I gestori di password sono sicuri?

I criminali informatici sono più inarrestabili che mai e le password continuano a essere una delle loro prede più ambite. Il numero e la rilevanza delle violazioni perpetrate ogni anno sono in costante crescita: basti pensare, ad esempio, alla violazione di dati subita da AT&T che ha coinvolto oltre 70 milioni di clienti passati e attuali della società telefonica statunitense. Anche se stai adottando misure aggiuntive per mantenere al sicuro le tue credenziali, una domanda potrebbe tormentarti: i gestori di password sono sufficientemente sicuri?

Cerchiamo di chiarire alcuni falsi luoghi comuni e preoccupazioni. Oggi esamineremo i diversi tipi di gestori di password esistenti, le tecnologie che usano per proteggere i tuoi dati e gli aspetti da tenere a mente quando cerchi quello che fa per te.

Cos'è un gestore di password?

In sostanza, un gestore di password è un archivio digitale per password e altre credenziali. È un modo sicuro per memorizzare le informazioni sensibili, dal momento che i gestori di password sono sviluppati con tecnologie come la crittografia end-to-end e l'architettura a conoscenza zero. Ciò garantisce che solo il proprietario dell'account possa accedere e utilizzare le proprie password, che di solito vengono sbloccate attraverso una password principale personalizzata o l'identificazione biometrica.

Le tipologie di gestori di password

Da un punto di vista tecnico, i gestori di password sono classificati in tre principali categorie: basati su browser, basati su cloud o locali. Pur avendo tutti lo stesso scopo, ovvero fornire un sistema sicuro per la memorizzazione delle credenziali, presentano differenze in termini di ampiezza dei servizi offerti e modalità di accesso.

Basati su browser

I gestori di password basati su browser possono essere considerati i più accessibili: in effetti, è probabile che tu abbia già usato un gestore di password basato su browser, anche se pensi di non averlo mai fatto. Ogni volta che accedi a un sito web e il browser – ad esempio, Chrome, Firefox o Edge– ti chiede se vuoi ricordare le credenziali in futuro, i tuoi dati vengono salvati in un gestore di password di questo tipo.

I gestori di password integrati nei browser sono solitamente gratuiti. Al pari di altri tipi di software per la conservazione delle password, usano una qualche forma di crittografia per proteggere i dati sensibili dagli accessi non autorizzati. Sono disponibili sui browser per dispositivi fissi e mobili; ciò significa che, dopo aver iniziato a salvare le tue credenziali su un determinato browser, dovrai continuare a usarlo su ogni piattaforma.

Basati su cloud

I gestori di password basati su cloud sono i più popolari; si tratta di software multipiattaforma, il che significa che possono essere installati sia su dispositivi fissi che mobili. Dal punto di vista tecnico, la loro peculiarità consiste nell'utilizzo dell'archiviazione cloud crittografata per proteggere i dati sensibili. NordPass rientra nella categoria delle soluzioni cloud.

I gestori di password basati su cloud sono apprezzati per la loro efficienza e praticità; la sincronizzazione è una funzionalità fondamentale, che consente di accedere all'istante ai dati sensibili. Tuttavia, benché sia possibile accedere alla cassaforte anche senza una connessione internet, altre funzionalità di sicurezza potrebbero non essere disponibili quando l'utente è offline.

Locali

I gestori di password locali, o offline, sono accessibili senza una connessione internet. Sono l'esatto contrario dei gestori basati su cloud, dal momento che tutti i dati sensibili vengono memorizzati sul dispositivo stesso. Gli utenti possono scegliere i gestori di password locali per semplificare gli accessi se non hanno una connessione internet stabile. I sistemi operativi dei dispositivi desktop possono offrire soluzioni di memorizzazione delle credenziali sia locali che basate su cloud, a seconda dell'utilizzo o meno della sincronizzazione.

La memorizzazione in locale delle password è apprezzata per la sicurezza dell'hardware a cui è associata: se tutte le credenziali sono conservate su un dispositivo fisso che non lascia mai la casa o l'ufficio, è meno probabile che venga rubato rispetto a un telefono o un computer portatile sul quale è installato un gestore di password sincronizzato. Tuttavia, il rovescio della medaglia è rappresentato dal fatto che dovrai usare questo dispositivo ogni volta che vuoi accedere a un account, il che può essere piuttosto limitante.

In che modo i gestori di password proteggono i tuoi dati?

