Proton
are password managers safe?

I gestori di password sono ottimi per generare password sicure, archiviarle in modo crittografato insieme ai dettagli della tua carta di credito e migliorare la tua sicurezza online su tutti i livelli. Ma potresti essere preoccupato di mantenere così tanti dati sensibili in un unico posto. I gestori di password sono sicuri da usare?

La risposta è che dipende da quale gestore di password usi. Alcuni hanno problemi di sicurezza noti, altri possono avere motivi ulteriori (come trarre profitto dai tuoi dati), ma i migliori gestori di password sono molto sicuri. Abbiamo analizzato diversi gestori di password e identificato problemi comuni e come possono essere mitigati. Vediamo alcuni dettagli per comprendere come siamo giunti alle nostre conclusioni.

Cosa fa un gestore di password?

Un gestore di password è un programma che memorizza le tue password per te e genera nuove password. Poi, mentre navighi sul web e accedi alle pagine di accesso dei servizi dove hai un account, un pop up ti offrirà di compilare queste password con un clic. 

I gestori di password hanno alcuni vantaggi. Per uno, non devi più fare affidamento sulla tua memoria, il che significa che non puoi perdere le password. In secondo luogo, poiché non devi più ricordare le password, puoi crearne di più complicate, aumentando la tua sicurezza. Aggiungi a questo quanto sia più facile un buon gestore di password nella navigazione (vedi il nostro articolo sulla fatica da password), e sono un acquisto obbligato.

Cosa rende sicuro un gestore di password?

I gestori di password sono progettati per mantenere le tue password sicure, ma ovviamente sorge la domanda su quanto siano sicuri essi stessi. Dopo tutto, c’è molto in gioco. In generale, un buon gestore di password è progettato per tenere lontani gli intrusi mentre mantiene privati i tuoi dati. Quanto bene lo fanno però, dipende molto dal servizio specifico.

Ci sono alcune cose che i migliori gestori di password hanno in comune. Il primo di questi è l’uso intelligente della crittografia. Un buon gestore di password crittografa i vault dove memorizzi le tue password con un algoritmo di crittografia all’avanguardia come AES-256. 

Tuttavia, se un servizio è davvero concentrato sulla privacy degli utenti, utilizzerà anche qualcosa chiamato crittografia end-to-end. Nella crittografia regolare, quando invii dati dal tuo computer ai server del gestore di password, la chiave di crittografia è condivisa sia da te che dal servizio che stai usando. 

Al contrario, quando usi la crittografia end-to-end, solo tu hai la chiave. Questo elimina la possibilità di spionaggio da parte del servizio che stai usando, sia in transito che mentre è memorizzato. Tuttavia, a causa della difficoltà nell’implementazione a livello tecnico, non tutti i gestori di password offrono la crittografia end-to-end.

Quando i servizi non utilizzano la crittografia end-to-end, i risultati possono essere catastrofici. La più grande violazione della sicurezza cloud fino ad oggi, la violazione di Dropbox nel 2012, è avvenuta perché un dipendente di Dropbox aveva riutilizzato le proprie password, il che ha dato agli hacker un modo per entrare nel sistema. Gli hacker hanno decrittografato il database e rubato le password di 70 milioni di persone. Se Dropbox avesse utilizzato la crittografia end-to-end, ciò non sarebbe stato possibile.

Utilizzare precauzioni come la crittografia end-to-end riduce la possibilità di errore umano, aumentando così le probabilità di una violazione. Tuttavia, ci sono ancora alcune vulnerabilità di cui devi essere a conoscenza.

Vulnerabilità dei gestori di password

Anche il miglior gestore di password non è perfetto. Non importa quanto bene sia stato progettato, non esiste una sicurezza al 100% quindi dovresti concentrarti sulla minimizzazione dei rischi.

Una delle più grandi lacune nell’architettura di sicurezza di un gestore di password sei tu, l’utente. Questo perché anche la migliore sicurezza è inutile se la tua password è, ad esempio, ‘password’. Molti gestori di password applicano una sicurezza più forte utilizzando una password principale, la password che ti consente di accedere al tuo vault.

