I programmi di gestione delle password esistono dagli anni '90 e i principali browser hanno aggiunto la gestione delle password come funzionalità integrata nei primi anni 2000. Da allora, si consigliava di estrarre le password dall'archivio non sicuro del browser e di inserirle in un gestore di password appropriato e ben protetto. All'epoca, si potevano indicare gestori di password che estraevano le password dal browser, le eliminavano dal browser e disattivavano l'ulteriore acquisizione delle password basata sul browser. Certamente, di vera sicurezza c’era poco!
Fortunatamente, i browser hanno fatto progressi e non lasciano più le password così esposte a manipolazioni esterne. Se vuoi passare a un gestore di password dedicato, probabilmente dovrai esportare attivamente le password dal browser e importarle nel tuo nuovo prodotto.
Ma i browser hanno fatto abbastanza progressi da consigliarti di archiviare le password al loro interno? In particolare, dovresti usare Google Password Manager, che è comodamente integrato in Chrome? Secondo gli esperti, la risposta rimane un sonoro no. Anche i gestori di password dedicati possono perdere informazioni.
Per un'azienda che si basa sulla gestione delle password, la fiducia è tutto. I seri contendenti utilizzano tecniche di conoscenza zero per proteggere i tuoi dati crittografati in modo che nessuno, né l'azienda di password, né il governo, né nessuno, possa conoscere la tua password principale o decrittografare i tuoi dati.
Tuttavia, gli errori di implementazione possono mettere a rischio la sicurezza delle password. In una serie di rivelazioni a partire dall'agosto scorso, abbiamo appreso che degli hacker hanno compromesso il computer di un dipendente chiave di LastPass per rubare un numero sconosciuto di vault di dati crittografati. Peggio ancora, alcuni elementi di dati importanti come i domini di accesso non erano crittografati. Ora è difficile fidarsi di LastPass.
KeePass è il gestore di password preferito dai tecnici, in gran parte grazie alle sue infinite possibilità di personalizzazione. Tuttavia, quello stesso potere di personalizzazione è stato rivelato come una sorta di tallone d'Achille. Chiunque acceda al tuo computer, sia tramite un Trojan di accesso remoto o sedendosi in tua assenza, può rubare tutte le tue password Keepass. È una semplice questione di usare Blocco note per creare un'azione che esporti le password in testo normale e quindi invii i dati risultanti a un drop su Internet. Certo, ottenere l'accesso richiesto potrebbe essere difficile, ma l'exploit è possibile. O meglio, era possibile. L'ultimo aggiornamento di KeePass, 2.53.1, ha rimosso l'opzione per esportare le password senza richiedere l'inserimento della password principale.
Come abilitare o disabilitare Google Password Manager
Prima di entrare nel merito se dovresti usare Google Password Manager, esaminiamo come puoi spegnerlo (o accenderlo, se preferisci). Innanzitutto, assicurati di aver abilitato Sincronizzazione in tutte le istanze di Chrome in cui desideri condividere le password. Fai clic sul menu a tre punti in alto a destra della finestra di Chrome, quindi fai clic su Impostazioni. La voce in alto nel menu a sinistra, intitolata Tu e Google, dovrebbe essere selezionata inizialmente; in caso contrario, fai clic su di essa. Nella finestra di dialogo risultante, puoi attivare o disattivare la sincronizzazione. (Credito: Google)
Ora fai clic su Compilazione automatica, appena sotto Tu e Google, e fai clic su Gestore password. Se vuoi usare Gestore password di Google, attiva le voci Offri salvataggio password e Accesso automatico. In caso contrario, disattivale.
Cosa dicono gli esperti sui gestori password del browser
I gestori password del browser sono comodi ma pericolosi. Smalakys ha iniziato con un avvertimento contro l'uso del gestore password di un browser, affermando: "Nonostante i continui avvertimenti degli esperti di sicurezza informatica sulle vulnerabilità dei gestori password del browser, gli utenti di Internet continuano a cadere nella trappola del 'ma è comodo!'". Lurey ha concordato, sottolineando che un recente post del blog Keeper ha elencato in un lungo elenco i motivi per cui i gestori di password del browser non sono sicuri.
La crittografia a conoscenza zero è il motivo per cui i gestori di password dedicati possono mantenere i tuoi dati al sicuro senza mai avere accesso alla tua password principale. "Il gestore di password di Google non utilizza la crittografia a conoscenza zero", ha affermato Lurey. "In sostanza, Google può vedere tutto ciò che salvi. Hanno una funzionalità "opzionale" per abilitare la crittografia delle password sul dispositivo, ma anche quando è abilitata, la chiave per decrittografare le informazioni è archiviata sul dispositivo".
Smalakys ha affermato: "Molti browser non richiedono una password principale o un'approvazione di autenticazione a più fattori (MFA)". Google consente l'MFA, ma non la richiede. E, in effetti, non esiste una password principale. Se esci dalla scrivania con Chrome attivo, chiunque abbia accesso può accedere ai tuoi account. Lo stesso vale se lasci che qualcun altro usi il tuo telefono.
Smalakys ha sottolineato il pericolo degli account connessi. "In uno scenario... utilizzando un browser Chrome, la sua sicurezza dipende da quanto è sicuro l'account Gmail connesso", ha affermato. "Se questo account Gmail viene compromesso, un hacker potrebbe, senza troppi sforzi, accedere alle password di tutti gli altri account salvate sul browser". In modo simile, Lurey ha osservato che "l'utente deve riporre piena fiducia in Google per proteggere le proprie informazioni". Se il tuo account Google viene violato, lo saranno anche tutte le tue password. Un browser è progettato per la navigazione; la gestione delle password è un ripensamento.
I gestori di password dedicati stanno mettendo tutto il loro impegno nello sviluppo di un gestore di password sicuro e si sottopongono a verifiche indipendenti, per garantire tale sicurezza. Inoltre, questi si concentrano al 100% sull'abilitazione sia della sicurezza ottimale sia dei numerosi casi d'uso per le password, quindi sono più ricchi di funzionalità. In conclusione, procurati un vero gestore di password.
È terribilmente comodo che Google Password Manager sia una funzionalità gratuita di un browser gratuito. Tuttavia, non è una ragione sufficiente per accettare una sicurezza limitata per le tue password. Abbiamo valutato molti gestori di password gratuiti che offrono una seria protezione per le tue password allo stesso prezzo zero.
Nessun commento:
Posta un commento