Passa ai contenuti principali

Non fidarsi del gestore delle password del browser


I programmi di gestione delle password esistono dagli anni '90 e i principali browser hanno aggiunto la gestione delle password come funzionalità integrata nei primi anni 2000. Da allora, si consigliava di estrarre le password dall'archivio non sicuro del browser e di inserirle in un gestore di password appropriato e ben protetto. All'epoca, si potevano indicare gestori di password che estraevano le password dal browser, le eliminavano dal browser e disattivavano l'ulteriore acquisizione delle password basata sul browser. Certamente, di vera sicurezza c’era poco!

Fortunatamente, i browser hanno fatto progressi e non lasciano più le password così esposte a manipolazioni esterne. Se vuoi passare a un gestore di password dedicato, probabilmente dovrai esportare attivamente le password dal browser e importarle nel tuo nuovo prodotto.

Ma i browser hanno fatto abbastanza progressi da consigliarti di archiviare le password al loro interno? In particolare, dovresti usare Google Password Manager, che è comodamente integrato in Chrome? Secondo gli esperti, la risposta rimane un sonoro no. Anche i gestori di password dedicati possono perdere informazioni.

Per un'azienda che si basa sulla gestione delle password, la fiducia è tutto. I seri contendenti utilizzano tecniche di conoscenza zero per proteggere i tuoi dati crittografati in modo che nessuno, né l'azienda di password, né il governo, né nessuno, possa conoscere la tua password principale o decrittografare i tuoi dati.

Tuttavia, gli errori di implementazione possono mettere a rischio la sicurezza delle password. In una serie di rivelazioni a partire dall'agosto scorso, abbiamo appreso che degli hacker hanno compromesso il computer di un dipendente chiave di LastPass per rubare un numero sconosciuto di vault di dati crittografati. Peggio ancora, alcuni elementi di dati importanti come i domini di accesso non erano crittografati. Ora è difficile fidarsi di LastPass.

KeePass è il gestore di password preferito dai tecnici, in gran parte grazie alle sue infinite possibilità di personalizzazione. Tuttavia, quello stesso potere di personalizzazione è stato rivelato come una sorta di tallone d'Achille. Chiunque acceda al tuo computer, sia tramite un Trojan di accesso remoto o sedendosi in tua assenza, può rubare tutte le tue password Keepass. È una semplice questione di usare Blocco note per creare un'azione che esporti le password in testo normale e quindi invii i dati risultanti a un drop su Internet. Certo, ottenere l'accesso richiesto potrebbe essere difficile, ma l'exploit è possibile. O meglio, era possibile. L'ultimo aggiornamento di KeePass, 2.53.1, ha rimosso l'opzione per esportare le password senza richiedere l'inserimento della password principale.


Come abilitare o disabilitare Google Password Manager

Prima di entrare nel merito se dovresti usare Google Password Manager, esaminiamo come puoi spegnerlo (o accenderlo, se preferisci). Innanzitutto, assicurati di aver abilitato Sincronizzazione in tutte le istanze di Chrome in cui desideri condividere le password. Fai clic sul menu a tre punti in alto a destra della finestra di Chrome, quindi fai clic su Impostazioni. La voce in alto nel menu a sinistra, intitolata Tu e Google, dovrebbe essere selezionata inizialmente; in caso contrario, fai clic su di essa. Nella finestra di dialogo risultante, puoi attivare o disattivare la sincronizzazione. (Credito: Google)

Ora fai clic su Compilazione automatica, appena sotto Tu e Google, e fai clic su Gestore password. Se vuoi usare Gestore password di Google, attiva le voci Offri salvataggio password e Accesso automatico. In caso contrario, disattivale.

Cosa dicono gli esperti sui gestori password del browser

I gestori password del browser sono comodi ma pericolosi. Smalakys ha iniziato con un avvertimento contro l'uso del gestore password di un browser, affermando: "Nonostante i continui avvertimenti degli esperti di sicurezza informatica sulle vulnerabilità dei gestori password del browser, gli utenti di Internet continuano a cadere nella trappola del 'ma è comodo!'". Lurey ha concordato, sottolineando che un recente post del blog Keeper ha elencato in un lungo elenco i motivi per cui i gestori di password del browser non sono sicuri.

La crittografia a conoscenza zero è il motivo per cui i gestori di password dedicati possono mantenere i tuoi dati al sicuro senza mai avere accesso alla tua password principale. "Il gestore di password di Google non utilizza la crittografia a conoscenza zero", ha affermato Lurey. "In sostanza, Google può vedere tutto ciò che salvi. Hanno una funzionalità "opzionale" per abilitare la crittografia delle password sul dispositivo, ma anche quando è abilitata, la chiave per decrittografare le informazioni è archiviata sul dispositivo".

Smalakys ha affermato: "Molti browser non richiedono una password principale o un'approvazione di autenticazione a più fattori (MFA)". Google consente l'MFA, ma non la richiede. E, in effetti, non esiste una password principale. Se esci dalla scrivania con Chrome attivo, chiunque abbia accesso può accedere ai tuoi account. Lo stesso vale se lasci che qualcun altro usi il tuo telefono.

