Tempo fa stavo parlando con una vicina di casa e mi stava raccontando di essersi registrata a un sito internet utilizzando (vi riporto le sue testuali parole) “la mia solita password”.
La mia prima reazione fu sperare che il passo successivo non sarebbe stato rivelarmi la chiave d’accesso con assoluto candore (grazie a Dio così non fu), la seconda fu inorridire (con discrezione, per non ferire i suoi sentimenti).
Avere una stessa password per tutti i servizi internet che utilizziamo sarà senz’altro comodissimo, ma anche parecchio rischioso: se qualcuno con cattive intenzioni dovesse venire a conoscenza della nostra parola segreta avrebbe accesso alla nostra mail, le piattaforme social, magari anche all’home banking… Insomma, a tutta una serie di informazioni che stiamo appunto cercando di proteggere (evidentemente nel modo sbagliato).
Potremmo cercare di utilizzare una password diversa per ogni sito e poi ricordarci tutto a memoria ma, a meno di non essere Super Vicky, potrebbe risultare parecchio difficile:
- se vogliamo impostare una password diversa per ogni servizio, potremmo arrivare facilmente ad avere decine di password da memorizzare: mail (personale e dell’ufficio), Facebook, Instagram, Twitter, Snapchat, Netflix, Spotify, App Store, banca, luce, gas, Amazon, supermercato, Booking, Airbnb, WordPress, Runtastic e così via potenzialmente fino all’infinito
- se fossimo in grado di ricordarci così tante password, tutte diverse tra loro, probabilmente allora sarebbero password molto facili e quindi per niente sicure (ad esempio 123456, ciaociao, qwerty, data di nascita, etc.).
C’è poco da fare: per ricordarsi tutte le password di cui abbiamo bisogno per accedere ai servizi online che utilizziamo (il cui numero cresce giorno per giorno) dobbiamo scrivercele.
Pensare di scriverle tutte su un post-it e poi appiccicarlo al monitor del computer (come è successo in questo caso e in quest’altro) è come pensare di scrivere il pin del bancomat su un foglietto e metterlo via insieme al bancomat stesso, in modo tale da fare un favore a un eventuale malfattore che, se ci dovesse rubare il portafogli, potrebbe prelevare i nostri risparmi senza alcuno sforzo.
Il modo migliore per tenere un archivio scritto delle proprie password e nello stesso tempo mantenerle al sicuro è quello di metterle sotto chiave, anzi, sotto password!
Esistono una serie di app di gestione delle password (conosciute anche come password manager) in cui poter archiviare tutte le nostre parole d’accesso: ovviamente per accedervi c’è bisogno di una password, ma sarebbe l’unica che dobbiamo fare lo sforzo di ricordarci!
Questi servizi – alcuni gratis altri a pagamento – offrono anche funzionalità aggiuntive oltre all’archivio delle password: andiamo a dare un’occhiata ai software più noti e alle loro caratteristiche per cercare di capire come funzionano e perché sono utili e comodissimi.
1) LastPass
LastPass è forse il servizio di gestione delle password più conosciuto: nato come un servizio solo a pagamento ha poi messo a disposizione una versione multidispositivo completamente gratuita (aggiornamento di marzo 2021: da questo mese la versione gratuita si può usare solo su un dispositivo a scelta; se si vuole usare LastPass su più di un dispositivo è necessario utilizzare una delle sue versioni a pagamento), ma esistono versioni a pagamento (Premium e Families, più le opzioni per le aziende).
Versione Free
Basta scaricare l’estensione per il browser che utilizziamo (Chrome, Firefox, Microsoft Edge, Opera, Safari) e/o l’app per smartphone o tablet (iOS, Android, Windows Phone): le chiavi d’accesso collegate allo stesso indirizzo mail verranno sincronizzate direttamente tra tutti i dispositivi (da marzo 2021 l’uso multidispositivo non è più possibile con la versione gratuita).
Le password vengono immagazzinate nella “Cassaforte” dove è possibile, per ogni chiave d’accesso, creare una scheda dettagliata con il nome del sito, la URL, il nostro nome utente e la nostra password, e poi organizzare le varie schede in gruppi in base al criterio che preferiamo.
LastPass mette a disposizione anche un generatore di password integrato che genera password lunghe e casuali, quindi più sicure; se vogliamo, poi, possiamo fare in modo che LastPass completi automaticamente le credenziali di accesso dei siti che mettiamo in cassaforte in modo tale da non dover andare a fare copia incolla del nome utente e della chiave d’accesso.
All’interno di LastPass possiamo anche creare profili con le nostre carte di credito: al momento di fare un acquisto online, invece che estrarre fisicamente la carta dal portafoglio e digitare il numero, ci basta selezionare il profilo creato su LastPass che provvederà a inserire i dati richiesti.
Altre funzioni utilissime sono la prova di sicurezza per le password che controlla le nostre chiavi d’accesso e ci avvisa nel caso siano deboli o duplicate; la sezione “secure notes”, invece, ci permette di scrivere delle note importanti che non ci vogliamo dimenticare (magari le varie password delle diverse reti WiFi che utilizziamo, il numero dei documenti d’identità, etc.).
