In un mondo sempre più tecnologico i dati sono diventati preziosi come i gioielli.
Se proteggiamo i nostri oggetti di valore in una cassaforte e conserviamo la chiave al riparo da sguardi indiscreti, allo stesso modo è diventato fondamentale difendere i nostri dati con password efficaci e sicure. Altrettanto importante è sapere dove conservare le password affinché nessuno possa rubarle.
Ma come fare?
La memoria umana senza dubbio è un riparo inespugnabile. Tuttavia, l’esigenza di modificare periodicamente le password, la presenza di molteplici account e la necessità di utilizzare password sicure e differenti per ogni account fa si che si che l’utente ricorra ad uno strumento per la gestione centralizzata delle password: i password manager.
A questo punto, la scelta migliore ricade sull’implementazione di una soluzione di password manager.
Che cosa sono i password manager? Come funzionano? Sono davvero sicuri?
In questo articolo troverete tutte le risposte che cercate.
Sommario degli argomenti
Se già per i privati le password sono spesso l’unica barriera di sicurezza tra i dati e i cybercriminali, per aziende la situazione è ancora più complessa e delicata.
Innanzitutto, ci sono molte più persone che accedono ai dati.
Di conseguenza, da un lato si può avere bisogno di condividere alcune password, dall’altro, anche se questo non fosse necessario, il numero di dispositivi collegati ad una rete aziendale non sarebbe confrontabile con quello di una rete domestica.
Purtroppo, però, né la formazione del personale a tema sicurezza informatica né, tantomeno, la semplice richiesta di usare password efficaci sono strumenti sufficienti per garantire una corretta gestione delle credenziali. Ecco che i password manager nascono proprio per questo motivo.
Un sistema di password manager consente di impostare e aggiornare le password, garantendo che rispettino gli standard di sicurezza, che rispettino gli standard di lunghezza e complessità, aiutando così a proteggere le aziende che, sempre più spesso, sono tra gli obiettivi preferiti degli hacker.
Inoltre, un corretto sistema di password manager consente di condividere le credenziali senza il rischio di lasciare foglietti in giro o di mandare e-mail che potrebbero finire in mani sbagliate.
Cos’è un password manager
Un gestore di password è un software permette di creare password sicure, diverse per ogni account (o altro servizio che necessiti di una password per l’accesso).
Il programma è in grado memorizzare le password ma anche ogni altra credenziale di accesso. Tutte le informazioni contenute all’interno del software vengono conservate in un vault, ossia una sorta di cassaforte digitale. I dati che si trovano in questo vault sono consultabili in ogni momento a patto di conoscere un’unica master password che deve ovviamente essere robusta e che va necessariamente ricordata.
I vantaggi dell’uso di un gestore di password sono moltissimi:
- Dovrai ricordare una sola password sicura
- Potrai generare password estremamente robuste (strong password): combinazioni uniche e random di caratteri alfanumerici.
In alcuni casi è possibile impostare le caratteristiche che desideri (es. lunghezza o numero di caratteri speciali ) prima di lasciar fare il resto al software.
Questo permetterà di proteggere te o la tua azienda da attacchi di forza bruta che cercano di decifrare le password con varie tecniche di hacking. - Le credenziali sono conservate in un luogo sicuro in quanto sono crittografate con le migliori tecniche disponibili.
- Si possono salvare e far custodire dati sensibili come numeri di carte o conti bancari, numero di telefono e altro.
- Ti avverte se stai cercando di utilizzare due volte la stessa password e in alcuni casi è in grado di riconoscere quando la sicurezza di una password è stata compromessa e di suggerirti di cambiarla.
- E’ più difficile che una password cada in mani sbagliate se utilizzi un gestore di password rispetto al caso in cui le conservi su un foglio Word, uno Excell o dei fogli fisici.
Esistono diverse tipologie di password manager con caratteristiche diverse, alcuni a pagamento altri anche gratuiti.
A onor del vero, i gestori di password gratuiti sono spesso versioni demo di quelli a pagamento. Se parliamo di gestori delle password gratuiti certamente si tratta di software validi dal punto di vista della sicurezza ma che tuttavia, presentano delle funzionalità limitate rispetto a quelli a pagamento.
La scelta degli uni o degli altri dipende dalle esigenze del singolo utente o dell’azienda.
Quali sono le caratteristiche indispensabili per un gestore di password di buon livello?
