Password manager: una rassegna delle migliori soluzioni
Non è così facile generare una password sicura: i criminali informatici possono servirsi di avanzatissimi software che riconoscono lo schema e decifrano la password, così nel giro di qualche secondo hanno accesso a dati sensibili. La soluzione è ricorrere a password complesse composte da una combinazione casuale di lettere, cifre e caratteri speciali, che risultano difficili da decifrare anche per i malintenzionati provvisti dei migliori software e hardware. Tuttavia, simili sequenze indecifrabili risultano altrettanto difficili da ricordare, anche per gli stessi utenti che le hanno scelte. Nello specifico, chi necessita di una moltitudine di differenti accessi privati per le proprie attività al computer, può approfittare delle opportunità offerte da un password manager.
Quale password manager scegliere? Differenze e criteri di valutazione
I password manager o gestori di password fanno parte degli strumenti che possono rendere più sicure le tue attività quotidiane sul World Wide Web. Se utilizzi molte applicazioni che hanno bisogno di un login e lavori con informazioni riservate e sensibili, non solo potrai beneficiare della protezione offerta dai pratici programmi di sicurezza, ma anche della semplificazione dei processi di accesso. Tuttavia, prima di creare un sistema di password personalizzato, è necessario trovare il giusto password manager. Ovviamente è più facile a dirsi che a farsi, vista l’ampia scelta di soluzioni, sia proprietarie che open source.
Per trovare lo strumento giusto, è necessario considerare i requisiti che il software deve soddisfare. Un fattore importante è se il software desiderato viene eseguito esclusivamente sul computer locale o se si desidera eseguirlo anche su un dispositivo esterno tramite un supporto di memorizzazione mobile (ad esempio, una chiavetta USB).
È inoltre fondamentale verificare se il programma includa o meno una funzione di generazione. I singoli strumenti di gestione delle password differiscono anche in termini di algoritmi. Naturalmente, giocano un ruolo importante anche le tue preferenze personali: assicurati di utilizzare un metodo di crittografia aggiornato quando prendi una decisione su quale password manager usare.
Infine, è un importante criterio di valutazione dove viene salvato il database delle password: alcuni programmi memorizzano automaticamente le password nel cloud del produttore, consentendo una disponibilità costante. Tuttavia, hai il massimo controllo sulle tue password solo se opti per quelle soluzioni che consentono di salvarle in locale sul tuo sistema.
- Protezione contro gli attacchi ransomware
- Protezione antivirus
- Backup automatici e recupero dei file persi
I migliori password manager a confronto
I criteri di valutazione citati sopra sottolineano ulteriormente l’importanza di informarti preliminarmente sui password manager che potrebbero fare al caso tuo. Se, ad esempio, compi una scelta affrettata e acquisti un programma proprietario perché promette metodi di crittografia avanzatissimi per poi scoprire che l’archiviazione cloud non è la soluzione che preferisci, allora avrai investito soldi inutilmente in uno strumento che risulterà inutilizzabile per te. D’altra parte, anche andare alla cieca e optare per un prodotto open source può costituire un rischio: se il fornitore è poco serio, la sicurezza delle tue password potrebbe essere compromessa.
Password manager | Peculiarità |
---|---|
KeePass | Open source |
Password Safe | Crittografia RSA-4096 per chiavi a lungo termine |
LastPass | Supporta l’accesso tramite impronta digitale |
1Password | Chiave di accesso salvata in locale |
Dashlane | Avvisi e dashboard di sicurezza |
Per darti supporto nella ricerca del giusto gestore di password, a seguire ti presentiamo alcuni programmi interessanti approfondendo soprattutto gli aspetti relativi ai costi, tipi di licenza, alla flessibilità e alle funzioni aggiuntive.
KeePass
Un password manager da consigliare è la soluzione open source pubblicata da Dominik Reichl nel 2003, KeePass. Da allora il programma con licenza GPL è stato continuamente sviluppato, in parte anche grazie a una community molto attiva. Per questo motivo, nel frattempo, esistono più di 45 diversi pacchetti linguistici e molteplici plugin, con i quali è possibile ampliare le funzioni di base di KeePass. In aggiunta alle versioni ufficiali per Windows, macOS e Linux, ci sono varie portabilità per sistemi operativi mobili come Windows Phone (ad esempio WinPass, WinKee, 7Pass), iOS (ad esempio iKeePass, MiniKeePass, MyKeePass) e Android (ad esempio KeePassDroid, KeePass2Android, KeepShare). Per poter utilizzare lo strumento di gestione delle password devi installarlo sul sistema desiderato o, in alternativa, salvarlo su una chiavetta USB sotto forma di applicazione portabile.
