Non usare password sbagliate, usa un gestore di password.
Stephen Shankland/CNET
Nota del redattore: In riconoscimento del World Password Day, CNET sta ripubblicando una selezione delle nostre storie sul miglioramento e la sostituzione delle password.
Se sei una delle innumerevoli persone che incautamente usano password facili da indovinare o riutilizzano una password per diversi account, gli esperti di sicurezza informatica hanno un messaggio per te: Non è colpa tua. Memorizzare una password unica e complessa per ogni account è impossibile.
Ma questo è esattamente il tipo di lavoro in cui i computer sono bravi. Ecco perché molti esperti di sicurezza informatica suggeriscono di usare un gestore di password. Si tratta di un software che memorizza in modo sicuro le password e le inserisce automaticamente nelle pagine di login. Ti aiutano a proteggere ogni tuo account online con una password forte.
“Consiglio a tutti di usarlo”, ha detto Matias Woloski, chief technology officer della società di autenticazione Auth0 e un esperto di sicurezza delle password. “I gestori di password sono oggi la migliore alternativa”.
Potresti beneficiare dell’aiuto di un password manager. La password più usata trovata nelle violazioni dei dati è ancora “123456”, secondo i dati della società di cybersicurezza SplashData, e la seconda password più comune è, naturalmente, “password”. La persona media usa solo 13 password uniche, e quasi un terzo ha detto di usare solo due o tre password per tutti i suoi account, secondo un sondaggio del 2018 della società di software antivirus McAfee.
Per uno sguardo più ampio, controlla la copertura di CNET questa settimana sui problemi di password e le correzioni come le chiavi di sicurezza hardware, i motivi per cui alcune vecchie regole di raccolta delle password sono ora obsolete e un racconto ammonitore su ciò che può andare storto con un gestore di password.
Hai diverse opzioni di password manager. Ci sono strumenti dedicati come LastPass, BitWarden, Dashlane, Keeper e 1Password. I browser web tra cui Safari, Chrome e Firefox hanno anche controlli di password integrati che sono più limitati, soprattutto se si utilizzano più browser, ma stanno diventando più sofisticati.
Purtroppo, i gestori di password possono essere complessi e non sempre funzionano senza problemi con siti web e applicazioni. Questo potrebbe essere il motivo per cui solo il 3% degli utenti di Internet si affida principalmente ai gestori di password, secondo il Pew Research Institute. Woloski suggerisce di iniziare con l’aiuto di qualcuno più tecnico.
Ancora, i gestori di password possono aiutarvi a navigare in internet con molti meno rischi. Anche se l’industria della tecnologia sta finalmente arrivando con alternative reali alle password, e modi per scaricarle del tutto, dovrete ancora fare i conti con decine, o centinaia, di esse per gli anni a venire. I password manager possono aiutare, anche se non sono perfetti
Cos’è un password manager?
I gestori di password generano password uniche e complesse per ogni sito, le memorizzano in modo sicuro e le inseriscono su diversi browser e dispositivi informatici. Puoi usarli come estensioni del browser o applicazioni mobili che compilano per te le pagine di login con il tuo nome utente e la tua password.
Ci sono tonnellate di vantaggi. In primo luogo, non devi memorizzare alcuna password (tranne la password del tuo gestore di password). Questo significa che puoi effettivamente seguire consigli di sicurezza spiacevoli ma utili, come non riutilizzare mai una password e usare sempre password lunghe e complesse come $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Inoltre, i gestori di password aiutano a difendersi dagli attacchi di phishing che ti indirizzano a siti web fraudolenti e cercano di ingannarti per farti inserire la tua password. I gestori di password offrono le vostre credenziali di accesso solo quando siete sul sito web corretto.
Infine, molti gestori di password hanno funzioni che ti dicono quando un sito ha subito una violazione dei dati. Possono anche dirvi se la password che state usando è stata trovata in una raccolta di dati utente rubati, come almeno 555 milioni di password. Questi sono segni che devi cambiare la tua password immediatamente. I gestori di password possono anche aiutarti a trovare password deboli o riutilizzate.
Dovresti memorizzare tutte le tue password in un unico posto?
Il consiglio standard per decenni è stato quello di memorizzare le password, quindi memorizzarle in un unico posto sembra un po’ sbagliato. E, naturalmente, sarebbe terribile se gli hacker potessero violare il vostro password manager e accedere a tutti i vostri account.
Ancora, la sicurezza dei password manager ha dimostrato di essere robusta. Gli hacker hanno fatto solo progressi limitati nel rubare le informazioni degli utenti dai gestori di password – una violazione è arrivata a compromettere i suggerimenti per le domande di sicurezza degli utenti di LastPass, per esempio – ma nessun attacco noto ha avuto accesso alle cache delle password reali.
Certo, gli hacker potrebbero alla fine rompere quella sicurezza, ma è molto più probabile che vi prendano di mira con un attacco di phishing per rubare le vostre password, ha detto Mark Risher, capo della sicurezza degli account di Google. Inoltre, l’utilizzo di un gestore di password limita le possibilità di cadere in un attacco di phishing.