È molto importante che questa password sia forte, così non può essere facilmente decifrata, ma anche facile da ricordare affinché tu non possa dimenticarla. Dopo tutto, il tuo gestore di password non può ricordarla per te. La soluzione migliore per questo è utilizzare una frase segreta piuttosto che una password, ma qualunque cosa tu faccia, assicurati che sia difficile da decifrare, e non una variazione del tuo nome o della strada in cui sei cresciuto.

Un’altra importante misura di sicurezza è l’autenticazione a due fattori, o 2FA. Questo richiede di avere un secondo dispositivo quando accedi a un servizio, di solito il tuo telefono. Questo aggiunge uno strato di sicurezza e rende più difficile per un hacker ottenere il controllo dei tuoi account.

Un altro problema è qualsiasi malware che potrebbe infettare il tuo computer. In un caso estremo, il malware potrebbe essere utilizzato per prendere il controllo del tuo sistema mentre lo lasci sbloccato, in modo che possa accedere ai tuoi vault in quel modo. Attualmente, l’unico vero rimedio è la prevenzione, quindi assicurati di eseguire regolarmente firewall e scansioni antivirus per assicurarti che niente di tutto ciò finisca sul tuo hard drive.

Infine, c’è l’ingegneria sociale e altri giochi di fiducia, dove un criminale informatico ti persuade in qualche modo a divulgare la tua password principale. Il phishing, dove un criminale ti invia un’email, un messaggio di testo o anche una telefonata fingendo di essere qualcun altro, è l’esempio più comune. L’unica buona difesa contro questi trucchi è essere consapevoli, quindi non divulgare mai dati sensibili a meno che tu non sia sicuro di sapere con chi stai parlando.

È sicuro usare un gestore di password?

I pericoli sono reali, ma se usi un buon gestore di password e rimani vigile, puoi minimizzare i rischi. Detto ciò, sì, i gestori di password sono perfettamente sicuri da usare, e miglioreranno anche la tua sicurezza online generale. 

Detto ciò, non tutti i gestori di password sono stati creati uguali, alcuni, come LastPass, sono soggetti a violazioni, mentre altri sono difficili da usare o hanno potenziali difetti nel modo in cui la sicurezza è impostata. 

Ecco perché abbiamo sviluppato Proton Pass, un gestore di password che incorpora tutte le lezioni che abbiamo appreso dall’operare i nostri altri servizi sicuri, come Proton Mail, Proton VPN(nuova finestra) e Proton Drive.

La sicurezza di Proton Pass è composta da diversi livelli. Dal nostro lato, utilizziamo la crittografia end-to-end per tutti i nomi utente, le password, le carte bancarie, le note sicure e altri dati che conservi con noi. Proton Pass crittografa anche i tuoi metadati, come i siti web ai quali ciascuna password è utilizzata per accedere. Proton non può vedere nessuno dei tuoi dati sensibili. 

Visualizza il modello di sicurezza di Proton Pass per una spiegazione dettagliata della nostra crittografia.

Come azienda fondata da scienziati, crediamo anche nell’importanza della trasparenza e della revisione tra pari per mantenere alti standard di sicurezza. Quindi, mentre alcuni gestori di password nascondono il loro codice dallo scrutinio, Proton Pass è sottoposto a revisione indipendente e open source, così chiunque può ispezionare il nostro codice. 

Dal lato del client, ti proteggiamo in diversi modi. Utilizziamo 2FA, il che significa che è molto più difficile impersonarti per ottenere l’accesso al tuo account. Offriamo anche Proton Sentinel, il nostro esclusivo programma di sicurezza assistito da AI che tiene traccia e ostacola i tentativi di accesso sospetti.

Per noi, privacy e sicurezza non sono slogan pubblicitari, sono nel nostro DNA. A differenza della maggior parte dei nostri concorrenti, siamo finanziati dalla nostra comunità, il che significa che non abbiamo introiti pubblicitari di cui preoccuparci e possiamo concentrarci su ciò che conta, la tua sicurezza. Se questo suona come qualcosa a cui vorresti partecipare, crea un account gratuito di Proton Pass oggi.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.