ProtonBlog
Iscriviti con RSS
are password managers safe?

I gestori di password sono sicuri?

Condividi questa pagina

I gestori di password sono un ottimo modo per generare password sicure, conservarle in un archivio criptato insieme ai dettagli della tua carta di credito e migliorare la tua sicurezza online in modo generale. Ma potresti preoccuparti di conservare così tanti dati sensibili in un unico posto. I gestori di password sono sicuri da usare?

La risposta è che dipende da quale gestore di password utilizzi. Alcuni hanno problemi di sicurezza noti, altri possono avere secondi fini (come trarre profitto dai tuoi dati), ma i migliori gestori di password sono sicuri quanto possibile. Abbiamo analizzato diversi gestori di password e identificato problemi comuni e come questi possono essere mitigati. Analizziamo alcuni dettagli per capire come siamo arrivati alla nostra conclusione.

Cosa fa un gestore di password?

Un gestore di password è un programma che conserva le tue password e ne genera di nuove. Quindi, mentre navighi in rete e accedi alle pagine di login dei servizi dove hai un account, un pop-up ti offrirà di compilare queste password per te con un clic.

I gestori di password offrono diversi vantaggi. Per prima cosa, non devi più fare affidamento sulla tua memoria, il che significa che non puoi perdere le password. In secondo luogo, poiché non devi più ricordare le password, puoi crearne di più complesse, aumentando così la tua sicurezza. Aggiungi a ciò quanto un buon gestore di password renda più semplice la navigazione (vedi il nostro articolo sulla fatica da password), e diventa un must-have.

Cosa rende sicuro un gestore di password?

I gestori di password sono progettati per mantenere le tue password al sicuro, ma ovviamente ciò solleva la questione di quanto siano sicuri essi stessi. Dopotutto, c’è molto in gioco. In generale, un buon gestore di password è progettato per tenere fuori gli intrusi mantenendo privati i tuoi dati. Quanto bene riescano a farlo, però, dipende molto dal servizio individuale.

Ci sono alcune cose che i migliori gestori di password hanno tutti in comune. La prima di queste è l’uso intelligente della crittografia. Un buon gestore di password cripta le casseforti dove conservi le tue password con un algoritmo di crittografia all’avanguardia come AES-256.

Tuttavia, se un servizio è veramente focalizzato sulla privacy degli utenti, utilizzerà anche qualcosa chiamato crittografia end-to-end. Nella crittografia tradizionale, quando invii dati dal tuo computer ai server del gestore di password, la chiave di cifratura è condivisa sia da te che dal servizio che stai utilizzando.

Al contrario, utilizzando la crittografia end-to-end, solo tu possiedi la chiave. Questo elimina la possibilità di intercettazioni da parte del servizio che stai utilizzando, sia durante il transito che quando i dati sono memorizzati. Tuttavia, poiché è difficile da implementare a livello tecnico, non tutti i gestori di password offrono la crittografia end-to-end.

Quando i servizi non utilizzano la crittografia end-to-end, le conseguenze possono essere catastrofiche. La più grande violazione di dati su cloud ad oggi, il caso Dropbox del 2012, è avvenuto perché un dipendente di Dropbox riutilizzava le proprie password, permettendo così agli hacker di accedere al sistema. Gli hacker hanno decifrato il database e rubato le password di 70 milioni di persone. Se Dropbox avesse utilizzato la crittografia end-to-end, ciò non sarebbe stato possibile.

Utilizzare precauzioni come la crittografia end-to-end minimizza le possibilità di errore umano e, con esse, le probabilità di una violazione. Tuttavia, esistono ancora alcune vulnerabilità di cui devi essere consapevole.

Vulnerabilità dei gestori di password

Anche il miglior gestore di password non è perfetto. Non importa quanto sia ben progettato, non esiste una sicurezza al 100%, quindi dovresti concentrarti sulla minimizzazione dei rischi.

Uno dei maggiori difetti nell’architettura di sicurezza di un gestore di password sei tu, l’utente. Questo perché anche la migliore sicurezza è inutile se la tua password è, ad esempio, “password”. Molti gestori di password impongono una sicurezza più forte utilizzando una password principale, la password che ti consente di accedere al tuo vault.

