È arrivato il momento di usare un gestore di password. Scopri perché!

Password Manager: perché usarlo

Heartbleed è un bug che mette a repentaglio la sicurezza di due terzi dei siti web esistenti su internet, poiché consente agli hacker di rubare nomi e password. Tra le vittime figurano anche colossi quali Google e Yahoo!, che hanno creato delle patch per far fronte alla sopravvenuta vulnerabilità.

Se da un lato non puoi fare niente per arginare l’attacco degli hacker ai siti web, dall’altro puoi prendere delle precauzioni per proteggere le tue informazioni personali. Senza dubbio, il primo step è creare password univoche e sicure per ogni sito e servizio che utilizzi. Il problema è solo uno: come fare a ricordarle tutte? Basta utilizzare una soluzione per la gestione delle password o password manager.

Che cos’è un password manager?

Password per Mac

I password manager sono programmi in grado di generare, archiviare e crittografare tutte le password che utilizzi. L’unica che dovrai ricordare sarà una potente master password per accedere al tuo database.

Grazie alla creazione di password univoche e casuali contenenti lettere, numeri e simboli, eviterai di perdere i dati contenuti nei tuoi account, in caso di furto della password. Se, ad esempio, il tuo account Facebook viene attaccato dagli hacker, questi riusciranno ad accedere facilmente anche a tutti gli altri account per i quali hai impostato la stessa password.

Un esempio di password sicura generata da LastPass

Le password deboli composte soltanto da lettere e numeri rimangono facilmente vittime di attacchi brutali; così come quelle brevi che addirittura li facilitano.

App come 1PasswordLastPass sono due ottime opzioni e offrono funzionalità che vanno oltre la semplice gestione delle password; infatti, sono in grado di archiviare documenti sensibili, informazioni della carta di credito o perfino le licenze dei software che hai acquistato.

Che cosa succede se viene rubata anche la mia master password?

La perdita della master password è un evento altamente improbabile e i password manager servono proprio a complicare un eventuale attacco volto a craccarla. Abbiamo discusso di questo tema con Jeffrey Goldberg, Defender Against the Dark Arts (letteralmente Difensore contro le arti oscure, che è veramente il titolo del suo ruolo) di 1Password, circa la strategia adottata dall’app per proteggere le master password. “La crittografia dei dati inseriti in 1Password è eseguita mediante chiavi ricavate dalla master password. Nessuno ha accesso alle chiavi né alla master password. Se qualcuno acquisisce i dati di 1Password, l’unico modo per decrittografarli è conoscere la master password.”

LastPass per Chrome

Lo stesso avviene con LastPass: sebbene LastPass sincronizzi il tuo database di password nei suoi server, le chiavi di crittografia non vengono inviate o archiviate da nessuna parte. Tutte le chiavi di crittografia derivano dalla tua master password e sono archiviate in locale su computer o dispositivo.

“L’SSL viene utilizzato soltanto come una protezione di secondo livello. L’archiviazione di chiavi in locale rappresenta la protezione core”, ha dichiarato il CEO di LastPass, Joe Siegrist.

È proprio necessario modificare tutte le password?

Innanzitutto, verifica se Heartbleed ha attaccato anche i siti che utilizzi di solito e assicurati che i problemi siano stati risolti mediante apposite patch. Mashable offre un ottimo elenco dei siti più comuni e delle misure che hanno attuato per fronteggiare Heartbleed. Prima di modificare la password, accertati che il sito che t’interessa abbia preso delle contromisure per risolvere il bug Heartbleed, altrimenti corri il rischio che anche la tua nuova password sia esposta a rischi. Sebbene alcuni ritengano che l’allarme su Heartbleed sia esagerato, in questi casi non fa male eccedere in precauzioni.

Cloudflare, un content delivery network, ha lanciato una sfida che invita gli utenti a tentare di sottrarre chiavi private utilizzando un sito infettato dal bug Heartbleed. Nel giro di poche ore, alcuni utenti sono riusciti a sfruttare il bug per sottrarre chiavi di crittografia private e questo è bastato per dimostrare che la minaccia è reale.