Per una maggiore sicurezza, poi, possiamo scegliere di effettuare l’autenticazione a due fattori, quindi ci verranno richiesti due login prima di aver accesso alla nostra cassaforte.
Versione Premium
La versione Premium costa due dollari al mese e, oltre a tutto ciò che prevede la versione gratuita, ci permette di condividere password, credenziali Wi-Fi, iscrizioni e molto altro con altre persone a nostra scelta; inoltre possiamo creare un piano di contingenza con accesso di emergenza per persone di fiducia nel caso non potessimo accedere al servizio.
I clienti Premium hanno anche diritto a un supporto tecnico prioritario, a LastPass per applicazioni e a 1 GB di spazio di archiviazione di file crittografato.
Versione Families
Questa versione costa 4 dollari al mese per un massimo di 6 membri: ci permette di concedere un accesso sicuro dei nostri account a un altro utente LastPass con la funzione “Accesso di emergenza” e di condividere le password e le carte di credito con i membri della famiglia dividendo tutte le informazioni in cartelle che verranno messe a disposizione solo ai membri della famiglia che decidiamo noi, in modo tale che ognuno abbia accesso solo a ciò che gli serve.
Versioni Business: Team ed Enterprise
Oltre alle versioni per privati, LastPass mette a disposizione anche soluzioni per le aziende: la versione Team da 5 a 50 membri per 2, 42 dollari mensili a utente e la versione Enterprise da da 5 utenti in su per 4 dollari mensili a utente.
A prescindere dalla versione che utilizziamo, i dati che affidiamo a LastPass vengono crittografati e decrittografati a livello di dispositivo, inoltre la chiave d’accesso che utilizziamo per accedere alla cassaforte non è accessibile a LastPass e non viene inviata ai suoi server.
2) Bitwarden
Bitwarden è un software gratuito e open-source; a differenza di LastPass è gratuito anche nella sua versione multidispositivo e si può utilizzare attraverso la versione web, attraverso l’ app oppure con le estensioni per browser.
Come funzionamento è del tutto simile a LastPass:
- sincronizza le password tra i diversi dispositivi
- realizza l’auto-riempimento durante il login
- ha un generatore automatico di password e un indice che ci dà un’idea della “robustezza” della password che abbiamo scelto
- crittografia end-to-end
- auntenticazione a due fattori
Bitwarden ha anche una versione Premium che – per solo 10 dollari all’anno – offre alcune funzionalità in più. Se, invece, ciò che cerchiamo è una piattaforma per tenere al sicuro le password ma condividerle con i membri della nostra famiglia, il piano “Family Organization” è disponibile per 40 dollari l’anno.
3) 1Password
1Password è una piattaforma di gestione delle password che ha parecchi punti in comune con LastPass:
- si accede alle password ricordando solo una password principale
- mette a disposizione un generatore automatico di password sicure
- dà la possibilità di completare il login dei siti senza necessità da parte nostra di digitare i dati d’accesso
- non è solo per le password ma per tenere traccia di tutte le informazioni private o i dati sensibili che vogliamo tenere a portata di mano in sicurezza
- è possibile creare schede per le carte di credito
- i dispositivi vengono sincronizzati automaticamente e quindi rimangono sempre aggiornati
- è disponibile per browser e app
- c’è una versione Families
A differenza di LastPass non esiste una versione gratuita, si parta con una tariffa base di 2,99 dollari al mese (dopo un periodo di prova gratuito): gli utenti possono contare però sul servizio clienti 24 ore al giorno 7 giorni su 7, oltre a 1 GB di spazio per archiviare documenti e la possibilità di recuperare le password previamente eliminate.
E’ molto interessante la modalità Travel che permette agli utenti di rimuovere i dati sensibili da un determinato dispositivo quando partono per un viaggio (durante gli spostamenti le possibilità di smarrire i nostri device tecnologici aumentano) e di ripristinarli al loro ritorno.
Versione Families
Costa 4,99 dollari al mese ed è disponibile per un numero massimo di 5 utenti: permette di condividere i dati (password, documenti, carte di credito, note, etc.) e possiamo controllare le informazioni a cui ha accesso ogni membro della famiglia.
4) Dashlane
Dashlane ha tre versioni: Free, Premium e Business.
Versione Free
E’ possibile utilizzarla da un solo dispositivo e permette:
- l’archiviazione illimitata di password e dati (carte di credito e di debito, conti correnti, Paypal etc. nel portafoglio digitale)
- l’utilizzo di servizi di monitoraggio di sicurezza e avvisi di eventuali violazioni
- la modifica istantanea della password
- di generare password uniche ed efficaci
- di provare 30 giorni di versione Premium gratis
- il monitoraggio continuo del livello di sicurezza delle password
I servizi di monitoraggio di sicurezza sono molto utili: quando un sito subisce una violazione vengono inviati degli avvisi di sicurezza direttamente al computer o al telefono dell’utente; in questo modo è possibile visualizzare l’account direttamente colpito e le altre password interessate.