KeePass è un ottimo password manager, che a differenza di altre soluzioni consente anche l’autenticazione a due fattori e la crittografia dell’intero database di password. A questo scopo sono messi a disposizione gli algoritmi AES o Twofish, mentre per la protezione delle singole password entra in gioco l’algoritmo hash SHA-256.
Gli utenti hanno a disposizione tre diverse opzioni per accedere al database: una classica password master, l’utilizzo di un account di Windows oppure la variante con la chiave. Quest’ultima è considerata dallo sviluppatore come la soluzione più sicura; tuttavia, devi avere la chiave sempre con te, magari su una chiavetta USB o su un CD. È possibile anche una combinazione di password principale e chiave. Ulteriori funzioni del password manager sono le seguenti:
- Diversi formati di esportazione, come TXT, HTML, XML o CSV
- Oltre 35 formati di importazione
- Categorizzazione delle password
- Indicazione dell’ora e della data di creazione, dell’ultima modifica, dell’ultimo accesso e del termine di scadenza delle password
- Funzione di ricerca e di filtro
- Framework di plugin personalizzato
KeePass non convince solamente per le sue ampie funzioni di database, ma anche per il suo generatore di password integrato, grazie al quale puoi creare velocemente password sicure per i tuoi login. Nelle impostazioni stabilisci la lunghezza della password e la sequenza di caratteri alla base (maiuscole, minuscole, cifre, caratteri speciali e così via). Di base puoi anche scegliere un modello proposto oppure un algoritmo personalizzato.
Vantaggi | Svantaggi |
---|---|
Tutti i dati sono sul tuo computer | Difficile da utilizzare |
Autenticazione a due fattori | Non tutti i plugin sono verificati |
Ampliabile | Con la generazione manuale sono consentite anche password deboli |
Password Safe (MATESO)
Il software Password Safe, pubblicato nel 1998, è disponibile in diverse edizioni a pagamento, anche se l’offerta si rivolge principalmente a PMI e grandi aziende. MATESO fa ora parte dell’azienda statunitense di sicurezza informatica Netwrix, per cui sono disponibili vari pacchetti, compresi quelli più piccoli per i privati. È possibile richiedere una versione demo. Di seguito riepiloghiamo i pacchetti offerti:
- Netwrix Auditor for Active Directory: l’edizione base “Starter” fornisce funzionalità di base per il monitoraggio delle attività di Active Directory e può essere ampliata con le edizioni “Standard” ed “Enterprise” per includere alcune funzionalità come il monitoraggio in tempo reale, la conformità e l’analisi delle attività di AD.
- Netwrix Auditor per Azure AD: come per Active Directory, Netwrix offre diverse edizioni per il monitoraggio di Azure AD, personalizzate in base alle esigenze delle diverse aziende.
- Altri pacchetti come Netwrix Auditor for Office 365, Netwrix Data Classification o Netwrix Data Access Governance offrono funzioni per il monitoraggio e la sicurezza delle applicazioni Office 365, per la classificazione e l’etichettatura dei dati o per il monitoraggio e la gestione dell’accesso ai dati al fine di ridurre al minimo i rischi per la sicurezza.
Secondo le dichiarazioni del produttore, in tutto il mondo più di 10.000 aziende usano questo efficace password manager. Il programma funziona su tutti i sistemi operativi Microsoft (a partire da Windows 7) e, in più, è disponibile anche come app per iOS, Windows Phone e Android. In tutti i pacchetti a pagamento è possibile utilizzare Password Safe come versione da installare oppure su chiavetta USB.
Password Safe si basa su un chiaro sistema di cartelle così da permetterti di tenere sotto controllo tutti gli inserimenti nel database del password manager.
Che Password Safe sia un software destinato alle aziende si scorge soprattutto dalle numerose funzioni multiutente disponibili in tutte le edizioni professionali. Si tratta inoltre di un database di gruppo centralizzato, sul quale puoi facilmente impostare un controllo degli accessi basato sui ruoli. È anche possibile consentire l’utilizzo di una password solo a fronte di un valido motivo. La crittografia AES-256, PBKDF2 e RSA-4096 (per chiavi a lungo termine) garantiscono la sicurezza del database e delle password.
