skip to main | skip to sidebar
37 commenti

App per gestire le password: vale la pena di usarle?

Ormai lo sanno anche i muri: usare la stessa password dappertutto è un rischio enorme, e usare password ovvie (date di nascita, nomi, numeri di telefono) è una pessima idea perché rende facilissimo il lavoro degli intrusi informatici, ma sono tanti gli utenti che continuano a fare queste cose perché l’idea di gestire tante password differenti e oltretutto complicate fa venire il mal di testa.

Ricordarsele a memoria è impossibile; segnarsele su un quadernino funziona, tranne quando il quadernino rimane a casa o in ufficio o comunque fuori portata; scriverle in un file da tenere su una chiavetta USB è tedioso e significa dover aprire ogni volta il file e copiaincollare la password.

Per risolvere tutti questi problemi ci sono i password manager: applicazioni il cui compito è memorizzare e digitare per noi le nostre password. Alcune delle più diffuse sono 1Password, Dashlane, LastPass e KeePass. Chi le usa ha bisogno di ricordarsi soltanto una password: quella che dà accesso alla cassaforte virtuale nella quale il password manager custodisce tutte le sue password.

Come segnala Sophos, è importante smontare uno dei miti che circondano i password manager, ossia l’idea che per iniziare a usarli sia necessario immettere a mano una per una tutte le proprie password. Non è così: praticamente tutti questi gestori di password sono in grado di accorgersi automaticamente se l’utente sta digitando una password durante l’accesso a un sito e si offrono di memorizzarla automaticamente. Se cambiate una password, inoltre, il gestore aggiornerà automaticamente il proprio archivio di password.

Un’altra incombenza che i password manager possono evitare all’utente è la generazione di password difficili da indovinare. Ci pensa l’applicazione a generarle. Dato che è l’applicazione a doversele ricordare e a preoccuparsi di digitarle, e non l’utente, queste password generate possono essere complicatissime (tipo Vp$lskFOyS4h^oqI o simile).

Ultimo dubbio ricorrente: ci si può fidare a depositare una copia dell’archivio di password nel cloud? Un gestore di password diventa un punto unico di vulnerabilità: se qualche malintenzionato riesce ad accedere al sito del produttore, c'è il rischio che abbia accesso a tutte le password di tutti gli utenti. Per prevenire questo rischio, i produttori usano una crittografia molto potente, ma se siete particolarmente preoccupati potete disattivare questa funzione e portare invece con voi una chiavetta contenente una copia dell’archivio di password, naturalmente protetta a sua volta da una buona password.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (37)
Io uso lastpass da un paio di anni e devo dire che mi trovo bene.

Sui computer (windows e apple) le varie estensioni dei browser funzionano bene.

Anche Android tendenzialmente si comporta in modo corretto mentre iPhone mi sta dando qualche grattacapo (spesso i campi non vengono compilati. La configurazione mi sembra ok, ma non ne sono sicuro al 99%

Purtroppo non gestiscono le password all'interno delle app (se si come?)

Ho scelto last pass per una questione economica (della versione mobile).

bye
Articolo molto interessante, ma la domanda che rivolgo a chi è più esperto di me è: quanto sono sicuri questi software di gestione delle password?
Uso keepass2 da anni oramai è mi trovo benissimo
Attualmente uso keepass sincronizzato con un servizio di sync&share aziendale con chiavi in cloud e storage locale, quindi tendenzialmente sicuro, Lastpass lo usavo in passato ed é veramente comodo ma ho sempre avuto timore di tenere tutte le mie password in cloud da qualche parte. Immagino siano paranoie ingiustificate perché immagino che siano prese misure di sicurezza e crittografia adeguate. In tutti i casi quando devo scegliere una password da ricordare e non generata da un software, mi viene in mente sempre questo: http://xkcd.com/936/