Quando si parla del livello di sicurezza dei gestori di password, la crittografia è al centro di tutto: protegge infatti i dati sensibili dell'utente da accessi non autorizzati. A differenza delle password scritte in un formato leggibile, ad esempio su fogli di calcolo o documenti, tutti i dati conservati nelle casseforti crittografate sono codificati e illeggibili in assenza di un'apposita chiave di sblocco; di solito si tratta di un codice di accesso, una password principale o l'autenticazione biometrica. Per motivi di sicurezza, la chiave non viene conservata negli stessi database dei dati crittografati.

I gestori di password possono usare la crittografia AES o XChaCha20. AES-256 è l'algoritmo di crittografia usato più comunemente dai gestori di password, ma ne esistono anche altre varianti, come 128 o 192. Il numero indica la quantità di blocchi in cui i dati vengono suddivisi quando sono crittografati: maggiore è il numero, più robusta è la crittografia. Anche XChaCha20 è un metodo di crittografia a 256 bit, ma è più veloce e semplice da implementare rispetto all'algoritmo AES-256.

Un altro termine fondamentale relativo alla sicurezza dei dati nei gestori di password è l'architettura a conoscenza zero. Ogni volta che accedi alla tua cassaforte, devi dimostrare di avere la chiave di verifica citata in precedenza; tuttavia, per evitare che questa chiave di accesso possa essere imitata da soggetti non autorizzati, l'architettura a conoscenza zero ti permette di dimostrare di possederla senza però rivelarla.

Combinando l'architettura a conoscenza zero con la tecnologia di crittografia, i gestori di password ti permettono di accedere in modo sicuro alle credenziali e di ridurre le possibilità che un malintenzionato prenda il controllo della tua cassaforte. NordPass usa l'algoritmo XChaCha20 per crittografare i dati direttamente sul tuo dispositivo: in questo modo, quando vengono inviati ai server cloud, è impossibile decodificarli in assenza della Password principale.

I pro e i contro dell'utilizzo di un gestore di password

Come hai avuto modo di vedere, i gestori di password sono incentrati sulla sicurezza e creati per rendere semplice l'utilizzo delle tecnologie per la protezione dei dati. Prendiamo, ad esempio, i gestori di password basati su browser: questi strumenti ti permettono di accedere alle credenziali nelle impostazioni del tuo browser preferito.

Lo stesso vale per i gestori di password basati su cloud, che sono sempre più diffusi sotto forma di estensioni per browser e rappresentano un'alternativa più affidabile rispetto ai gestori integrati. I gestori di password basati su browser e su cloud sono dotati di funzionalità di sincronizzazione, grazie a cui le credenziali sono sempre aggiornate e accessibili sia da dispositivi fissi che mobili.

Oltre a essere comodi, i gestori di password consentono anche di generare e conservare password univoche e sicure. Spesso offrono la funzionalità di compilazione automatica delle credenziali, il che significa che non è necessario cercarle all'interno della cassaforte; sarà il gestore di password a inserirle direttamente per te. Il salvataggio automatico funziona in modo simile: ogni volta che un gestore di password rileva l'inserimento di nuove credenziali, ti chiede se desideri salvarle.

Oltre alla conservazione dei dati, i gestori di password possono offrire servizi di sicurezza aggiuntivi. Ciò è piuttosto frequente nel caso dei gestori basati su cloud: potrebbero offrire funzionalità di sicurezza a più ampio raggio per proteggere altre informazioni, come ad esempio documenti d'identità, dati bancari o indirizzi personali.

Abbiamo già discusso di alcuni degli svantaggi legati a specifiche tipologie di gestori di password: quelli locali ti vincolano a un preciso dispositivo per accedere alle credenziali, mentre i servizi basati su cloud sono limitati in assenza di connessione internet. Anche i gestori basati su browser presentano specifici problemi. A differenza degli altri tipi, i gestori di password integrati nei browser raramente adottano una politica di no-log, il che significa che le password potrebbero trapelare senza il tuo consenso.

Ma un gestore di password può essere hackerato? Purtroppo sì: nemmeno i gestori di password sono completamente inviolabili, come dimostra la violazione subita da LastPass nel 2022. Secondo l'azienda, la violazione si è verificata a causa di una vulnerabilità sfruttata in un software di terze parti, che ha consentito ai criminali informatici di accedere ai dati crittografati e non crittografati dei clienti.