Puoi stabilire la connessione con il database tramite inserimento di una password master oppure con l’aiuto di una chiave. A seconda del pacchetto puoi anche combinare tra loro i due metodi per aumentare ulteriormente il grado di sicurezza. Altre funzioni aggiuntive del password manager sono:
- Pronto all’uso con il cloud tramite crittografia end-to-end
- Firewall per il database in alcune versioni
- Dashboard regolabile
- Funzioni intelligenti di ricerca e di filtro
- Tastiera virtuale per la protezione da keylogger
- Backup in tempo reale automatici
Vantaggi | Svantaggi |
---|---|
Grazie a diverse funzioni multiutente si presta bene a essere usato per lavorare in modo sicuro in team | Il database delle password viene salvato sul server del produttore |
La dashboard e il design delle interfacce sono personalizzabili | La versione gratuita è disponibile solo per 30 giorni come demo |
Inserimento automatico della password e tastiera virtuale |
LastPass
Dal 2008 è disponibile lo strumento per la gestione di password LastPass, ora di proprietà della società statunitense di software LogMeIn. Il software è progettato per memorizzare e gestire tutte le password di cui hai bisogno per le tue attività online quotidiane. A tal fine lo strumento può essere utilizzato sui browser standard come Google Chrome, Firefox, Safari, Opera e Microsoft Edge oppure integrato nelle barre dei menu degli stessi attraverso un’estensione.
Ci sono anche varianti per browser mobili e applicazioni per Windows Phone, Android e iOS. L’utilizzo dell’applicazione web è gratuito; in cambio di un piccolo contributo mensile è possibile acquistare il pacchetto Premium per scopi privati e due pacchetti Business con funzionalità aggiuntive.
Il database delle password, chiamato da LastPass “cassaforte”, è accessibile in qualsiasi momento e su qualsiasi dispositivo tramite il pulsante sulla barra del browser o tramite l’applicazione web. Le password sono protette da crittografia AES a 256 bit e 600.000 cicli di hashing PBKDF2-SHA-256 con salting.
La crittografia avviene sempre a livello di dispositivo, in modo che la password master e le chiavi per la codifica o la decodifica siano sempre memorizzate in locale e non vengano inviate ai server LastPass. È inoltre possibile scegliere tra una varietà di soluzioni di autenticazione multilivello, come un codice SMS o un componente hardware aggiuntivo. Il software si contraddistingue anche per le seguenti caratteristiche:
- Inserimento automatico delle password
- Supporto per l’accesso tramite impronte digitali
- Condivisione sicura delle password
- Database delle password che si sincronizza automaticamente con tutti i dispositivi
- Generatore di password integrato
- 1 GB di spazio di archiviazione crittografato (a partire dall’edizione Premium)
Nei pacchetti Business per le aziende, LastPass è utilizzabile anche da diversi utenti. Da un lato, ottieni ulteriori strumenti di amministrazione centralizzata per la gestione degli accessi dei dipendenti; dall’altro, ogni dipendente riceve la propria password di sicurezza che gestisce autonomamente. L’abbonamento Enterprise è destinato alle grandi aziende e include anche l’assistenza clienti. È inoltre possibile configurare le proprie policy di sicurezza e accedere alle API del password manager.
Vantaggi | Svantaggi |
---|---|
La crittografia avviene a livello di dispositivo | I plugin del browser non funzionano sempre correttamente |
Sincronizzazione automatica con tutti i dispositivi | Generatore di password migliorabile |
Plugin disponibili per tutti i browser |
1Password
Dopo che nel 2006 è stata creata AgileBits con l’intenzione di sviluppare prodotti web innovativi destinati alle aziende, i responsabili hanno presto riconosciuto che il loro strumento interno per la gestione di password e informazioni di contatto per programmi e siti web client era una soluzione ideale da condividere anche al di fuori delle mura aziendali. Da allora milioni di utenti soddisfatti hanno sfruttato il password manager dell’azienda, chiamato 1Password.
L’applicazione a pagamento è disponibile per i sistemi operativi macOS e Windows e quelli mobili Android e iOS. Grazie alle estensioni per browser per Google Chrome, Opera, Firefox e Safari puoi utilizzare 1Password anche su altre piattaforme.
1Password punta alla crittografia end-to-end (AES-256): tutte le informazioni di contatto e le password che importi nel programma, saranno codificate prima che lascino i tuoi dispositivi. Le chiavi utilizzate nella procedura godono di una protezione costante tramite la password master, rafforzata da una chiave di sicurezza a128 bit salvata in locale.
