Recentemente abbiamo sentito diverse storie sulla ulnerabilità dei gestori di password più popolari. In passato, si sono anche verificate delle violazioni della sicurezza in cui sono risultati esposti oltre due milioni di utenti. Sfortunatamente, possiamo registrare esempi anche in tempi più recenti. Prima di scegliere un gestore di password quindi, in particolare i servizi gratuiti, gli utenti cercano di raccogliere informazioni sulla sicurezza.
Contenuti
Cos'è un gestore password?
Nel caso tu non abbia troppa familiarità , un gestore di password è un software che conserva le password e altre credenziali in un vault crittografato. È possibile accedere a questo vault crittografato tramite una password principale. E questo è il punto in cui le persone iniziano a mettere in discussione la sicurezza del gestore di password.
Cosa succede se qualcuno entra in possesso della mia password principale? Cosa succede se la dimentico? Il fornitore del gestore di password possiede la mia chiave di decrittografia? Potrebbero esserci più domande a seconda di quanto sia esperto di tecnologia l'utente.
Allora perché la sicurezza è importante?
La sicurezza delle credenziali conservate nel vault dipende dalle risposte alle domande sopracitate. Se la tua password principale viene esposta o crittografata in modo non professionale, anche tutti gli altri nomi utente e password verranno compromessi. Ed è per questo che la sicurezza di un gestore di password è importante. Dai un'occhiata ai seguenti fattori di sicurezza chiave, da prendere in considerazione prima di iscriverti a qualsiasi gestore di password. Naturalmente, potrebbero esserci più fattori che influiscono sulla sicurezza delle credenziali. I seguenti aspetti rappresentano comunque un buon punto di partenza.
I principali fattori di sicurezza
La sicurezza deve essere bilanciata con l'usabilità e con tutta la varietà di funzionalità che i diversi gestori di password hanno da offrire. Più funzionalità , a seconda di ciò che sono, potrebbero significare più vulnerabilità . Tuttavia, in caso di dubbi sulla sicurezza, assicurati di prendere in considerazione i seguenti punti.
Crittografia lato client.La crittografia lato client garantisce il massimo livello di sicurezza poiché le informazioni sono già crittografate prima che lascino i dispositivi degli utenti. I dati sensibili vengono crittografati localmente in un "vault" che viene memorizzato sul dispositivo dell'utente finale e sui server del gestore di password. In questo caso, il gestore di password non ha alcuna conoscenza delle informazioni memorizzate nei propri server. Le informazioni sono significative solo per te come utente, poiché sei tu che hai la chiave di decrittazione. Nessun altro potrebbe decrittografare i dati e controllare il contenuto, anche se il tuo gestore di password venisse compromesso.
Password principale e il suo recupero.Una password principale genera le chiavi di crittografia e autentica l'accesso al vault. In altre parole, si tratta di un gateway per l'archiviazione delle password ed è importante che il tuo gestore di password non ne abbia alcuna conoscenza. Se da un lato questo aspetto complica il recupero della password poiché il provider non sarebbe in grado di risalire alla password principale, reimpostarla o crearne una nuova, dall'altro aumenta il livello di sicurezza e garantisce che il servizio sta prendendo sul serio la sicurezza dei tuoi dati. Recuperare la password è comunque possibile, ma non attraverso il solito modo con il messaggio "digita il tuo indirizzo email e ti invieremo via email il promemoria". Assicurati quindi di aver studiato attentamente le funzionalità e controlla il processo di recupero della password principale. Se al contrario un gestore di password è in grado di inviarti un promemoria della password principale, ci sono buone possibilità che i tuoi dati non siano al sicuro.
Autenticazione a più fattoriÈ un metodo per confermare le identità dichiarate degli utenti utilizzando una combinazione di due diversi fattori: qualcosa che sai, qualcosa che hai o qualcosa che sei. Richiede una seconda informazione a cui solo tu hai accesso, come un codice digitale, per verificare la tua identità ogni volta che accedi. In alcuni casi, invece dei provider 2FA, utilizza il dispositivo e/o l'autenticazione della posizione. Questa soluzione fornisce un ulteriore livello di sicurezza. I provider che incoraggiano i propri utenti ad abilitare l'autenticazione a più fattori inviano un ottimo segnale per quanto riguarda la sicurezza. Ciò significa che l'azienda segue le migliori pratiche sulla sicurezza. E se qualche malintenzionato dovesse scoprire in qualche modo la tua password principale, è improbabile che abbia anche accesso a un token 2fa valido. L'autenticazione a più fattori riduce al minimo la possibilità di accesso non autorizzato all'account di un gestore di password.
Algoritmi di crittografia.È la cosa più importante a cui gli utenti dovrebbero prestare attenzione: i gestori di password utilizzano la crittografia per proteggere i vault dei propri utenti. Sebbene esistano diversi algoritmi disponibili sul mercato, la maggior parte dei gestori di password tende ad attenersi allo standard principale: l'AES. AES è un algoritmo simmetrico, più spesso utilizzato con le chiavi a 128 bit e 256 bit. Ad esempio, il governo degli Stati Uniti utilizza AES-128 per informazioni segrete (non classificate) e AES-256 per informazioni top-secret (classificate). Pertanto, viene comunemente denominata "crittografia di livello militare". Nonostante si tratti di uno degli algoritmi più utilizzati nei servizi crittografati, i giganti della tecnologia hanno iniziato ultimamente a cambiare l'AES con un altro algoritmo: il ChaCha20. Anche questo algoritmo offre chiavi a 256 bit (quindi è sicuro come AES), ma poiché ChaCha20 è basato su software, è ragionevolmente più veloce. Puoi leggere ulteriori informazioni sugli algoritmi di crittografia nel nostro post del blog.
Perché NordPass?
Un gestore di password sicuro è uno che non sa niente di te. La nostra politica a conoscenza zero garantisce che solo tu saprai cosa c'è all'interno del vault. NordPass offre anche l'autenticazione a due fattori opzionale, che aggiunge un ulteriore livello di sicurezza. E non sarai in grado di accedere al tuo vault se non sei in possesso della tua password principale e del codice di ripristino.
È essenziale considerare tutte queste funzionalità quando si sceglie un gestore di password. Ma la cosa più importante a cui gli utenti dovrebbero prestare attenzione è la crittografia. La maggior parte dei gestori di password utilizza AES-256 e, sebbene sia un algoritmo affidabile e praticamente infrangibile, riteniamo che ChaCha20 rappresenti il futuro. È veloce, sicuro e immune agli attacchi di timing, a differenza dell'AES.
Sebbene non esista un modo infallibile per evitare attacchi hacker, se scegli un gestore di password affidabile, i tuoi account online saranno sempre al sicuro.