Tra le caratteristiche da ricercare assolutamente in un password manager ci sono:
- la capacità (pressoché ovvia) di gestire la generazione di password robuste, assolutamente casuali e univoche
- l’archiviazione delle credenziali sia sicura (ad esempio protetta da crittografia)
- l’accesso esclusivo alle password, ovvero che sia possibile accedervi solo ed esclusivamente all’utente
- preveda l’utilizzo dell’autenticazione a due fattori o tramite impronta digitale o con altri metodi analoghi.
- sistema di analisi delle password che permetta di individuare le password vulnerabili e suggerimenti per cambiarle.
È opportuno assicurarsi del tipo di crittografia utilizzato dal programma di gestione password.
Tra i metodi di crittografia più utilizzati nei software di password manager esiste zero-Knoledge.
Altra caratteristica da ricercare tra quelle di un gestore di password è la possibilità di tracciare la password: ovvero, e creare un sistema di reportistica che possa evidenziare tutte le criticità e monitorare accessi.
In alcuni casi questa opzione può portare a prevenire un attacco informatico.
Non esistono rischi di sicurezza implicati nell’utilizzo dei password manager.
Piuttosto, fissiamo le accortezze più importanti e gli errori che ogni utente deve evitare nell’uso di questo strumento.
Naturalmente, è doveroso puntualizzare un aspetto importante: utilizzare un gestore di password significa che tutte le nostre credenziali sono conservate in un unico luogo online.
L’accesso al portale dell’utente è riservato soltanto a quest’ultimo: nel caso in cui dimenticasse la master password di accesso, nessun’assistenza potrà intervenire forzando l’account.
Ovviamente, per motivi di sicurezza il processo di recupero della master password è un aspetto fondamentale.
Per lo stesso motivo, dover ricordare solo una password fa sì che se quell’unica password dovesse finire in mani sbagliate, consegnerebbe al malintenzionato il set completo di password dell’utente e quindi l’accesso a tutti i tuoi account.
Come ultimo aspetto, fate attenzione ai software gestori di password fasulli.
Ovunque ci sia traffico di dati personali, ci sono anche tentativi di truffe. Ecco perché vi consigliamo sempre di scegliere un software per le password diffuso e conosciuto. Altri, per quanto le specifiche possano essere allettanti, potrebbero essere frodi.
Esistono diversi tipi di gestori di password, ciascuno con specifiche diverse:
- Software da istallare su disco locare: questi archiviano le password su un vault locale e l’accesso ai dati è possibile solo dal dispositivo su cui sono salvate.
- Password manager web-based: crittografano i dati prima di trasmetterli al cloud dove vengono archiviati in sicurezza. L’accesso al password manager in questo caso è possibile in ogni momento e da qualsiasi dispositivo sia sincronizzato.
- Basati su token o simili.
Spesso per non perderci nel groviglio delle innumerevoli password che dobbiamo gestire e ricordare siamo tentati di lesinare sulla loro sicurezza.
Fate attenzione, non c’è niente di più pericoloso che avere password deboli a protezione dei nostri account.
Fare ricorso a dati personali, date di compleanno, nomi di figli e animali, password brevi e uguali o simili per diversi account è un comportamento rischioso.
I malintenzionati possono in questo caso arrivare facilmente a scoprire le nostre credenziali.
Inoltre, ricordate sempre che l’implementazione di un gestore password vi supporta nei processi di cambio password periodici: senza il pericolo che possiate rischiare di compromettere la sicurezza degli account.
I password manager ci supportano in tutto questo e in molto altro, occupandosi a 360° di ogni aspetto legato alla gestione sicura delle password.
Se ancora, a fine articolo vi state chiedendo: possiamo davvero fidarci di un software per la gestione sicura delle nostre password?
Possiamo assicurarvi che la sicurezza in informatica non è mai assoluta ma è altrettanto vero che i rischi maggiori ancora una volta dipendono da noi e dalla possibilità che dimentichiamo o condividiamo involontariamente con qualcuno di poco raccomandabili le nostre password.
Onorato Informatica, sicurezza informatica da oltre 15 anni
Onorato Informatica è un’azienda specializzata in sicurezza informatica da oltre 15 anni. La nostra azienda è certificata ISO 9001 e ISO 27001.
Rivolgiti al nostro SOC team per proteggerti e difenderti dagli attacchi informatici.
La nostra azienda informatica ha sede a Mantova e uffici a Parma, Milano e Los Angeles.
Onorato Informatica è specializzata nell’attività di prevenzione dalle minacce al punto da aver inserito nell’oggetto delle certificazioni ISO i servizi di Vulnerability Assessment e Penetration Testing.
- Autore articolo
- Ultimi articoli
Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.