“L’allarme per [Heartbleed] non è esagerato”, ha detto Siegrist. “Cloudflare ha dimostrato che il bug può essere utilizzato molto facilmente. È plausibile che sia servito a sottrarre nomi utente e password”.

LastPass Heartbleed Checker

Modificare le password con un password manager è facile: l’app memorizza e archivia le nuove password. LastPass semplifica ulteriormente la procedura inviando delle notifiche agli utenti che indicano i siti e gli account più esposti agli attacchi del bug Heartbleed. Nel sito web pubblico puoi digitare l’URL che t’interessa per verificare se è stato colpito. Mashable ha redatto un elenco straordinario delle misure implementate dalle società per far fronte a Heartbleed.

Poiché non sono disponibili strumenti di automazione, sia 1Password che Lastpass stanno lavorando per migliorare questa funzionalità.

“L’utente deve comunque modificare la password autonomamente e poi 1Password lo guiderà durante la creazione e il salvataggio delle nuove e più efficaci credenziali di accesso. Lavoriamo costantemente per migliorare questo processo”, ha dichiarato Goldberg.

Inoltre, con una piccola quantità di lavoro oggi possiamo risparmiarci dei grossi grattacapi in futuro.

Cos’altro posso fare per proteggere i miei account?

Senza dubbio i password manager sono il primo passo verso la sicurezza. Ti consigliamo di prestare sempre attenzione alle novità relative alla sicurezza e ai siti web che visiti.

Gli attacchi di pishing, ossia una strategia adottata dai siti web per far credere agli utenti che stanno accedendo a un sito diverso da quello effettivo, sono una strategia comune per la sottrazione dei dati. Non cliccare mai su link sospetti inviati tramite email o chat.

I password manager rappresentano un grande aiuto perché ti consentiranno di accedere direttamente al sito corretto. A volte anche un errore di battitura minimo ti può reindirizzare a un sito di pishing senza che tu te ne accorga.

Blocco del browser di Chrome

“Gli utenti dovrebbero considerare più attentamente gli avvertimenti relativi a SSL/TLS che vengono visualizzati nei browser”, consiglia Goldberg. Il blocco a disposizione nella barra dell’indirizzo URL nei browser moderni consente loro di visualizzare i siti legittimi e crittografati. La maggior parte dei browser notifica l’utente se sta visitando un sito pericoloso, ma essere a conoscenza degli strumenti a disposizione non fa certo male.

Inoltre, dovresti abilitare l’autenticazione a due fasi su tutti i siti e i servizi che la supportano. Questa si basa su due forme d’identificazione: una password e un codice randomizzato. Dopo aver immesso la password, dovrai inserire il codice che riceverai tramite SMS oppure mediante un’app per l’autenticazione come Google Authenticator. I codici funzioneranno solo per un breve lasso di tempo, prima di scadere.

L'autenticazione a due fasi di Dropbox

Facebook, Google, Twitter, Evernote e molte altre società offrono un ulteriore livello di sicurezza, che sebbene comporti alcuni passi aggiuntivi per eseguire l’accesso all’account, vale assolutamente la pena utilizzare per garantire la sicurezza dei tuoi dati.

Infine, tieni sempre aggiornati tutti i tuoi computer, smartphone e tablet. Spesso i difetti di sicurezza vengono riparati con gli aggiornamenti del software e di sistema.

App come Avast! avvertono gli utenti quando il software diventa obsoleto. Anche Softonic per Windows consente agli utenti di tenere sempre aggiornate le proprie app.

Per ulteriori informazioni su Heartbleed e su come migliorare la protezione dei tuoi account, ti consigliamo di consultare gli articoli di seguito.

Lastpass:

1Password:

PER SAPERNE DI PIÙ SU HEARTBLEED

[Adattamento di un articolo originale di Lewis Leong su Softonic EN]

Visualizzazione commenti in corso...