Di certo avrete sentito parlare di password manager, o meglio ancora li conoscete, ma per un motivo o per un altro ancora non li usate; un'indagine condotta da OnePulse e condivisa con TechRadar Pro ha rivelato, infatti, che solo il 27% di 1000 utenti intervistati riconosce l'utilità di questo strumento, mentre il 26% ha l'abitudine di salvare le proprie password in modi non del tutto sicuri, pratica fortemente sconsigliata e per cui vi suggeriamo la lettura del nostro approfondimento su come conservare la master password in modo sicuro.
Ma cos'è esattamente un password manager? E perché dovreste evitare di sottovalutarlo? Iniziamo con una premessa: molto spesso, il vostro nome utente e la password sono l'unico elemento posto tra voi e un servizio online in cui potrebbero essere memorizzati dati sensibili, o informazioni delicate come dati bancari e numeri delle vostre carte di credito. Come potete immaginare, queste password possono essere intercettate in vari modi, tramite violazioni di database, attraverso un malware installato sul vostro computer e così via. Dunque, l'esigenza di trovare un modo più sicuro per archiviare le vostre password non è poi così campata in aria. Ma c'è di più: quante volte ci capita di riutilizzare una stessa combinazione di username e password su più siti/servizi? Magari per pigrizia, oppure per non dover imparare troppe password a memoria, resta il fatto che questa è un'abitudine molto più diffusa di quel che potreste immaginare. Dunque, la combinazione "password salvate in file facilmente intercettabili" più "password ripetute su più account" diventa un mix potenzialmente esplosivo: immaginiamo che un database in cui siano salvate delle vostre credenziali venga violato e un criminale informatico entri in possesso anche della vostra combinazione nome utente/password di un dato servizio. Molto spesso, chi si impossessa di credenziali proverà a utilizzarle su più servizi, contando proprio sul fatto che, statisticamente, è molto probabile che quella combinazione dia l'accesso a più siti. E cosa accadrebbe se ciò riguardasse la vostra mail personale? Immaginate un reset dei vostri account. E credetemi se vi dico che molti utenti Steam o di altre piattaforme videoludiche sanno bene di cosa sto parlando. Il rischio, dunque, è quello di vedervi sparire interi account su cui magari avete investito molto tempo (e possibilmente denaro), o ancora peggio, subire un'intrusione su un vostro account di pagamento. Un vero incubo, no? Ecco perché occorre ripensare all'utilità dei password manager.
Cos'è un password manager e a cosa serve?
Un password manager, proprio come dice il nome, è uno strumento che vi consente di gestire le vostre password. Si tratta, di solito, di un programma installabile sul vostro sistema, oppure di un'estensione per il vostro browser, in molti casi una combinazione dei due. Create un account, scegliete un profilo gratuito o a pagamento (la maggior parte dei servizi offre entrambi i tipi di piani), sincronizzate le vostre password memorizzate magari su Chrome e poi definite una "master password", una "chiave delle chiavi" che sarà necessaria per accedere al database contenente tutte le vostre password.
Quindi, una volta installata l'app e configurato il servizio, con una sola password principale, sbloccherete l'elenco delle vostre password che potrete consultare, copiare e incollare su pagine web e applicazioni per fare login. Alcuni dei migliori password manager, poi, consentono di compilare automaticamente i campi. Un bell'extra, se chiedete a me, soprattutto se volete evitare di digitare manualmente una combinazione molto complessa di caratteri o se dovete andare a cercarvi le credenziali in una lista infinita di account.
Il vostro password manager, però, a seconda di quello che scegliete, può offrirvi molto di più. Vediamo insieme innanzitutto come funziona a livello basilare, prima di approfondire gli eventuali extra da valutare.
Come funziona il vostro gestore password?