È molto importante che questa password sia forte, in modo che non possa essere decifrata troppo facilmente, ma anche facile da ricordare in modo che non la dimentichi. Dopo tutto, il tuo gestore di password non può ricordarla per te. La soluzione migliore per questo è utilizzare una frase segreta piuttosto che una password, ma qualunque cosa tu faccia, assicurati che sia difficile da decifrare e non una variazione del tuo nome o della strada dove sei cresciuto.

Un’altra misura di sicurezza importante è l’autenticazione a due fattori, o 2FA. Questo richiede di avere un secondo dispositivo quando accedi a un servizio, di solito il tuo telefono. Questo aggiunge un livello di sicurezza e rende più difficile per qualsiasi hacker prendere il controllo dei tuoi account.

Un altro problema è rappresentato da eventuali malware che potrebbero infettare il tuo computer. In un caso estremo, il malware potrebbe essere utilizzato per prendere il controllo del tuo sistema mentre lo lasci sbloccato, accedendo così ai tuoi vault. Attualmente, l’unica vera cura è la prevenzione, quindi assicurati di eseguire regolarmente firewall e scansioni anti-malware per evitare che finiscano sul tuo disco fisso.

Infine, ci sono l’ingegneria sociale e altri trucchi, dove un cybercriminale in qualche modo ti convince a rivelare la tua password principale. Il phishing, in cui un criminale ti invia un’email, un messaggio di testo o addirittura una telefonata fingendosi qualcun altro, è l’esempio più comune. L’unica vera difesa contro truffe come queste è la consapevolezza, quindi sappi di non condividere mai dati sensibili a meno che tu non sia sicuro di conoscere con chi stai parlando.

È sicuro utilizzare un gestore di password?

I pericoli sono reali, ma se utilizzi un buon gestore di password e rimani vigile di persona, puoi minimizzare qualsiasi rischio. Con questo in mente, sì, i gestori di password sono assolutamente sicuri da utilizzare e miglioreranno anche la tua sicurezza online complessiva.

Detto ciò, non tutti i gestori di password sono uguali; alcuni, come LastPass, sono inclini a violazioni, mentre altri sono difficili da usare o presentano potenziali difetti nella configurazione della sicurezza.

Ecco perché abbiamo sviluppato Proton Pass, un gestore di password che incorpora tutte le lezioni apprese gestendo i nostri altri servizi sicuri, come Proton Mail, Proton VPN(new window) e Proton Drive.

La sicurezza di Proton Pass si compone di diversi strati. Da parte nostra, utilizziamo la crittografia end-to-end per tutti i nomi utente, password, carte di credito, note sicure e altri dati che conservi con noi. Proton Pass cripta anche i tuoi metadati, come i siti web in cui ogni password viene utilizzata per accedere. Proton non può vedere nessuno dei tuoi dati sensibili.

Consulta il modello di sicurezza di Proton Pass per una spiegazione approfondita della nostra crittografia.

Essendo un’azienda fondata da scienziati, crediamo anche nell’importanza della trasparenza e della revisione paritaria per mantenere elevati standard di sicurezza. Quindi, mentre alcuni gestori di password nascondono il loro codice al controllo, Proton Pass è indipendentemente verificato e open source, così chiunque può ispezionare il nostro codice.

Sul lato client, ti proteggiamo in diversi modi. Facciamo uso di 2FA, il che rende molto più difficile impersonarti per accedere al tuo account. Offriamo anche Proton Sentinel, il nostro esclusivo programma di sicurezza assistito dall’IA che traccia e sventa i tentativi di accesso sospetti.

Per noi, la privacy e la sicurezza non sono slogan di marketing, sono nel nostro DNA. A differenza della maggior parte dei nostri concorrenti, siamo finanziati dalla nostra comunità, il che significa che non dobbiamo preoccuparci dei ricavi pubblicitari e possiamo concentrarci su ciò che conta di più, la tua sicurezza. Se ti piace l’idea di far parte di questo, crea oggi stesso un account Proton Pass gratuito.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p
Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di