Anche se il rischio di violazione di un gestore di password basato su cloud è reale, queste soluzioni usano meccanismi di difesa per ridurre al minimo i danni di una potenziale violazione di dati. Il fulcro di tutto è la password principale, indispensabile per sbloccare le casseforti degli utenti e decrittare le informazioni sensibili in esse contenute. I gestori di password basati su cloud non conservano le password principali sugli stessi server che custodiscono altre informazioni sensibili, il che significa che non è possibile rubarle contemporaneamente. Se non riescono a sottrarre le password principali, i criminali informatici non possono in alcun modo decifrare i dati.

Come scegliere un gestore di password sicuro

La prima cosa da fare è capire quale tipo di gestore di password soddisfa al meglio le tue esigenze. I gestori di password offline sono molto validi, ma presentano dei limiti di accesso; per questo motivo, se cerchi un gestore che sia facilmente disponibile in qualsiasi luogo e momento, dovresti prendere in considerazione un gestore di password basato su cloud o su browser.

In generale, un gestore di password basato su cloud è costruito con un approccio incentrato sulla sicurezza, mentre la funzionalità integrata in un browser è più da considerarsi come un componente aggiuntivo di un prodotto diverso, con una minore attenzione alla tutela della privacy. Ciò significa che i gestori di password gratuiti basati su browser potrebbero non essere sicuri come altre opzioni. Puoi anche scaricare un gestore di password basato su cloud sotto forma di estensione del browser, per risparmiare tempo e avere la certezza di usare uno strumento basato sull'architettura a conoscenza zero.

Verifica il tipo di algoritmo di crittografia utilizzato dal gestore di password. Benché AES-256 continui a essere l'algoritmo più diffuso, XChaCha20 sta diventando sempre più popolare non solo nell'ambito della sicurezza informatica, ma anche tra alcune delle aziende tecnologiche più note; inoltre, è l'algoritmo scelto per il gestore di password NordPass.

Un altro fattore da valutare è l'uso che intendi fare del gestore di password: può essere personale, professionale o una combinazione dei due. NordPass è stato appositamente creato per soddisfare le tue esigenze, indipendentemente dal fatto che cerchi una soluzione per uso privato o un prodotto destinato alle aziende. Oltre a questa versatilità, NordPass offre utili funzionalità aggiuntive per migliorare il livello generale di sicurezza informatica: ad esempio, gli strumenti Rilevatore violazioni dati, Salute password e Mascheramento e-mail per una sicurezza online completa.

Le regole d'oro per la sicurezza delle password

Adottare un gestore di password è solo il primo passo per mantenere i tuoi account al sicuro: se l'unica cosa che fai è memorizzare le credenziali, sei solo all'inizio dell'opera. I gestori di password sono sicuri, ma è sempre bene fare un passo in più per garantire che siano perfettamente in grado di proteggere i tuoi dati sensibili.

• Imposta password complesse e univoche per tutti i tuoi account. Usa un Generatore di password per assicurare che i tuoi account siano adeguatamente protetti. Non preoccuparti di dover ricordare a memoria tutte le password: sarà la funzionalità di compilazione automatica di NordPass a occuparsene al posto tuo.

• Aggiorna spesso le credenziali. Più a lungo utilizzi una password, più aumentano le probabilità che venga violata. Lo strumento Salute password ti permette di controllare se, fra le credenziali salvate, ci sono password vecchie, deboli o utilizzate più volte.

• Tieni sotto controllo le violazioni. Il tempo che intercorre tra una violazione di dati e il momento in cui ne vieni a conoscenza può essere di importanza cruciale. Usa il Rilevatore violazioni dati di NordPass per ricevere avvisi in tempo reale qualora sul dark web apparissero password, indirizzi e-mail o numeri di carte di credito che ti appartengono.

• Proteggi la tua casella di posta elettronica dallo spam. Supponiamo che tu debba creare un account per effettuare un acquisto rapido, ma ti preoccupa il fatto di condividere i tuoi dati con un soggetto terzo. Configura un indirizzo e-mail fittizio con la funzionalità Mascheramento e-mail e impedisci che le tue vere informazioni vengano usate per attacchi di ingegneria sociale.

• Adotta l'autenticazione a più fattori (MFA). Se una delle password dei tuoi account venisse violata, l'autenticazione MFA evita gli accessi non autorizzati.

• Abbandona le password a favore delle passkey. Rendi ancora più semplice la gestione degli account, impostando l'accesso senza password tramite identificazione biometrica. Conserva e gestisci le passkey direttamente nella tua cassaforte NordPass.

FAQ