Che scegliate Bitwarden, 1password, Dashlane o uno dei password manager possibilmente integrati nel vostro pacchetto di antivirus o nel vostro abbonamento a un servizio VPN, di solito un gestore password funziona così: una volta installato, viene generato un cosiddetto "vault", una destinazione sicura che può essere generata in locale, all'interno di una cartella del vostro sistema e/o in cloud, generalmente protetto da crittografia. Dunque, per poter accedere a questa sorta di cassaforte digitale, avrete bisogno della combinazione, ovvero della "master password", una parola d'accesso definita da voi al momento della configurazione del servizio, che vi consentirà di decrittare il vault e avere accesso al vostro elenco di credenziali e password. Immaginate il vault come una sorta di database: a ogni URL corrisponderà un set di nome utente e password memorizzati dal gestore password al primo accesso (oppure dopo aver importato un elenco di password da un altro programma, come il vostro browser). Di solito c'è anche un piccolo motore di ricerca all'interno del vostro vault, per velocizzare l'individuazione delle credenziali che vi servono. Infine, il più delle volte, i vostri dati d'accesso vengono organizzati in schede, all'interno delle quali potrete non solo consultare i dati ma anche modificarli al volo, spesso con un comodo pulsante per copiare automaticamente la password o lo user name negli Appunti.
Fin qui, abbiamo parlato delle normali app dando per scontato che ci riferissimo a un ambiente desktop come può essere Windows o macOS, ma in realtà, la maggior parte dei migliori password manager offre app anche per Android e/o iOS, magari limitando la sincronizzazione fra dispositivi diversi solo a chi decide di acquistare un piano di abbonamento o una licenza commerciale. Le app funzionano più o meno allo stesso modo, integrando a volte delle ulteriori misure di sicurezza per l'accesso al vault, come l'uso dei dati biometrici (impronta digitale o riconoscimento facciale) al fine di sbloccare le vostre password e utilizzarle sulle app o sul browser.
Queste, di base, sono le funzioni che troverete sulla stragrande maggioranza di password manager, che siano free o a pagamento, desktop o mobili. Tuttavia, alcuni sviluppatori offrono degli extra che potrebbero rendere ancora più utile o appetibile un dato gestore delle password. Vediamo insieme di cosa si tratta.
Password manager - Quali funzioni extra vale la pena avere?
Tra le funzioni extra più comuni, c'è il generatore di password: sebbene esistano dei prodotti esterni (gratis e premium) che svolgono egregiamente questa funzione (senza contare che la maggior parte dei browser offre una qualche forma di password manager e generatore), avere la possibilità di creare al volo una password complessa (con caratteri maiuscoli/minuscoli, numeri e simboli speciali) direttamente dalla stessa interfaccia in cui poi salveremo il nuovo profilo è molto pratico e comodo, tanto che sta diventando sempre di più una funzione standard sui migliori gestori di password.
Un'altra feature da non sottovalutare è la verifica dell'integrità delle password: avete creato una password che non rispetta i criteri di sicurezza basilari? Ammettiamolo, almeno una volta avremo creato qualcosa di stupido come "nome + data di nascita + anno di nascita", magari non ai livelli di chi scrive letteralmente "password 123", ma comunque abbastanza facile da riconoscere, al punto da costituire un possibile rischio. Ebbene, molti password manager vi notificheranno la presenza di password che sarebbe meglio cambiare, ancora meglio se in combo con il generatore di password.
Un altro fattore di rischio, come dicevamo in apertura, sono le password ripetute. Anche in questo caso, molti password manager vi avviseranno nel caso in cui abbiate due o più account con la stessa parola d'accesso.
Funzioni più rare, ma non meno utili, poi sono la modifica automatica delle password deboli e il controllo della rete in caso di violazioni (una funzione che troviamo più spesso nelle suite di sicurezza). Spesso si tratta di livelli extra sbloccabili con gli abbonamenti di livello superiore (e quindi più costosi) o con più annualità, ma si tratta di un plus che per qualcuno potrebbe davvero fare la differenza.
Un altro aspetto interessante, offerto da alcuni brand, è la possibilità di condividere file e documenti tramite link sicuri. Qualcosa di simile a WeTransfer, ma, tendenzialmente, senza limiti di dimensione. Tra le aziende che offrono questo extra, citiamo 1Password che ha introdotto questa funzionalità di recente. Quello che resta da valutare è se il servizio costringa i destinatari a crearsi un account oppure consenta loro di scaricare i file indipendente dal fatto che abbiano un login. 1Password appartiene alla seconda categoria, in questo caso.
