Password Manager: una rassegna delle migliori soluzioni

Non è così facile generare una password sicura: gli hacker possono servirsi di avanzatissimi software che riconoscono lo schema e decifrano la password, così nel giro di qualche secondo hanno accesso a dati sensibili. La soluzione sono complesse parole d’ordine composte da una combinazione accidentale di lettere, cifre e caratteri speciali, che risultano difficili da decifrare anche per i malintenzionati provvisti dei migliori software e hardware. Tuttavia simili sequenze indecifrabili risultano altrettanto difficili da ricordare anche per gli stessi utenti cui fanno riferimento. Nello specifico chi necessita di una moltitudine di differenti accessi privati per le proprie attività al computer, può approfittare delle opportunità che offre un Password Manager.

Il motivo più frequente per cui vengono hackerati account di online banking, posta elettronica o archivi cloud è la sprovvedutezza degli utenti, i quali non hanno utilizzato una password abbastanza sicura per il login e quindi anche per la protezione dei dati personali. Troppo spesso le parole d’ordine come “123456” o “password” facilitano il lavoro agli hacker. Un ulteriore errore che può diventare fatale in men che non si dica consiste nell’utilizzare sempre la stessa password per motivi di praticità. La ragione di un tale comportamento sbagliato è lo stesso in entrambi i casi: sia la generazione di una password sicura sia la gestione di un grande numero di parole d’ordine diverse richiedono uno sforzo elevato.

I tool di gestione delle password risolvono il problema della complessità e sono così un aiuto indispensabile per tutti coloro che hanno regolarmente a che fare con una molteplicità di servizi con obbligo di login e che vogliono stare sul sicuro. Grazie alla crittografia automatica delle password e del database, i Password Manager proteggono i vostri dati anche se un hacker dovesse riuscire ad accedere al vostro sistema.

I programmi per la gestione delle password appartengono ai tool che sono in grado di rendere più sicuri i vostri movimenti e le vostre attività di tutti i giorni sul World Wide Web. Se utilizzate molte applicazioni che richiedono un login e lavorate con informazioni riservate e dati sensibili, allora non trarrete solo vantaggio dalla protezione offerta dai comodi programmi di sicurezza, ma anche dalla semplificazione dei processi di accesso. Tuttavia prima di riuscire a configurare un sistema di password su misura per voi, dovete trovare un Password Manager adatto: il che, vista l’infinità di soluzioni open source e proprietarie esistenti, è più facile a dirsi che a farsi.

Per riuscire a individuare il tool che fa per voi, dovete per prima cosa sapere quali sono i criteri che deve soddisfare. Un fattore importante è la questione se il software debba funzionare solamente sul computer locale o se vogliate eseguirlo tramite un supporto di memoria mobile (come una chiavetta USB) anche su un dispositivo esterno. Inoltre dovete capire se il programma deve contenere la funzione di generatore o meno. I singoli tool di gestione delle password presentano differenze anche per quanto riguarda gli algoritmi sui quali si basano. Qui naturalmente giocano un ruolo fondamentale anche le preferenze personali: l’importante è che vi assicuriate che venga utilizzato una procedura di codifica attuale.

Per concludere, anche il luogo di archiviazione del database delle password è un criterio di valutazione essenziale: alcuni programmi salvano le parole d’ordine automaticamente sul cloud del provider, garantendo così una disponibilità costante. Tuttavia per avere il massimo controllo sulle vostre password dovete ricorrere a un tipo di soluzione che consenta la memorizzazione in locale sul proprio sistema.

KeePass consente di crittografare l’intero database di password. A questo scopo sono a disposizione gli algoritmi AES o Twofish, mentre per la protezione delle singole password entra in gioco l’algoritmo hash SHA-256. Gli utenti hanno a disposizione tre diverse opzioni per accedere al database: una classica password master, l’utilizzo di un account di Windows oppure la variante con la chiave. Quest’ultima è considerata dallo sviluppatore come la soluzione più sicura, tuttavia dovete avere il file sempre con voi, magari su una chiavetta USB o su un CD. Inoltre è possibile anche una combinazione di password principale e file chiave. Ulteriori funzioni del Password Manager sono le seguenti:

• Diversi formati di esportazione come TXT, HTML, XML o CSV
• Oltre 35 formati di importazione
• Categorizzazione delle password
• Indicazione dell’ora e della data di creazione, dell’ultima modifica, dell’ultimo accesso e del termine di scadenza delle password
• Funzione di ricerca e di filtro
• Framework di plugin personalizzato

KeePass non convince solamente per le sue ampie funzioni di database, ma anche per il suo generatore di password integrato, grazie al quale creare password sicure per i vostri login nel più breve tempo possibile. Tra le impostazioni stabilite la lunghezza della password e la sequenza di caratteri alla base (maiuscole, minuscole, cifre, simboli e così via). In alternativa come base potete anche scegliere un modello proposto oppure un algoritmo personalizzato.

