Sì, sono qui per dirti con la faccia seria che non ho mai usato un gestore di password prima. Non è che non abbia mai preso in considerazione l'idea di iscrivermi ad uno di essi. Continuo a essere indotto a provare diverse opzioni, ma una parte di me ha sempre prurito a metterle tutte le uova nello stesso paniere, soprattutto quando le violazioni dei dati ci ricordano costantemente come ciò potrebbe essere negativo idea. So di non essere solo su questa barca perché, beh, le vecchie abitudini sono dure a morire. Ho pensato che sarei stato "più sicuro" se avessi ricordato le mie password o le avessi scritte da qualche parte. Ma con un elenco crescente di account online, ho finalmente difficoltà a creare password uniche e complesse per ciascuno di essi. Quindi il mio proposito tecnico per il 2023 era quello di dare una possibilità ai gestori di password, quindi eccoci qui.
Scegliere un buon gestore di password può essere complicato e l'enorme numero di opzioni disponibili non lo rende affatto più semplice. Ho imparato parecchio durante il mio viaggio e spero che questi suggerimenti possano aiutare anche te nel tuo.
Cerca le funzionalità che desideri
La maggior parte dei gestori di password fa molto di più che semplicemente inserire le password in un modulo di accesso. Keeper, ad esempio, è un gestore di password super ricco di funzionalità che può anche archiviare i dati della tua carta di credito, bloccare file e foto in un deposito sicuro, aiutarti a condividere le tue password e molto altro ancora. 1Password è inoltre dotato di molti vantaggi e può eseguire attività aggiuntive come rimuovere segreti dagli appunti e avvisarti di violazioni della sicurezza.
È importante capire cosa desideri dal tuo gestore di password, a meno che tu non voglia intraprendere il percorso infinito pieno di opzioni. Dopotutto, non ha senso pagare un premio per tutti gli extra se non li utilizzerai. Potresti già avere una cartella sicura sul tuo smartphone per proteggere file e foto importanti, oppure non devi pagare per novità come il monitoraggio del Dark Web e gli avvisi. Cerca invece le funzionalità utili che ti interessano.
Ecco alcune funzionalità importanti che consiglio invece di cercare:
- Supporto multipiattaforma per accedere e gestire le tue password salvate su qualsiasi dispositivo o piattaforma
- Autenticazione a più fattori per proteggere la tua cassaforte di password
- Accesso offline per assicurarti di conservare la tua password anche quando non sei online
- Supporto per le estensioni del browser per assicurarti di poter accedere alla tua password indipendentemente dal browser web che utilizzi
Ad esempio, stavo cercando un gestore di password che mi aiutasse a evitare di riutilizzare le stesse password su account diversi. Sono arrivato a un punto in cui stavo iniziando a riutilizzare alcune delle mie password, lasciando così la porta aperta ai malintenzionati per violare più account. Per farla breve, ho dato la priorità a un generatore di password semplice e sicuro rispetto a uno con funzionalità fantasiose per evitare di spendere più di quanto desiderassi come nuovo cliente. Il tuo chilometraggio può variare, però.
La crittografia “a conoscenza zero” è importante
La maggior parte dei gestori di password utilizza anche la crittografia sicura come AES a 256 bit e XChaCha20 per bloccare la password prima che lasci il tuo dispositivo. Pertanto, anche se utilizzi un servizio di gestione password che salva la tua password su un server remoto, potrebbe non essere immediatamente accessibile agli hacker che tentano di rubarla. Tutti i gestori di password affidabili in circolazione utilizzano tecniche di crittografia complesse per proteggere la tua cassaforte, così non sarai all'oscuro quando consegni informazioni importanti.
Bitwarden, ad esempio, utilizza la crittografia AES-CBC a 256 bit per i dati del deposito e PBKDF2 SHA-256 per derivare la chiave di crittografia. Tutti i tuoi dati vengono crittografati o sottoposti ad hashing prima di essere inviati ai server remoti e possono essere decrittografati solo con la chiave derivata dalla tua password principale. NordPass, invece, utilizza XChaCha20, che è più veloce e più facile da implementare rispetto ai metodi standard.
Ti consiglio di scegliere solo quelli che utilizzano una soluzione di crittografia a conoscenza zero, il che significa che non possono leggere o condividere le tue informazioni sensibili. Naturalmente, non c'è modo di rimanere al sicuro al 100% online, ma è utile coprire le nozioni di base.
Scegli gestori di password con backup sicuri
È anche importante scegliere gestori di password che ti consentano di creare un backup di tutte le tue password crittografate nel caso in cui il server remoto contenente tutte le tue password si blocchi. Alcuni gestori di password creano un backup della password crittografata, mentre altri consentono semplicemente di creare un backup dei dati decrittografati in un formato leggibile dall'uomo. In ogni caso, è importante creare un backup nel caso in cui finissi per perdere l'accesso al tuo deposito a causa di qualche errore del server e ritrovarti in una situazione in cui non puoi più accedere ai tuoi account in linea.