Infine, non tutti i password manager offrono l'accesso al vault e all'account master tramite autenticazione a più fattori. Per noi questo è un elemento molto importante, perché riduce sensibilmente il rischio di vedersi violato l'account principale (è raro, ma può succedere). Avere la possibilità di usare un PIN, Windows Hello, l'impronta digitale o il riconoscimento del viso, soprattutto da mobile, dovrebbe essere la normalità su tutti i password manager in commercio. Purtroppo non sempre è così, ma ci auguriamo che diventi sempre di più uno standard. Nella vostra valutazione di un gestore di password piuttosto che di un altro, valutate tutte queste funzioni aggiuntive, soprattutto quelle che sono più in linea con le vostre esigenze, tuttavia la 2FA dovrebbe essere sempre un requisito fondamentale.
Quali sono i vantaggi e gli svantaggi dei password manager?
Queste due domande sono tra le più frequenti fra chi deve ancora decidere se adottare o meno un password manager. Come tutte le cose, esistono vantaggi e svantaggi nell'utilizzare un gestore delle password, il cui peso, però, resta un elemento che dovrete valutare voi, in base alle vostre specifiche esigenze e priorità.
Password manager - I vantaggi
Dover ricordare una sola password per sbloccare il vault e accedere automaticamente a tutte le altre è senza dubbio il vantaggio principale dell'uso di un password manager. La master password è l'unica che dovrete memorizzare e tenere da parte al sicuro. Una tecnica interessante per ricordare la password principale è creare una combinazione di tre o quattro parole sensate ma che non abbiano un nesso logico fra loro, ad esempio "gorilla-diamante-pizza-quadrato". Sarà sicuramente più facile ricordare questa sequenza rispetto a combinazioni casuali di lettere, numeri, e segni di interpunzione. Inoltre, una combinazione di quattro parole separate da trattini diventa abbastanza difficile da violare tramite attacchi di tipo brute-force.
E parlando di password, molti dei migliori tool vi permettono di generare in automatico delle password con vari gradi di complessità, in alcuni casi potrete anche stabilire alcune regole di base (ad es. lunghezza massima, caratteri consentiti, riconoscimento maiuscole/minuscole), in questo modo non dovrete gestire mnemonicamente questo compito, assicurandovi di generare password che sfruttino al massimo le regole di composizione dei vari servizi in cui utilizzerete la funzionalità.
I password manager, poi, vi permettono di tenere in ordine i vostri dati di accesso, e i migliori gestori delle password prevedono anche l'uso di tag e schede in modo da separare, ad esempio, le password dei vostri account personali da quelle relative alla vostra sfera professionale. Inoltre, alcuni tra i password manager più completi permettono addirittura di creare vault separati e condividere in modo sicuro i vostri dati da un vault all'altro tramite la crittografia.
La sicurezza garantita poi dalle migliori tecniche crittografiche, alcune di grado militare come AES a 256 bit non è replicabile in altri modi. Il vostro vault rimane blindato, dunque, ed è inaccessibile anche alle aziende che vi hanno venduto il servizio.
Infine, la comodità di poter utilizzare le vostre password indipendentemente dal sistema in uso. Volete completare un acquisto iniziato da smartphone una volta a casa sul computer in studio? Con il password manager dovrete digitare più e più volte le vostre password, dato che saranno sincronizzate fra più dispositivi. Questo, ovviamente, è di solito appannaggio dei migliori password manager a pagamento, ma se usate più device nell'arco di una giornata, non potrete non apprezzare l'utilità di questa funzione. Ancora meglio se è disponibile l'auto-compilazione dei campi.
Password manager - Gli svantaggi
Il primo svantaggio che potrebbe scoraggiarvi un attimo è il prezzo, in particolare se avete molti dispositivi da gestire o vi serve un account familiare con tanti membri. Non tutti i password manager hanno costi contenuti, e vista la quantità di opzioni a vostra disposizione, potreste avere l'imbarazzo della scelta. Per questo motivo, abbiamo creato le nostre guide e, se proprio non avete intenzione di investire su un gestore delle password, vi abbiamo consigliato anche i migliori password manager gratuiti.