Personalmente consiglio un trucco da programmatore. Anziché ricordare decine di password diverse create un semplice algoritmo per "generare" una stringa di numeri e lettere partendo da un codice univoco e un elemento unico del portale a cui volete accedere (es.: le lettere nei posti pari dell'url del sito avanzate ognuna di un numero di posti pari ad una cifra della propria data di nascita). Così facendo non si devono ricordare mille password ne usare strumenti per ricordarle.
Non citi TrueKey. Io lo ho installato ma non ancora attivato. Che dici, è affidabile?
@Francesco Riccioli
Mi pare che Attivissimo lo dica bene o male alla fine dell'articolo.
Possedendo un dominio molto spesso uso una mail (alias) diverso per ogni servizio a cui mi registro, usando password "simili" (ma non uguali).
In questo modo ho il duplice vantaggio di potere usare un set di password ridotto, perché dubito che un bot sia in grado di rendersi conto della logica che uso (diverso il caso di un umano...).
Secondo vantaggio è che se ricevo mail di spam posso identificare il servizio che si è venduto la mia mail (poi tanto non ci posso fare nulla visto che avrò sicuramente accettato io che lo facesse....) e decido se smettere di usare il servizio.

Ovviamente non creo un alias per ogni servizio, ma ho attivato la funzione che mi manda tutte le mail inviate a indirizzi inesistenti del mio dominio (lo so pericoloso, ma per ora non mi ha generato troppo spam).



Non ho ancora bisogno del gestore di password, quelle essenziali per me sono tre: per il mondo Google, per Paypal e per il profilo aziendale.
Ma l'ultimo è accessibile solo da PC, lì uso un trucco mnemonico come Danilo, legato anche all'uso della tastiera (no, non è QWERTY).
Mentre i PIN che devo ricordare sono solo due, bancomat e home banking (che ha pure la sua chiavetta generatrice).
Per tutti gli altri siti ho un file di testo sullo smartphone, cerco comunque di evitare i siti con iscrizione.
Io uso 1Password e mi trovo benissimo. Genera password complesse e l'archivio è criptato.
Io uso Keepass che è un programma opensource quindi direi che è un software sicuro.
Se proprio si è paranoici che possa trasmettere qualcosa in rete si aggiunge una banale regola di blocco connessione al programma col proprio firewall.

L'unica accortezza è di fare un sacco di copie di backup in vari supporti del database password perché il momento che capita che il pc si rompe sono cavoli amari...
Consiglio anche l'ottimo Enpass https://www.enpass.io che è gratuito su desktop mentre la versione mobile costa solo 10$ una tantum e solo se si vogliono sincronizzare più di 20 elementi. Ah, supporta (su android almeno) la compilazione automatica dei campi anche nelle app
Keepass con database in cloud, protetto da master password e file chiave. Il file chiave non è condiviso in cloud ma è presente solo sui dispositivi da cui devo accedere.
E cosa mi dite sul piano sicurezza delle funzioni di memorizzazioni password integrate nei browser (io uso opera): per pura diffidenza io ci metto solo le pw ni scarsa importanza ma mi sono sempre chesto quanto sono sicure?
Non citi SplashID; l'ho usato dall'inizio del secolo, Palm e PC, poi Android e PC. Tempo fa ho comprato la licenza lifetime. La ditta è passata di mano, ma il prodotto è ancora in piedi e ben sviluppato. Si può scegliere cloud o local sync. Non potrei vivere senza. Cercato di diffonderlo in famiglia, con risultati misti.
Io uso un metodo mio e che finora ha funzionato, nel senso che non ho mai sospettato attività illecite sui miei account, anche se ci sono stati tentativi di accesso alla mia email hotmail.it dall'Oriente.
Uso una stringa casuale mandata a memoria di 8 cifre (simboli,cifre,maiuscole e minuscole) seguita dal nome del servizio camuffato (con numeri al posto di lettere,per esempio).
La password è così diversa per ogni servizio.
@Francesco Riccioli: Difficile dare una risposta univoca, temo. Generalmente, un fattore discriminante per capire quanto fidarsi di un software che ha a che fare con la sicurezza è vedere se gli sviluppatori hanno rilasciato o meno il codice sorgente. La disponibilità del codice sorgente è condizione necessaria affinché chiunque possa verificare la correttezza dell'implementazione del software. Assumendo solo questo criterio, tra i quattro password manager citati da Attivissimo si salva solo KeePass (a cui aggiungerei anche PasswordSafe https://pwsafe.org/, altro gestore open source rilasciato sotto artistic licence).

