digital innovation

password-manager

Ecco perché a tutti serve un Password Manager

Scopri come un password manager può aiutarti sia a casa che al lavoro.

Ho mosso i miei primi passi nel mondo del WEB durante la seconda metà degli anni ‘90, quando i browser non erano abbastanza evoluti per memorizzare le password e i log-in mediante social nemmeno esistevano. Ciononostante tutti i siti web più interessanti richiedevano di registrarsi.

Compresi presto che scrivere le password con metodi tradizionali (carta e penna a vita!) non poteva funzionare.

La mia soluzione all’epoca fu quella di usare piccole varianti della stessa password per tutti i siti, “isolandoli” utilizzando una password completamente diversa e molto complessa per la casella di posta collegata.  Questa era una soluzione migliore di quelle normalmente usate dagli altri utenti ed ad oggi ne sono molto orgoglioso, ma è sufficiente? Beh… non proprio (ritorniamo su questo argomento più avanti)

Sapevo che doveva esistere una e migliore soluzione a questo problema da usare sia in ambito lavorativo che nella mia vita privata.

 

Ecco gli argomenti trattati in questo articolo:

Perché ci serve un Password Manager?

Tornando al presente, molti pensano che l’unica cosa importante sia inserire la password corretta: il browser si occupa di salvarla e sincronizzarla in tutti i tuoi device.

I Browser moderni riescono a mantenere le password sincronizzate in tutti i tuoi dispositivi e la maggior parte dei siti web ti obbligano a utilizzare solo password forti, ma non è sufficiente.

Ricordarsi le password è solo metà del problema.

Ogni volta che ci iscriviamo in un sito web gli affidiamo il compito di conservare e proteggere le nostre password ed i dati personali, purtroppo però non sempre  riescono nel loro compito, ed i dati rubati finiscono spesso nelle mani sbagliate.

La probabilità di  vedere violati i nostri dati aumenta con il numero di siti a cui ci registriamo. Molti di noi rimangono sorpresi nello scoprire che il nostro indirizzo email, una nostra vecchia password o altri dati personali che abbiamo inserito anni fa in un sito web sono state rubate e non sono più segrete… al danno si aggiunge la beffa quando si pensa che a quel sito abbiamo fatto accesso una sola volta. Potete facilmente verificare se è successo anche a voi, torneremo su questo più avanti.

Seguendo le buone pratiche della generazione delle password è possibile mitigare i problemi di sicurezza.
Una buona password deve essere:

 

  • Robusta – Lunga serie casuale di lettere, numeri e caratteri speciali
  • Univoca – Non utilizzare mai per due volte la stessa password

 

Le ragioni alla base di questi requisiti sono semplici da comprendere, password lunghe e casuali sono più resistenti agli attacchi di forza-bruta e sono immuni agli attacchi di dizionario. Inoltre utilizzando password univoche una singola violazione di dati non compromette gli altri servizi a cui si è registrati.

Un ulteriore aspetto da considerare è che non tutte le password sono private. Alcune sono condivise con i vostri amici, familiari oppure con i vostri colleghi di lavoro.

Le password condivise fanno aumentare esponenzialmente il numero di problematiche da gestire:

 

  • Come fare se dobbiamo cambiare password?
    Dobbiamo tenere traccia di tutte le persone con cui l’abbiamo condivisa. Serve centralizzare.
  • Come fare se ogni gruppo deve avere accesso a password differenti?
    Dobbiamo assegnare delle condizioni di visibilità
  • Come fare se a seconda del ruolo alcune password devono essere in sola lettura ed altre modificabili?
    Dobbiamo assegnare dei ruoli.
  • Come fare se un nuovo membro si unisce oppure esce da un gruppo?
    Dobbiamo concedergli o revocargli accesso ad una o più password.
  • Come fare con file o note testuali?
    Le password non sono l’unica informazione privata che dobbiamo  gestire o condividere!

Questi sono solo degli esempi, ma sono stati sufficienti a convincermi che per me non era sufficiente decidere delle convenzioni su come creare le password. Avevo necessità di un buon gestore di password.

Come riconosco un buon password manager, e cosa può fare?

Detto semplicemente, un buon gestore di password è un software che risolve tutti i problemi più comuni, ed aggiunge anche qualche feature extra.

Iniziamo dal minimo sindacale: Integrazioni

Un gestore di password deve migliorare ciò che fanno già i browser, deve quindi supportare:

  • tutti i browser più comuni (Chrome, Firefox, Edge etc…)
  • tutti i sistemi operativi più usati (Windows, Mac, Linux, iOS, Android, Chrome OS, etc…)

 

Ovviamente il valore aggiunto è una gestione centralizzata su tutti i browser e app.

