente un’opzione valida.

Oltre ai password manager basati sul web, esistono anche alcune opzioni non web-based, open source e gratuite che potresti considerare:

KeepassXC - Disponibile per Windows, MacOS e GNU/Linux, KeePassXC è un gestore di password altamente sicuro e versatile. Supporta la crittografia avanzata e offre una vasta gamma di funzionalità. Il database di KeePassXC è compatibile con Keepass2Android, un’app specifica per il sistema operativo Android.

Pass - Rivolto agli utenti appassionati di interfaccia a riga di comando, Pass è un password manager open source che è volutamente privo di un’interfaccia grafica. È disponibile solo per GNU/Linux e MacOS. Se sei un amante della riga di comando e hai competenze in tal senso, potresti apprezzare la semplicità e l’efficacia di Pass.

Keepass2Android - Se sei un utente Android e stai utilizzando KeePassXC come password manager sul tuo computer, puoi utilizzare KeePass2Android come app complementare per accedere alle tue credenziali in modo sicuro dal tuo dispositivo mobile. L’app sincronizza il database con KeePassXC e offre funzionalità di gestione delle password direttamente sul tuo smartphone.

Quale scelgo tra questi?

Questo dipende unicamente da te. Ti consiglio di valutare diverse opzioni, esplorare a fondo il web, e se necessario, chiedere consigli. Indipendentemente dalla tua scelta, assicurati di optare per un password manager sicuro e affidabile, evitando quelli poco conosciuti, di dubbia provenienza o che sono stati vittime di incidenti significativi, come è accaduto con LastPass nel 2022. Ricorda che l’utilizzo di un password manager è sempre preferibile rispetto a non utilizzarne affatto. Nei limiti del possibile cercherò di mantenere costantemente aggiornata la lista dei password manager consigliati, poiché eventuali cambiamenti delle politiche sulla privacy e i vari incidenti, possono influenzare la loro raccomandazione nel tempo.

Riepilogando

  1. Abbandona le vecchie convinzioni secondo cui le password andrebbero generate e ricordate a memoria.
  2. Evita l’uso di post-it, foglietti o quadernetti per annotare le tue password.
  3. Smetti di utilizzare la stessa password su più account.
  4. Scegli e ottieni il password manager che più ti aggrada dal relativo sito web.
  5. Genera una master password ragionevole, tenendo conto delle considerazioni discusse in precedenza.
  6. Abilita l’autenticazione a due o più fattori utilizzando un’app di autenticazione affidabile o una chiave hardware di sicurezza, come YubiKey. Evita l’utilizzo del servizio SMS, poiché è vulnerabile al simjacking e agli attacchi di tipo MITM (Man-In-The-Middle).
  7. Gestisci e organizza le tue credenziali generando password robuste.

Ora sei pronto per iniziare a gestire la tua vita digitale in modo più consapevole e responsabile.