Il problema di questo approccio è però duplice:

- Essendo sviluppati da volontari, i password manager open source hanno tipicamente un'interfaccia utente molto meno intuitiva e comoda dei password manager sviluppati da aziende. E poiché un password manager è un software che si finisce per utilizzare più volte al giorno, la comodità è un aspetto essenziale.
- Come dicevo sopra, la pubblicazione del codice sorgente è una condizione necessaria per verificare la sicurezza di un software. Ovviamente non è una condizione sufficiente, dato che comunque occorre che qualcuno faccia effettivamente un audit del codice. Di nuovo, poiché i password manager open source sono sviluppati da volontari senza grossi mezzi economici, si conta soltanto sulla buona volontà degli utenti. Non ci si può dunque aspettare che il lavoro di audit su questi password manager sia sistematico e rigoroso.

D'altro canto, le aziende produttrici di password manager hanno i mezzi per pagare una terza parte che faccia un lavoro di audit scrupoloso sia sul codice sia sull'architettura "al contorno", come la piattaforma di cloud sul quale vengono memorizzati i password vault degli utenti. Purtroppo, c'è sempre il problema che il codice in questo caso è proprietario, e le aziende sono restìe a rilasciare i risultati degli audit. Rimane quindi una questione di fiducia non indifferente. LastPass, per fare un esempio, afferma di avere ingaggiato compagnie di terze parti per compiere regolarmente audit sul loro software (https://lastpass.com/support.php?cmd=showfaq&id=1626), ma senza pubblicarne i risultati. E i link che propone in quella pagina su ricercatori di indipendenti che cercano di dimostrare la sicurezza di LastPass senza avere a disposizione il codice sorgente non sono, a mio avviso, molto utili.

In ogni caso, direi che generalmente ci si può fidare. Usare un password manager è certamente più sicuro che non usarlo, sebbene non si possa dare un giudizio in maniera definitiva sulla sicurezza stessa del software. Da questo punto di vista, direi quindi che il criterio migliore per scegliere un password manager piuttosto di un altro sta tutto nella convenienza personale (se si è disposti a pagare per la sincronizzazione in cloud, se si trova noioso o meno inserire tutte le password a mano all'inizio, se si trova l'interfaccia utente comoda e semplice da usare, ecc.)
Chi le usa ha bisogno di ricordarsi soltanto una password: quella che dà accesso alla cassaforte virtuale nella quale il password manager custodisce tutte le sue password.

E questo porta al paradosso di chi in casa tiene sottochiave qualsiasi cosa, qualsiasi armadietto, qualsiasi porta, qualsiasi codice segreto....e poi conserva il tutto, perfettamente catalogato e archiviato, all'interno di una cassaforte.
La sicurezza nell'avere tutte quelle chiavi, quindi, si annulla completamente, perchè il tutto ora dipende dalla combinazione della cassaforte, che diventa l'unico ostacolo tra il ladro e il bottino. Di fatto, è come se tutti gli sportelli di casa avessero un unica chiave.
Quindi, il password manager, a sua volta, diventa la chiave universale con cui accedere ai nostri dati. E se l'accesso al password manager è memorizzato sul nostro computer, su un foglietto o su una chiavetta, bisogna tenere in considerazione l'eventualità del furto o dello smarrimento del supporto "fisico" con i dati d'accesso, che potrebbe portare a danni estremi.

Io, personalmente, uso due tecniche, ben consapevole che avranno anche loro le rispettive falle
1) usare, a rotazione, una decina di password, completamente diverse tra loro, ma facilmente memorizzabili, per i vari account. Così, se per caso ci si dimentica qual è la password di un determinato account, si può comunque andare per tentativi (compatibilmente con i limiti ai tentativi d'accesso). E se per caso qualcuno dovesse sgamare una di quelle password, è più difficile -anche se non impossibile- che possa usarla per TUTTI gli altri account. Dovrebbe comunque avere una discreta fortuna per beccare subito gli account in cui viene usata quella determinata password.
2) memorizzarle in un file, opportunamente criptate con il più semplice dei modi: la nostra memoria, opportunamente sollecitata.
Esempio: se dieci anni fa avevate una portinaia di nome Cristina Rambaudi e il vostro prof di italiano delle medie era Aristide Melchiorre, nel momento in cui trovate tra i vostri appunti le password C**s*in***mb**di e Ar****d*M***h*o*** automaticamente vi verranno in mente i nomi di quelle due persone, che chiaramente non sono così facilmente rintracciabili come i nomi dei genitori, fidanzati/e o migliori amici.
Non riesco a fidarmi del tutto di un sistema che mette tutte le uova in un unico paniere... certo, un paniere molto sicuro, ma se mi fregano quello mi fregano tutto.