Che Password Safe sia un software orientato alle aziende si vede soprattutto nelle numerose feature multiutente disponibili in tutte le edizioni professionali. Fra le altre cose si tratta di un database di gruppo centralizzato, sul quale potete facilmente impostare un controllo degli accessi basato sui ruoli. Inoltre è possibile consentire l’utilizzo di una password solo a fronte di un valido motivo. Le codifiche AES-256 e RSA-4096 (per le codifiche a lungo termine) si occupano della sicurezza del database e delle password. Potete stabilire la connessione con il database tramite inserimento di una password master oppure con l’aiuto di un file di codifica. A partire dal pacchetto professionale potete anche combinarli tra loro per aumentare ulteriormente il grado di sicurezza. A seguire presentiamo un elenco delle altre feature offerte dallo strumento di gestione delle password:

• Compatibile per cloud tramite crittografia end-to-end
• Firewall per il database (solo per i pacchetti “Enterprise” ed “Enterprise Plus”)
• Bacheca adattabile
• Funzioni intelligenti di ricerca e di filtraggio
• Tastiera virtuale per la protezione da keylogger
• Backup live automatici

L’esecuzione gratuita di Password Safe per un impiego maggiore non è consigliata per via di varie limitazioni: ad esempio possono essere inseriti solamente 20 record di dati, di cui al massimo una banca o una lista di TAN. Tuttavia con questa edizione è possibile generare nuove password. Rispetto a molte altre soluzioni, il Password Manager presuppone che le parole d’ordine rispettino le linee guida predefinite o che avete configurato voi stessi.

Il database delle password è accessibile in qualsiasi momento e su qualsiasi dispositivo tramite il pulsante sulla barra del browser o tramite l'applicazione web. L'algoritmo di crittografia AES-256 e le funzioni hash (PBKKDF2 SHA-256) proteggono le password. La crittografia avviene sempre a livello di dispositivo, in modo che la password master e le chiavi per la codifica o la decodifica siano sempre memorizzate localmente e non vengano inviate ai server LastPass. È inoltre possibile scegliere tra una varietà di soluzioni di autenticazione multilivello, ad esempio un codice SMS o un componente hardware aggiuntivo. Il database web si caratterizza anche per le seguenti caratteristiche:

• Inserimento automatico delle password
• Supporto per l’accesso tramite impronte digitali
• Rilascio sicuro delle password
• Database delle password che si sincronizza automaticamente con tutti i dispositivi
• Generatore di password integrato
• 1 GB di spazio di archiviazione crittografato (a partire dall'edizione Premium)

I pacchetti Business per le aziende rendono LastPass utilizzabile anche per diversi utenti. Da un lato questo offre ulteriori strumenti di amministrazione centralizzata per la gestione degli accessi dei dipendenti; dall’altro ogni dipendente riceve la propria password di sicurezza che gestisce autonomamente. L'abbonamento Enterprise è destinato alle grandi aziende e include anche il supporto clienti. È inoltre possibile configurare le proprie policy di sicurezza e accedere alle API del Password Manager.