Smalakys ha sottolineato il pericolo degli account connessi. "In uno scenario... utilizzando un browser Chrome, la sua sicurezza dipende da quanto è sicuro l'account Gmail connesso", ha affermato. "Se questo account Gmail viene compromesso, un hacker potrebbe, senza troppi sforzi, accedere alle password di tutti gli altri account salvate sul browser". In modo simile, Lurey ha osservato che "l'utente deve riporre piena fiducia in Google per proteggere le proprie informazioni". Se il tuo account Google viene violato, lo saranno anche tutte le tue password. Un browser è progettato per la navigazione; la gestione delle password è un ripensamento.

I gestori di password dedicati stanno mettendo tutto il loro impegno nello sviluppo di un gestore di password sicuro e si sottopongono a verifiche indipendenti, per garantire tale sicurezza. Inoltre, questi si concentrano al 100% sull'abilitazione sia della sicurezza ottimale sia dei numerosi casi d'uso per le password, quindi sono più ricchi di funzionalità. In conclusione, procurati un vero gestore di password.

È terribilmente comodo che Google Password Manager sia una funzionalità gratuita di un browser gratuito. Tuttavia, non è una ragione sufficiente per accettare una sicurezza limitata per le tue password. Abbiamo valutato molti gestori di password gratuiti che offrono una seria protezione per le tue password allo stesso prezzo zero.

 

Commenti

Posta un commento

Esprimi il tuo pensiero

Post popolari in questo blog

Nuovi stili di arte?

Opera di Silvia Senna L’arte, davvero, è una delle poche cose che restano agli esseri umani. Abbiamo bisogno che l'arte ci racconti storie, che ci salvi dal nostro destino condiviso, dalla nostra paura della morte e dalla paura gli uni degli altri. Abbiamo bisogno che gli artisti ci mostrino che non siamo sempre soli.  Non si può piangere sulle spalle di un robot, ma ci si può alzare dal letto, finalmente, grazie a una canzone, una poesia, una scultura, un quadro. Ciò l'arte porta dal regno dello spirito a quello dei corpi nella scia delle emozioni è semplicemente l'impossibile per un robot. Abbiamo bisogno che i nostri film, i nostri dipinti, le nostre poesie e la nostra musica siano realizzati dall’uomo, perché siamo umani. Ma come in ogni conversazione che coinvolga arte o tecnologia, spesso possiamo perderci nella verbosità. Nel 21° secolo stiamo certamente vedendo le conseguenze delle connessioni interrotte. I social media, una forma un tempo innocente di condivider...
Posta un commento
Continua a leggere »

Lo sguardo nel tempo della filosofia

Questo non è un manuale, né una cronologia della filosofia.   È un invito. Un invito a pensare senza rete, a incontrare gli autori nel disordine vivo delle idee senza la mappa sicura della storia a guidare il cammino. I saggi che seguono non sono disposti in ordine cronologico: volutamente.  Non si parte dall’antichità per arrivare ai giorni nostri.   Qui si entra in un dialogo che salta nel tempo, che lega in modo inatteso voci lontane, che accosta domande di oggi a risposte di ieri e viceversa. Questo perché la filosofia quando è autentica, non invecchia e non si lascia classificare. Non è una sequenza, ma un’intuizione che torna, un’urgenza che si ripete, una scintilla che si riaccende anche dopo secoli; è lo sguardo che si muove liberamente attraverso il tempo senza esserne prigioniero. Qui la filosofia è un incontro e un urto; è ascolto e spiazzamento. È un tempo che non si misura, ma si abita. Ogni autore trattato è un ritaglio di questo sguardo nel tempo: uno sguar...
Posta un commento
Continua a leggere »

I tentacoli di AI sulla pornografia

  L'intelligenza artificiale è in ascesa da anni. Solo negli ultimi mesi, alcuni degli sviluppi in quest'area della tecnologia sono diventati difficili da ignorare. Con l'avvento dei servizi di creazione di immagini AI come Dall-E 2, Midjourney e Lensa, questo nuovo campo in rapida crescita è diventato qualcosa di completamente nuovo. Poco dopo il rilascio di questi strumenti di creazione di immagini, è entrato in scena anche ChatGPT. Man mano che sempre più persone hanno iniziato a saperne di più, tutti, dagli scrittori e insegnanti agli studenti e storici, hanno iniziato a fare ipotesi sui modi in cui questi servizi avrebbero potuto cambiare tutto in futuro. Con la rapidità con cui si muovono le cose nel mondo della tecnologia, è difficile immaginare che questi programmi non miglioreranno nel tempo. E quando lo faranno, è difficile negare la minaccia che rappresenteranno per i creatori di ogni tipo. Poiché la pornografia su Internet ha pervaso sempre più la nostra c...
Posta un commento
Continua a leggere »