Oltre ad avere diverse mail per diversi servizi, mi sono preso la briga di memorizzare ogni singola password che uso regolarmente (quelle poco usate magari mi daranno qualche fastidio nel recupero, ma sono appunto occasionali) perchè in fondo se non ho la buona volontà di fare un piccolo sforzo per la mia sicurezza... ;)

Fortunatamente posso contare su una memoria di ferro (anni di studio del giapponese aiutano) e combinazioni di parole, numeri e simboli in diversi idiomi. :)

Cheers
Sulla questione della scelta della password vi consiglio di vedere il video di computerphile uscito giusto pochi giorni fa: https://www.youtube.com/watch?v=3NjQ9b3pgIg.
@Luca Mariot @Mauro grazie per le risposte, forse si potrebbe essere più sicuri (ma lo dico senza conoscere bene dell'argomento) se non si attiva la sincronizzazione delle pass nel cloud. Se ho capito bene le pass vengono gestite dal programma in locale su quel computer. Scomodo se si usano altri device ma forse più sicuro.
Vorrei aggiungere anche la possibilità, per chi usa un Password Manager, ti utilizzare la ormai imprescindibile verifica in due passaggi ... Personalmente non mi interessa se il software del PM è open source o meno, mi interessa più sapere le sue feature e come avviene la criptazione dei dati ... Attaccare il cloud dei dati delle password sarebbe inutile in questo caso perché neanche il gestore del software riuscirebbe a recuperarle
Io ho un mio sistema. Anni fa per la mia prima email inventai una password (prima alfabetica, poi diventata alfanumerica) fatta con una sequenza di lettere (quindi poi anche di cifre) senza un significato specifico.
Poi ho generato un sistema per utilizzare, cambiando alcuni caratteri, password simili ma non identiche. Le variazioni le decido io in base a qualcosa del sito o del servizio che mi chiede una password.
L'unico modo per perdere le mie password, la procedura di codifica (e quindi di memorizzazione) è con l'Alzheimer. :)
E così non ho bisogno nè di scriverle, nè di utilizzare queste applicazioni.
Andhaka,

Non riesco a fidarmi del tutto di un sistema che mette tutte le uova in un unico paniere [...] mi sono preso la briga di memorizzare ogni singola password che uso regolarmente

Quindi hai messo tutte le tue password in un unico paniere: la tua memoria. Se ti succede qualcosa, chi lavora con te come le tirerà fuori da quel paniere? :-)
Paolo,
ho letto ora il tuo commento ad Andhaka ed in effetti devo precisare che il discorso che ho fatto riguarda le password di servizi personali. Quel poco che mi serve per "lavoro" è cartaceamente conservato.
Quindi hai messo tutte le tue password in un unico paniere: la tua memoria. Se ti succede qualcosa, chi lavora con te come le tirerà fuori da quel paniere? :-)

Basta essere in due a conoscerle :-)

Del resto non è che la situazione sia diversa se non si conosce la password di accesso al password manager o quella per decrittare il file cifrato delle password.
Guastulfo,


Del resto non è che la situazione sia diversa se non si conosce la password di accesso al password manager o quella per decrittare il file cifrato delle password.