Gli sviluppatori di 1Password puntano sulla crittografia end-to-end (AES-256): tutte le informazioni di contatto e le password che importate nel programma, saranno codificate prima che lascino i vostri dispositivi. Le cifrature utilizzate nella procedura godono di una protezione costante da parte della password master, la cui potenza è rafforzata da una chiave di sicurezza in 128 bit salvata in locale.  Ottenete questa chiave di accesso al server del provider automaticamente dopo aver effettuato il login sul Password Manager. Anche se gli hacker dovessero riuscire ad accedere a questo server, che come la stessa applicazione web viene hostata sugli Amazon Web Services (AWS), tutti i vostri dati rimangono cifrati. Oltre a ciò 1Password riesce a convincere grazie alle seguenti feature:

• Accesso offline
• Sincronizzazione automatica con tutti i dispositivi utilizzati
• Analisi automatica del grado di sicurezza di tutte le password
• Integrazione facile dei login esistenti
• Tasti di scelta rapida personalizzabili per il login automatico
• Raggruppamento di parole chiave (sistema di cartelle o di tag)
• Spazio di archiviazione di 1 GB per documenti

Il tool di gestione delle password offre un proprio generatore con cui creare parole chiave sicure. A questo proposito è possibile configurare le impostazioni relativamente a lunghezza, pronunciabilità e cifre e simboli desiderati. Il generatore può essere utilizzato per realizzare nuove password per account già esistenti. Per utilizzare 1Password avete a disposizione diverse licenze: gli utenti privati possono stare sul sicuro con la versione di base (per una persona) oppure con il pacchetto famiglia (per cinque persone). Le agenzie e le aziende, invece, possono scegliere fra tre piani business: Standard (per team piccoli), Pro (per PMI) e infine Enterprise (per grandi aziende), tutti estensibili con ulteriori feature come la console da amministratore, il controllo degli accessi avanzato oppure l’account manager personale.

L’interfaccia utente di Dashlane è suddivisa in tre aree: alla voce Password Manager trovate le password inserite (cifrate con AES-256), anche se il software implementa automaticamente i dati di accesso già indicati. Una peculiarità è data dal Password Changer, il quale consente modifiche automatiche a una password per tutti i siti web supportati: in questo caso Dashlane accede in autonomia al progetto web desiderato e si prende carico dello scambio. Inoltre a partire da questa area potete aprire la “Security dashboard” (bacheca di sicurezza) per scrivere appunti personali e protetti da password. Al punto “Wallet” (portafoglio) potete salvare le vostre informazioni personali di contatto, ricevute di pagamento o fotocopie e scansioni (ad esempio di un documento di identità o della patente). Infine l’area “Contacts” (contatti) contiene tutte le funzioni di cui avete bisogno per l’utilizzo condiviso del Password Manager. Fra le altre cose, ricordiamo anche le seguenti feature:

• Completamento automatico di formulari e login
• Avvisi di sicurezza in caso di password non sicure
• Categorizzazione delle parole d’ordine
• Diverse interfacce per l’importazione di password (da browser tra cui Chrome e Firefox, ma anche da tool come KeePass, LastPass e 1Password)
• Esportazione dei dati (in formato Excel, CSV e nel formato proprio del programma)
• Cronologia della password

Come molti altri gestori di password, Dashlane ha un generatore integrato che crea password lunghe fino a 28 caratteri. È possibile scegliere se utilizzare lettere, numeri, simboli, lettere maiuscole o minuscole. Inoltre tutti gli utenti dell’edizione a pagamento possono sincronizzare tutti i dati inseriti e le password su tutti i tipi di dispositivi, in modo da avere le informazioni disponibili ovunque e in qualsiasi momento. Infine, per quanto riguarda i pacchetti a pagamento, Dashlane offre anche l'autenticazione a due fattori: in questo caso la password master predefinita è combinata con un token di sicurezza U2F situato su un dispositivo di memorizzazione esterno.

I Password Manager sono utili per generare o gestire password complesse e sicure: in caso di dimenticanza, entra in azione lui. Tuttavia il fatto che tutte le password siano gestite da un software comporta anche il grande svantaggio di questi programmi. Perché se perdete o dimenticate la password master, tutte le applicazioni saranno inaccessibili. Inoltre dipendete sempre dal database che avete creato: per quanto riguarda le installazioni locali, potete usufruire del tool solo a partire dal vostro PC di casa. Se però optate per una soluzione mobile o cloud, aumentate il rischio per la sicurezza. Dopotutto nessuna soluzione garantisce una protezione al 100%.

Se non volete essere vincolati a un database e a dei programmi, dovete affidarvi alla vostra memoria. Un'opzione sensata è quindi un sistema di password, in cui si modifica una password master sicura secondo uno schema predefinito che cambia a seconda del portale web che si desidera utilizzare. Infine basta ricorrere a delle semplici tattiche di memorizzazione e sarete in grado di ricordare la password master.