Se dovesse verificarsi una situazione del genere, Dashlane mette a nostra disposizione lo strumento Password Changer di Dashlane, una funzionalità gratuita del servizio che si occupa di sostituire vecchie password con altre nuove e più forti, e le protegge archiviandole all’interno della piattaforma.
Versione Premium
La versione Premium di Dashlane costa 3,33 dollari al mese e permette di archiviare le password su un numero illimitato di dispositivi, con garanzia soddisfatti o rimborsati per i primi 30 giorni.
Questa versione, oltre a tutto ciò che prevede la Free, offre:
- sincronizzazione della password fra i diversi dispositivi
- backup sicuro dell’account
- condivisione illimitata di password
- assistenza clienti prioritaria
- supporto per l’autenticazione con YubiKey (U2F), una chiave fisica che può essere connessa al computer o allo smartphone via USB o tramite NFC
Versione Business
Questo profilo è rivolto alle aziende di qualsiasi dimensione e costa 4 dollari al mese per utente.
Prevede tutte le funzionalità delle versioni Free e Premium, più:
- Smart Spaces™ per l’archiviazione illimitata di password aziendali e personali
- console da amministratore con politiche personalizzate
- condivisione di password sicura con la gestione di gruppo
- amministrazione degli account semplificata (SAML, MSI, elenco attivo)
- opzioni 2FA aggiuntive (per l’autenticazione a due fattori)
- account manager dedicato (per account da 50 o più utenti)
Dashlane, che per la sicurezza delle password utilizza un sistema brevettato è compatibile con numerosi siti web che si possono consultare in questo elenco, costantemente aggiornato.
5) Keepass Password Safe
Basta dare un’occhiata alla home page per capire che si tratta di un servizio meno intuitivo e user friendly rispetto ai gestori di password che abbiamo visto in precedenza.
Keepass Password Safe è un software open source gratuito: è rivolto a Windows anche se nel tempo sono state create versioni non ufficiali compatibili con gli altri sistemi operativi più popolari.
Le password memorizzate sono suddivise in gruppi e a ogni gruppo viene assegnata un’icona: è possibile poi organizzare le chiavi d’accesso anche in sottogruppi.
Come gli altri servizi anche Keepass è dotato di un generatore di password sicure integrato, e possiede una funzione di autocompletamento compatibile con Windows e Internet Explorer; sono poi disponibili diversi plugin che dotano il software di molteplici funzionalità aggiuntive, purtroppo però sono integrazioni sviluppate da terzi che passerebbero quindi ad avere accesso alle password che abbiamo salvato su Keepass.
I gestori di password come quelli che abbiamo appena visto ci semplificano davvero la vita: creano per noi chiavi d’accesso super sicure, compilano al posto nostro le credenziali di login sulle varie piattaforme a cui siamo iscritti e, soprattutto, ci permettono di dimenticarci letteralmente della password per accedere a tutti i servizi online (tranne di una, quella per accedere al password manager stesso),
Un elemento in comune a tutti i servizi che abbiamo visto è proprio la master password, ovvero quell’unica password che dobbiamo ricordarci per accedere alle nostre chiavi d’accesso.
Quell’unica password dobbiamo per forza tenerla a mente (se state pensando al post-it potete rileggere questo post da capo :D) e dev’essere anche sicurissima: è la parola segreta che mantiene al sicuro tutte le nostre password!
Come creare una master password sicura?
Dovrebbe essere una sequenza di parole casuale, che non contenga riferimenti a dati personali; è meglio utilizzare lettere in minuscolo, maiuscolo, caratteri speciali e numeri.
Potrebbe essere, per esempio, il mix di due ritornelli di due canzoni diverse intervallati da qualche carattere speciale, ad esempio:
BillieJean%lover?49another_brick!Wall-09
So cosa state pensando: è difficilissimo ricordare una password del genere.
Non c’è bisogno che sia così complicata, può essere anche leggermente più semplice (ma non esageriamo) e poi possiamo farci aiutare dal suggerimento che impostiamo come aiuto nel ricordarci la password (anche in quel caso però dobbiamo non essere troppo specifici: mettiamo un indizio non palese che ci aiuti però a ricordare la nostra chiave d’accesso).
Ricapitolando: all’inizio potrebbe volerci un po’ di tempo per imparare a usare correttamente un password manager e per caricare a sistema tutte le password e i dati che vogliamo archiviare; si tratta però di un minimo investimento di tempo che ce ne farà risparmiare moltissimo in futuro.
Alcuni servizi sono a pagamento, e anche questo è vero: tuttavia si tratta di pochi euro al mese, un prezzo che vale assolutamente la pena di pagare per mettere in sicurezza dati che, se venissero diffusi, potrebbero costarci parecchio di più (sia in termini economici che di privacy).
Di fianco ai servizi a pagamento, poi, ci sono anche quelli gratuiti: le funzioni sono basiche, ma se si tratta solo di memorizzare le nostre password e dire finalmente addio al post-it attaccato sul monitor del computer di certo possono bastarci! 😉