Ho mosso i miei primi passi nel mondo del WEB durante la seconda metà degli anni ‘90, quando i browser non erano abbastanza evoluti per memorizzare le password e i log-in mediante social nemmeno esistevano. Ciononostante tutti i siti web più interessanti richiedevano di registrarsi.
Compresi presto che scrivere le password con metodi tradizionali (carta e penna a vita!) non poteva funzionare.
La mia soluzione all’epoca fu quella di usare piccole varianti della stessa password per tutti i siti, “isolandoli” utilizzando una password completamente diversa e molto complessa per la casella di posta collegata. Questa era una soluzione migliore di quelle normalmente usate dagli altri utenti ed ad oggi ne sono molto orgoglioso, ma è sufficiente? Beh… non proprio (ritorniamo su questo argomento più avanti)
Sapevo che doveva esistere una e migliore soluzione a questo problema da usare sia in ambito lavorativo che nella mia vita privata.
Ecco gli argomenti trattati in questo articolo:
Tornando al presente, molti pensano che l’unica cosa importante sia inserire la password corretta: il browser si occupa di salvarla e sincronizzarla in tutti i tuoi device.
I Browser moderni riescono a mantenere le password sincronizzate in tutti i tuoi dispositivi e la maggior parte dei siti web ti obbligano a utilizzare solo password forti, ma non è sufficiente.
Ricordarsi le password è solo metà del problema.
Ogni volta che ci iscriviamo in un sito web gli affidiamo il compito di conservare e proteggere le nostre password ed i dati personali, purtroppo però non sempre riescono nel loro compito, ed i dati rubati finiscono spesso nelle mani sbagliate.
La probabilità di vedere violati i nostri dati aumenta con il numero di siti a cui ci registriamo. Molti di noi rimangono sorpresi nello scoprire che il nostro indirizzo email, una nostra vecchia password o altri dati personali che abbiamo inserito anni fa in un sito web sono state rubate e non sono più segrete… al danno si aggiunge la beffa quando si pensa che a quel sito abbiamo fatto accesso una sola volta. Potete facilmente verificare se è successo anche a voi, torneremo su questo più avanti.
Seguendo le buone pratiche della generazione delle password è possibile mitigare i problemi di sicurezza.
Una buona password deve essere:
Le ragioni alla base di questi requisiti sono semplici da comprendere, password lunghe e casuali sono più resistenti agli attacchi di forza-bruta e sono immuni agli attacchi di dizionario. Inoltre utilizzando password univoche una singola violazione di dati non compromette gli altri servizi a cui si è registrati.
Un ulteriore aspetto da considerare è che non tutte le password sono private. Alcune sono condivise con i vostri amici, familiari oppure con i vostri colleghi di lavoro.
Le password condivise fanno aumentare esponenzialmente il numero di problematiche da gestire:
Questi sono solo degli esempi, ma sono stati sufficienti a convincermi che per me non era sufficiente decidere delle convenzioni su come creare le password. Avevo necessità di un buon gestore di password.
Detto semplicemente, un buon gestore di password è un software che risolve tutti i problemi più comuni, ed aggiunge anche qualche feature extra.
Un gestore di password deve migliorare ciò che fanno già i browser, deve quindi supportare:
Ovviamente il valore aggiunto è una gestione centralizzata su tutti i browser e app.
Un secondo valore aggiunto è che i migliori gestori di password, come per esempio BitWarden, tengono in considerazione i domini equivalenti.
Per esempio dopo aver registrato l’accesso su apple.com il gestore di password utilizzerà automaticamente la stessa username/password anche su icloud.com anche se si tratta di due domini differenti.
Uno dei concetti più comuni utilizzati dei gestori di password può assumere molti nomi, a seconda del software:
Qualunque sia il nome, il concetto è sempre lo stesso: separare le tue password in differenti “Casseforti”, comunemente una “Cassaforte Privata” ed una o più “Casseforti condivise” e mantenere tutto ciò che è all’interno di queste casseforti al sicuro da chiunque non abbia la chiave per aprirle.