Un secondo valore aggiunto è che i migliori gestori di password, come per esempio BitWarden, tengono in considerazione i domini equivalenti.
Per esempio dopo aver registrato l’accesso su apple.com il gestore di password utilizzerà automaticamente la stessa username/password anche su icloud.com anche se si tratta di due domini differenti.

Teniamo separato ciò che è Privato da ciò che viene Condiviso

Uno dei concetti più comuni utilizzati dei gestori di password può assumere molti nomi, a seconda del software:

  • Cassaforte
  • Gruppo
  • Organizzazione
  • Database
  • Etc…

Qualunque sia il nome, il concetto è sempre lo stesso: separare le tue password in differenti “Casseforti”, comunemente una “Cassaforte Privata” ed una o più “Casseforti condivise” e mantenere  tutto ciò che è all’interno di queste casseforti al sicuro da chiunque non abbia la chiave per aprirle.

Come scegliere il miglior metodo per condividere le password

Adesso che abbiamo separato ciò che è privato da ciò che è condiviso, dobbiamo decidere  come condividerlo. Ogni gestore di password ha un approccio differente al problema.

 

  • Grana-Grossa
    I gestori meno sofisticati come KeePass o le vecchie versioni dei gestori di password utilizzano un approccio radicale. Tutti quelli che hanno accesso alla cassaforte ne ha il controllo completo.
    Questo approccio limita le opzioni dell’amministratore e lo obbliga a creare una cassaforte dedicata ad ogni gruppo di lavoro.
    L’ambito della cassaforte deve essere sufficientemente ampio da evitare una proliferazione incontrollata di piccole casseforti, ed abbastanza omogeneo da assicurare che non venga concesso visibilità di password che non ci riguardano.
    La creazione di una cassaforte riservata agli amministratori e dedicata alle password “estremamente importanti” è caldamente consigliata.
  • Grana-Fine
    Un approccio più sofisticato utilizzato dalle nuove versioni dei gestori di password consiste nel dividere una cassaforte in svariate sezioni e sottosezioni, assegnando permessi particolari ad ognuna di esse.
    Con questo approccio è sufficiente aggiungere o rimuovere un utente da un gruppo per dargli accesso alle password pertinenti.
    Scegliere quali gruppi creare diventa una scelta strategica. Le scelte più comuni sono la creazione di un gruppo per ogni team di persone, oppure in alternativa un gruppo per ogni progetto/area di lavoro.

 

La soluzione a grana-fine non è necessariamente la migliore per ogni azienda, ma è sempre consigliato scegliere un gestore di password che la supporti.

condividere-password

Perché proteggere solo le password?

Spesso abbiamo bisogno di proteggere ben più che le semplici password.

Tutti i gestori moderni si sono evoluti per tenere traccia di:

  • Note Testuali
  • Informazioni di carte di credito
  • File

Di conseguenza in molti ambienti lavorativi i gestori di password sono usati non solo per salvare informazioni sensibili (per esempio password di un programma) ma anche informazioni non riservate (per esempio, come scaricare il programma in cui inserire la password)

Per i singoli e le piccole realtà aziendali e famigliari questo è un modo rapido e semplice per tenere a portata di mano tutte le informazioni importanti, ma in ambiti più strutturati come le aziende di medie dimensioni l’approccio consigliato è quello di utilizzare i gestori di password per  immagazzinare solo dati privati e sensibili: tutto il resto dovrebbe essere scritto su un portale aziendale.

Con questo approccio è possibile assegnare il ruolo di scrittura soltanto ai responsabili area, mentre tutti gli altri possono contribuire scrivendo sul portale aziendale come utilizzare tali password.

Facciamoci suggerire quali sono le password da cambiare

Conservare, organizzare e condividere password è molto importante, ma i gestori di password possono aiutarci facendoci comprendere quanto “buone” siano le nostre password.

 

  • Elenco delle Password Deboli / Non Univoche
    Come già detto precedentemente, una buona password deve essere Robusta ed Univoca.Con l’aumento della capacità computazionale dei computer le password che anni fa erano considerate sicure adesso non sono più abbastanza complesse.
    Tutti i migliori gestori di password prevedono un report che evidenzia le password più deboli aiutandoci ad identificarle e quindi cambiarle.In maniera simile un report può evidenziare se abbiamo utilizzato la stessa password su più servizi.
  • Elenco delle password violate
    Di gran lunga uno dei report più illuminanti è quello che analizza le violazioni di dati conosciute e ci avverte se le nostre password sono state esposte.I gestori di password analizzano automaticamente l’intera nostra Cassaforte, ma è possibile anche controllare manualmente. Uno dei siti più famosi che offre questo servizio è “https://haveibeenpwned.com/”.
    Non espone nessuna delle password violate, si limita a tenere traccia dei furti di dati che sono accaduti e quali informazioni siano state sottratte.