Parlando di prodotti gratis, uno svantaggio può essere il limite imposto ad alcune funzioni: numero massimo di password memorizzabili, l'assenza di funzioni avanzate come la condivisione protetta, la generazione di password efficaci o la compilazione automatica dei campi, sono tutti svantaggi che forse non trovano giustificazione nell'utilizzo di un password manager gratuito, a meno che i vostri requisiti non siano alquanto basilari.
Uno svantaggio più universale, però, è dato dal possibile rischio di smarrimento della master password: se la dimenticate o se la perdete, potete dire addio al vostro vault (a meno che non abbiate una copia di backup ad esempio sul portachiavi Apple o sul password manager di Google). Insomma, dovrete fare moltissima attenzione a dove e come conservare la master password (tenendo in considerazione anche il possibile scenario di un furto, che per quanto improbabile vi sembri, resta sempre nell'ambito del possibile) e se avete delle cattive abitudini, come tenere post-it in giro per casa o scrivere le vostre password in file del Blocco note, allora è come se non aveste un password manager.
Password manager e accesso passwordless: cosa cambierà?
Si sente parlare sempre più spesso di accesso passwordless, ad esempio tramite passkey su iPhone o in generale tramite altri metodi basati sulla tecnologia FIDO 2. Abbiamo avuto modo di riflettere su questo tema nell'articolo "In un mondo passwordless qual è il futuro dei password manager?" che vi invitiamo a leggere. In questa sede possiamo dire, in breve, che sicuramente i password manager dovranno compiere dei passi evolutivi, ad esempio implementando l'accesso senza password tra le metodologie di accesso al vault. D'altronde, l'abbandono completo delle password nei servizi e siti web non sarà un processo rapido, anzi, per molti anni vedremo ancora molte destinazioni chiedere l'uso di nome utente e password, di conseguenza, i password manager continueranno a essere uno strumento utile e consigliabile per lungo tempo. Però già diverse aziende si stanno preparando a questo futuro, come Dashlane che ora supporta le passkey, 1Password che ha acquisito Passage (un'azienda che si occupa proprio di tecnologie passwordless), così come anche LastPass che si prepara a un mondo senza password. Dunque, non è ancora arrivato il momento di dare i password manager per spacciati, anzi diremmo che, se le altre aziende seguiranno la strada tracciata dai brand che abbiamo appena citato, possiamo aspettarci sicuramente dei cambiamenti, ma non l'estinzione di questo tipo di servizio.
Conclusione - Vale la pena usare un password manager?
Molti di noi potrebbero essere propensi a continuare con il vecchio metodo dei file Word/Excel/Note, qualcuno, addirittura, potrebbe usare ancora penna e taccuino. Ma in base alle nostre esperienze personali e considerando quanto siano ormai user friendly i password manager, vi invitiamo caldamente a ripensarci. Usare un password manager può aiutarvi a gestire meglio i vostri accessi online, differenziare adeguatamente le vostre parole d'ordine, assicurarvi di avere a portata di mano tutte le vostre credenziali, indipendentemente dal dispositivo in uso. La sicurezza online è un fattore sempre più importante e, secondo noi, usare un gestore di password è una scelta intelligente.
Potreste obiettare che affidarsi ad altri per memorizzare le nostre password potrebbe essere rischioso e non possiamo in alcun modo darvi torto. Ma, quello che possiamo dirvi è che i servizi più affidabili non hanno in alcun modo l'accesso ai vostri dati, altrimenti andrebbero in bancarotta in poco tempo. Questo non significa, però, che tutti i password manager sono affidabili allo stesso modo. Ci sono operatori che spesso creano programmi fasulli con lo scopo di rubare dati, basta vedere quante app fake circolano ad esempio sul Play Store di Google (su iOS il discorso è un po' diverso dato che c'è un controllo molto più stringente da parte di Apple), dunque occorre sempre scegliere con oculatezza, cercare recensioni online e verificare il feedback degli utenti.
Certo, il mercato è letteralmente invaso da password manager meritevoli: ce ne sono di tutti i marchi e prezzi, gratuiti e premium. Scegliere può essere difficile, e se proprio non vi va di dare un'occhiata alla nostra guida indicata in precedenza, in fondo a questo articolo abbiamo stilato un piccolo recap dei migliori password manager attualmente a vostra disposizione. Il nostro consiglio è di sceglierne uno e iniziare a gestire in modo più oculato le vostre password.