Be', un po' di differenza c'è: senza password manager, l'altra persona deve memorizzarsi tutte le password. E poi aggiornarle e ricordarsi la versione aggiornata. È un bel po’ più impegnativo.
@Francesco Riccioli, in linea di principio hai ragione: senza sincronizzazione nel cloud la superficie d'attacco diminuisce. D'altro canto, però, si ha un grosso problema di disponibilità nel caso di guasto o compromissione di una delle macchine contenenti il database delle password in locale. In realtà, se la parte di crittografia del password manager è progettata in modo sensato (leggi: client-side encryption) e se è implementata correttamente (e questo ovviamente è un grosso se), non ci sono particolari problemi a memorizzare le password sul cloud. Anche nel caso in cui i server del cloud fossero compromessi, la master password comunque rimane in locale sul device dell'utente. Quindi un eventuale attaccante in grado di bucare la parte cloud del password manager si ritroverebbe, nella migliore delle ipotesi, con un mucchio di file cifrati con AES o con TwoFish, sulla cui sicurezza al momento si può stare tranquilli. In effetti, questo sembra essere esattamente il caso dell'hack subito da LastPass che menzionavo nel mio commento precedente.

@Stefano Spaziani, domanda: come si fa a sapere "come avviene la criptazione dei dati", se il codice sorgente dell'applicazione non è open?
Uso Keepass2Android da un po' di tempo. Ha anche la possibilità di abilitare l'unlock del database tramite il lettore di impronte digitali del telefono, oltre che con la password: secondo voi è un metodo affidabile?
La possibilità di utilizzare per la crittografia del database un file, che uno tiene in locale, e non sul cloud, è bella e pare sicura, però siamo sempre lì: io tengo il database sul cloud per poterci avere accesso sempre e ovunque, anche in caso di disastro, se però ho la chiave su un dispositivo locale, e questo dispositivo si rompe, o non ce l'ho con me...
Grazie a Paolo, quando ho un sospetto di furto password sui miei account, faccio una visita su:
https://haveibeenpwned.com/
e mi tolgo i dubbi :-)
Alche io, come il commento #14, per comodità faccio memorizzare le pw al browser ( io chrome, ma solo quelle non critiche, quindi escluso quelle dell'home banking per esempio).
Che sicurezza c'è in questo caso? Ovviamente ho le pw salvate altrove, in un file word protetto da pw robusta.
Io uso Keepass2 su PC e Keepass for Android sui dispositivi mobile. Il database è nel cloud, ed è protetto da master password + file chiave (quest'ultimo è solo in locale sui dispositivi da cui accedo).
In Keepass tengo tutte le password "importanti": per intenderci, posta elettronica, PayPal, Amazon, PIN delle carte etc - insomma tutte quelle che se finiscono nelle mani sbagliate possono avere conseguenze dal seccante al grave, e sono tutte password abbastanza robuste (alfanumeriche con simboli, non sono completamente casuali, c'è una certa logica dietro ma una logica non indovinabile da una macchina). Per i millemila forum, sitarelli e servizietti di vario tipo di Internet, invece, ammetto che sono più "lasco" e uso non dico sempre la stessa password, ma varianti abbastanza banali della stessa password. Diciamo che sacrifico per comodità la sicurezza di questi, accettando un rischio comunque contenuto, la cosa più grave che può succedere è che qualcuno possa scrivere "forza inter!" col mio nome sul forum dei tifosi della Juve :-)
E' di queste ore la notizia di uno "zero day hole" in LastPass.
http://www.theregister.co.uk/2016/07/27/zero_day_hole_can_pwn_millions_of_lastpass_users_who_visit_a_site/
Credo che la criticità di questo tipo di servizi è proprio il fatto di concentrare le credenziali di milioni di utenti in un unico punto. In caso di violazioni di sicurezza son dolori.

E se uno dimentica la master password (un classico: cambi la password e poi non usi il computer per 3-4 giorni) ha perso di colpo tutti i propri account.
No, mi dispiace, ma preferisco usare il metodo di xkcd con la variante di Danilo Salvadori.
@Turz
ci sono i sistemi di recupero password... grazie al cielo!

continuerò ad usare lastpass (buon rapporto qualità/usabilità/prezzo)

bye
How I made LastPass give me all your passwords
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/
Si tratta di un baco di LastPass molto recente ma già risolto. Il commento finale dell'autore del post è che l'autofill (l'inserimento automatico del nome utente e della password) è insicuro in quanto questo non è il primo baco di un autofill.
Che versione di KeePass mi consigliate per mac? KeePassx o KyPass? e per android? e per iOS? Qualcuno ha usato la versione portable? funziona bene? Grazie