 

Come tutti sanno, una catena è forte quanto lo è il suo anello più debole.
Le aziende di ogni dimensione possono trarre grande vantaggio tenendo sotto controllo ed aiutando i dipendenti ad aumentare la robustezza delle password utilizzate.

Le aziende possono monitorare la qualità delle password condivise create dai propri impiegati

Ovviamente il monitoraggio è limitato alle password condivise. Solo il proprietario in posseso della chiave può aprire la cassaforte privata.

violazione-dei-diritti

 

Cloud o non Cloud, questo è il problema

I vantaggi dei servizi cloud non possono essere negati. Quelli più comuni includono una sincronizzazione continua e rapida tra tutti i device e una semplice collaborazione con colleghi e famigliari, ma il cloud classico non necessariamente è la soluzione migliore.

Alcune alternative comprendono:

    • On-Premise
      Molti dei migliori gestori di password possono essere configurati on-premise, installando il servizio su un server di propria proprietà.
      Questa soluzione ai vantaggi del cloud classico può dare una migliore qualità del servizio, maggiore sicurezza oppure costi ridotti se si possiede il know-how e l’hardware disponibile.

 

  • Solo LAN
    Alcuni gestori di password permettono di non utilizzare nessun tipo di sincronizzazione cloud, e permettono l’aggiornamento dei device solo se connessi all’interno della LAN locale: per esempio, 1Password rende disponibile questo metodo di sincronizzazione come alternativa al cloud classico.
    Questa soluzione ha delle serie limitazioni, ma se non si ha necessità di condividere la cassaforte con altre persone questa può essere un’alternativa economica e sicura. Pochi hacker possono attaccare la tua cassaforte se non è accessibile da Internet!

Cosa ci riserva il futuro? Rimuovere completamente le password!

Gli attuali gestori di password chiedono di ricordare una sola password, la chiave di accesso, ma questo potrebbe cambiare. Il futuro dei gestori di password consiste nel rimuovere completamente le password!

Alcuni gestori permettono già di utilizzare dati biometrici (impronte digitali) o chiavi hardware, mentre altri utilizzano SMS come metodo di autenticazione a due fattori.

Questi approcci ancora non sono perfetti. L’autenticazione a due fattori tramite SMS  o EMail è spesso meno pratica, e i dati biometrici (impronte digitali) e le chiavi hardware non sono disponibili su tutti i device: ancora non si è imposto un singolo standard di mercato, ma i vantaggi di queste soluzioni sono chiari.

La mia soluzione per il password manager? Bitwarden

Bitwarden è un gestore di password cloud che include tutte le feature discusse fino ad adesso, più qualche extra.

I suoi punti di forza sono:

  • Eccelle nel condividere password a gruppi di utenti, con visibilità a grana-fine, condizioni di visibilità e ruoli di accesso.
  • Tantissimi report: Password Deboli, Password Duplicate, Password Violate ed altri report.
  • Può essere hostato On-Premise.
  • Autenticazione a più fattori con molti metodi di autenticazione (chiavi hardware, App di autenticazione, email)
  • Può importare password da molti altri gestori.
  • Sincronizza gruppi da Active Directory / LDAP, Azure, G Suite e Okta.
  • Il piano gratuito è più che sufficiente per un singolo utente.

 

I suoi limiti principali sono:

  • La funzione di ricerca dovrebbe essere migliorata

Davvero? un solo problema?
Beh, secondo me si, ma senza una buona funzione di ricerca  sei obbligato a tenere la dimensione delle Casseforti contenuta, quindi impatta in maniera importante su quanto siano utilizzabili i dati importati da altri gestori.

La Conclusione

Se hai letto l’articolo fino a questo punto sono sicuro che tu abbia raggiunto la mia stessa conclusione:

Utilizzare un Gestore di Password è più importante che mai

Questo è vero per aziende di ogni dimensione, famiglie ed anche singoli individui.

La vita online è più semplice con un gestore di password e persino quelli gratuiti sono un grande salto avanti rispetto alla semplice gestione fatta dai browser moderni.

 

CONTATTACI PER SAPERNE DI PIÙ

 

Questo articolo è stato utile
Siamo felicissimi di questo 🙂
Grazie per il tuo feedback!
Siamo veramente dispiaciuti 🙁
Grazie per il tuo feedback!

23 Gennaio /