Adesso che abbiamo separato ciò che è privato da ciò che è condiviso, dobbiamo decidere come condividerlo. Ogni gestore di password ha un approccio differente al problema.
La soluzione a grana-fine non è necessariamente la migliore per ogni azienda, ma è sempre consigliato scegliere un gestore di password che la supporti.
Spesso abbiamo bisogno di proteggere ben più che le semplici password.
Tutti i gestori moderni si sono evoluti per tenere traccia di:
Di conseguenza in molti ambienti lavorativi i gestori di password sono usati non solo per salvare informazioni sensibili (per esempio password di un programma) ma anche informazioni non riservate (per esempio, come scaricare il programma in cui inserire la password)
Per i singoli e le piccole realtà aziendali e famigliari questo è un modo rapido e semplice per tenere a portata di mano tutte le informazioni importanti, ma in ambiti più strutturati come le aziende di medie dimensioni l’approccio consigliato è quello di utilizzare i gestori di password per immagazzinare solo dati privati e sensibili: tutto il resto dovrebbe essere scritto su un portale aziendale.
Con questo approccio è possibile assegnare il ruolo di scrittura soltanto ai responsabili area, mentre tutti gli altri possono contribuire scrivendo sul portale aziendale come utilizzare tali password.
Conservare, organizzare e condividere password è molto importante, ma i gestori di password possono aiutarci facendoci comprendere quanto “buone” siano le nostre password.
Come tutti sanno, una catena è forte quanto lo è il suo anello più debole.
Le aziende di ogni dimensione possono trarre grande vantaggio tenendo sotto controllo ed aiutando i dipendenti ad aumentare la robustezza delle password utilizzate.
Le aziende possono monitorare la qualità delle password condivise create dai propri impiegati
Ovviamente il monitoraggio è limitato alle password condivise. Solo il proprietario in posseso della chiave può aprire la cassaforte privata.
I vantaggi dei servizi cloud non possono essere negati. Quelli più comuni includono una sincronizzazione continua e rapida tra tutti i device e una semplice collaborazione con colleghi e famigliari, ma il cloud classico non necessariamente è la soluzione migliore.
Alcune alternative comprendono:
Gli attuali gestori di password chiedono di ricordare una sola password, la chiave di accesso, ma questo potrebbe cambiare. Il futuro dei gestori di password consiste nel rimuovere completamente le password!
Alcuni gestori permettono già di utilizzare dati biometrici (impronte digitali) o chiavi hardware, mentre altri utilizzano SMS come metodo di autenticazione a due fattori.
Questi approcci ancora non sono perfetti. L’autenticazione a due fattori tramite SMS o EMail è spesso meno pratica, e i dati biometrici (impronte digitali) e le chiavi hardware non sono disponibili su tutti i device: ancora non si è imposto un singolo standard di mercato, ma i vantaggi di queste soluzioni sono chiari.
Bitwarden è un gestore di password cloud che include tutte le feature discusse fino ad adesso, più qualche extra.
I suoi punti di forza sono:
I suoi limiti principali sono:
Davvero? un solo problema?
Beh, secondo me si, ma senza una buona funzione di ricerca sei obbligato a tenere la dimensione delle Casseforti contenuta, quindi impatta in maniera importante su quanto siano utilizzabili i dati importati da altri gestori.
Se hai letto l’articolo fino a questo punto sono sicuro che tu abbia raggiunto la mia stessa conclusione:
Utilizzare un Gestore di Password è più importante che mai
Questo è vero per aziende di ogni dimensione, famiglie ed anche singoli individui.
La vita online è più semplice con un gestore di password e persino quelli gratuiti sono un grande salto avanti rispetto alla semplice gestione fatta dai browser moderni.