Video: In un mondo di cattive password, una chiave di sicurezza potrebbe essere il tuo nuovo migliore amico
Naturalmente, devi stare attento. Con tutte le tue uova di password in un paniere di password manager, assicurati di trovare un modo per ricordare la tua password principale o chiave segreta. Va bene scriverla, purché la conserviate in un posto sicuro. Puoi anche esportare le tue password in un foglio di calcolo di tanto in tanto, purché tu lo chiuda con la crittografia (o ne metta una copia stampata in un cassetto chiuso a chiave).
Se perdi l’accesso al tuo account, dovrai passare attraverso il processo di reimpostazione della password per tutti gli altri account, il che sarebbe un gran mal di testa.
Gli svantaggi dei gestori di password
Purtroppo, bisogna aspettarsi delle difficoltà quando si usano i gestori di password. Solo aggiungere informazioni da tutti i tuoi account esistenti al servizio è un lavoro, anche se la maggior parte dei password manager offrono strumenti per importare i dati dal tuo browser o da altri password manager. E ci vogliono passi in più per abilitare il tuo password manager sul tuo telefono.
Forse il problema più grande è che alcuni siti web non giocano bene con i gestori di password, causando il tipo di problemi complicati e fastidiosi che ti fanno desiderare di buttare il tuo computer fuori dalla finestra.
Per esempio, i gestori di password a volte non notano i campi di login. O possono annaspare quando i siti web chiedono informazioni extra come un codice PIN o il tuo film preferito.
A volte le pagine web non giocano bene con i password manager.
Brett Pearce/CNET
Peggio, alcuni siti web bloccano la funzione di autofill, impedendo ai password manager di inserire le tue credenziali di accesso. Una banca australiana, CommBank, consiglia ai clienti di non memorizzare le credenziali del loro conto bancario su un password manager. In una dichiarazione, CommBank ha detto che vede il valore dei password manager, ma crede che gli hacker troveranno il modo di ingannare i suoi clienti con sofisticati schemi di phishing se usano i password manager.
“Per le password dell’online banking, raccomandiamo ai clienti di creare una password forte che sia unica per ogni conto e di non scriverla”, ha detto un portavoce dell’azienda. Tuttavia, gli esperti di sicurezza dicono che questo rende molto più probabile che i clienti utilizzino password deboli o riutilizzate.
1Password sta affrontando il blocco del riempimento automatico lavorando con i produttori di browser web che vogliono rendere i siti web consentire la funzione, ha detto Matt Davey, il direttore operativo della società.
“Quello che stanno cercando di fare è sovrascrivere a livello di sito, e autofillare comunque”, ha detto Davey dei produttori di browser. 1Password contatterà anche i siti web direttamente e dirà loro che dovrebbero seguire il programma e permettere ai loro utenti di accedere con un gestore di password.
Anche le persone tecnicamente qualificate lottano con l’attrito dei password manager. Kimber Dowsett, un’esperta di cybersecurity che in precedenza ha aiutato a proteggere i sistemi della NASA e ora lavora come direttore dell’ingegneria della sicurezza presso la società di infrastrutture software Truss, è rimasta frustrata di recente quando ha cercato di accedere al sito web di una banca. Ha dovuto digitare le sue credenziali di accesso manualmente, perché il sito web ha bloccato il suo password manager.
C’era un ultimo problema: non riusciva a capire se la password di un carattere era il numero zero o la lettera O, così ha dovuto indovinare.
“Un sacco di attrito sarebbe alleviato dagli sviluppatori di app che permettono solo il riempimento automatico e l’incollamento in modo da poter effettivamente utilizzare i password manager come previsto”, ha detto Dowsett. “Gettare una chiave inglese non aiuta nessuno di noi”.
Usare meno le password
Ci sono buone notizie su due fronti. La prima è che i creatori di Chrome, Safari e Firefox stanno rafforzando i loro gestori di password. Apple ne ha integrato uno in iOS e lo abilita di default. Va bene usare queste funzioni sui dispositivi che si controllano con una password o un login biometrico. Inoltre, dovrebbero rendere la memorizzazione digitale delle password più diffusa e potenzialmente costringere gli sviluppatori di siti web a giocare bene con funzioni come l’autofill e l’incolla.
In secondo luogo, le nuove tecnologie permettono di usare meno le password. La biometria come le impronte digitali e il volto riducono la necessità di presentare la password ogni volta che si accede a un servizio. I servizi di single sign-on ti permettono di accedere a un sito con un altro account, come Google, Apple o Facebook. Dovrai essere a tuo agio a condividere più informazioni sui servizi che usi con uno di questi titani della tecnologia, però.
In terzo luogo, l’autenticazione multifattoriale, le chiavi di sicurezza e altre tecnologie di autenticazione stanno aiutando a migliorare le carenze di sicurezza delle password. Alla fine, potrebbe non essere necessario usare le password.
Questa innovazione non sostituirà presto le password, ha detto il CEO di BigID Dimitri Sirota, la cui azienda aiuta le imprese a proteggere le informazioni personali. Ma sta iniziando a scalfire il primato delle password per mantenere i vostri account al sicuro. E questa è una buona cosa, ha detto.
“Le password sono state lo standard per molto tempo”, ha detto Sirota. “E uno di cui nessuno è particolarmente felice”.
Pubblicato per la prima volta il 10 marzo 2020 alle 5:00 a.m. PT.