Guardando il recente incidente LastPass e come ha gestito la situazione, so che non lascerò mai un backup delle mie password online, anche se è crittografato. Puoi sempre creare un backup manuale e scaricare una copia di tutte le tue password, ma assicurati di spostarla e archiviarla in modo sicuro per evitare che cada nelle mani sbagliate.
Controlla i dati biometrici e altri modi per accedere
L'autenticazione a più fattori (MFA), come ho detto prima, è una delle funzionalità più importanti da cercare in un gestore di password. Dovresti cercare di combinare una password complessa con l'autenticazione a due fattori (2FA) o anche con l'autenticazione biometrica, come l'impronta digitale o la scansione del volto. La protezione biometrica di solito funge da livello aggiuntivo, quindi ti verrà comunque richiesto di utilizzare la tua password principale e qualsiasi accesso in due passaggi abilitato. Non esistono troppi livelli di sicurezza, soprattutto quando una sola password/chiave può sbloccare un deposito pieno di dati sensibili.
Vale anche la pena notare che l'impostazione dell'autenticazione MFA o biometrica non è un'alternativa alla tua password principale. Avrai comunque bisogno della chiave principale per decrittografare i dati del vault prima di accedervi dopo aver superato livelli aggiuntivi. Tecnicamente, dovrai inserire la password principale solo una volta per ciascun dispositivo poiché i dati del deposito dal server verranno quindi scaricati e archiviati automaticamente localmente. Questo mi porta anche al punto successivo, e probabilmente il più importante.
Non dimenticare la password principale!
Quasi tutti i moderni gestori di password funzionano con crittografia a conoscenza zero, quindi non possono leggere o recuperare la tua password principale. Alcuni di essi ti offrono strumenti per recuperare la password nel caso in cui la dimentichi, ma non puoi utilizzarli davvero a meno che tu non abbia pre-autorizzato tali opzioni. Alcune di queste opzioni includono:
- Un suggerimento per la password: Il tuo gestore di password ti invierà il suggerimento per la password (se ne hai configurato uno) via email.
- Accesso tramite contatto di emergenza: a condizione che tu abbia abilitato l'opzione di accesso di emergenza sul tuo account, puoi contattare il tuo contatto di emergenza per riottenere l'accesso al tuo caveau.
- Reimpostazione della password dell'amministratore: quelli con un account aziendale possono contattare i propri amministratori per reimpostare e riottenere l'accesso ai propri account.
Le opzioni di ripristino menzionate sopra funzioneranno solo se le hai autorizzate in precedenza. Alcuni gestori di password come Dashlane ti consentono anche di recuperare la tua password principale utilizzando l'autenticazione biometrica, ma anche questo funzionerà solo se l'hai abilitata prima di dimenticare la password principale.
Tutti i moderni gestori di password funzionano con crittografia a conoscenza zero, quindi non possono leggere o recuperare la tua password principale.
Se nessuna di queste opzioni ti consente l'accesso, non hai altra scelta che eliminare il tuo account e crearne uno nuovo. Ciò significa anche che perderai gli oggetti archiviati nel tuo caveau, quindi dovrai reimpostare le informazioni di accesso per ciascun account.
Iniziare da principiante
Ero sopraffatto quanto probabilmente lo sei anche tu adesso dopo aver letto tutto. Se non ti senti a tuo agio nel configurare un gestore di password per tutti i tuoi account, perché non iniziare a utilizzarlo per alcuni account di base o occasionali? Sai, quelli che potresti aver creato per provare una prova gratuita o leggere un articolo dietro un paywall.
Consiglio inoltre di testare il terreno con gestori di password gratuiti prima di sottoscrivere un abbonamento premium. Essendo una persona abbastanza nuova nel mondo dei gestori di password, ho iniziato a utilizzare Bitwarden per familiarizzare con gli account a basso rischio. Bitwarden viene fornito con tutti gli elementi essenziali e non blocca nulla di importante sotto un paywall. È anche completamente open source, il che significa che puoi rivedere, verificare e contribuire al codice di Bitwarden su GitHub.
Trovo anche la pace sapendo che posso ignorare l'archiviazione cloud di Bitwarden e l'intero stack dell'infrastruttura dell'host sulla piattaforma di mia scelta. Ancora una volta, tutto dipende dalle funzionalità che desideri, quindi assicurati di cercare diverse opzioni e seleziona quella che ritieni funzioni meglio per il tuo caso d'uso. Puoi sempre dare un'occhiata al nostro raccolta dei migliori gestori di password una volta che conosci i dettagli e sei pronto per entrare.