Ottieni questa chiave di accesso al server del provider automaticamente dopo aver effettuato il login sul password manager. Anche se programmi malevoli dovessero riuscire ad accedere a questo server, che, come la stessa applicazione web, vengono ospitati su Amazon Web Services (AWS), tutti i tuoi dati rimangono cifrati. Oltre a ciò, 1Password riesce a convincere grazie alle seguenti funzionalità:
- Accesso offline
- Sincronizzazione automatica con tutti i dispositivi utilizzati
- Analisi automatica del grado di sicurezza di tutte le password
- Integrazione facile dei login esistenti
- Tasti di scelta rapida personalizzabili per il login automatico
- Raggruppamento di parole chiave (sistema di cartelle o di tag)
Lo strumento di gestione delle password offre un proprio generatore con cui creare parole chiave sicure. A questo proposito è possibile configurare le impostazioni relativamente a lunghezza, pronunciabilità, cifre e simboli desiderati. Il generatore può essere utilizzato per realizzare nuove password per gli account già esistenti.
Per utilizzare 1Password hai a disposizione diverse licenze: gli utenti privati possono stare tranquilli con la versione di base (per una persona) oppure con il pacchetto famiglia (per cinque persone). Le agenzie e le aziende, invece, possono scegliere fra due piani business: uno per team piccoli fino a 10 membri e uno per PMI e grandi aziende, entrambi ampliabili con ulteriori funzioni come la console da amministratore, il controllo degli accessi avanzato oppure una gestione degli account personale.
Vantaggi | Svantaggi |
---|---|
Multipiattaforma | A pagamento dopo versione di test di 14 giorni |
Estensioni per tutti i browser | Implementazione con Azure AD, Google Workspace, Okta, OneLogin, Rippling e JumpCloud |
Archiviazione di informazioni dettagliate relative agli account | Report personalizzati solo nella versione Business |
Dashlane
Nel 2012 l’azienda statunitense Dashlane ha pubblicato il suo strumento omonimo e proprietario di gestione delle password, che ancora oggi fa parte delle soluzioni di maggior successo presenti sul mercato. Dopo un periodo di prova puoi utilizzare il password manager nella sua versione a pagamento. Inoltre, sono disponibili rispettivamente due versioni per privati (“Premium” e “Friends and Family”) e per le aziende. Le versioni aziendali contengono tutte le funzioni relative all’utilizzo comune come una console di controllo centralizzata e un’opzione per l’attivazione di password. In aggiunta alle versioni desktop per Windows e macOS e alle app per iOS e Android, esistono anche dei plugin per Chrome, Firefox, Safari, Opera ed Edge, che integrano Dashlane sui rispettivi browser.
L’interfaccia utente di Dashlane è suddivisa in tre aree: alla voce “Password Manager” trovi le password inserite (cifrate con AES-256), anche se il software implementa automaticamente i dati di accesso già indicati. Una peculiarità è il Password Changer, il quale consente modifiche automatiche a una password per tutti i siti web supportati: in questo caso Dashlane accede in autonomia al progetto web desiderato e si fa carico dello scambio. Inoltre, a partire da questa sezione puoi aprire la dashboard di sicurezza per scrivere appunti personali e protetti da password.
Al punto “Wallet” (portafoglio) puoi salvare le tue informazioni personali di contatto, ricevute di pagamento o fotocopie e scansioni (ad esempio di un documento di identità o della patente). Infine, l’area “Contacts” (contatti) contiene tutte le funzioni di cui hai bisogno per l’utilizzo condiviso del password manager. Tra le altre funzioni sono incluse:
- Il completamento automatico di formulari e login
- Avvisi di sicurezza in caso di password non sicure
- Categorizzazione delle password
- Diverse interfacce per l’importazione di password (da browser tra cui Chrome e Firefox, ma anche da strumenti come KeePass, LastPass e 1Password)
- Esportazione dei dati (in formato Excel, CSV e nel formato proprietario del programma, Dash)
- Cronologia delle password
Come molti altri gestori di password, Dashlane ha un generatore integrato che crea password lunghe fino a 28 caratteri. È possibile scegliere se utilizzare lettere, numeri, simboli, maiuscole o minuscole.
Inoltre, tutti gli utenti dell’edizione a pagamento possono sincronizzare tutti i dati inseriti e le password su tutti i tipi di dispositivi, in modo da avere le informazioni disponibili ovunque e in qualsiasi momento. Infine, Dashlane offre anche l’autenticazione a due fattori: in questo caso la password master predefinita è combinata con un token di sicurezza U2F, situato su un supporto di memorizzazione esterno.
Vantaggi | Svantaggi |
---|---|
VPN per la protezione Wi-Fi, notifiche di phishing in tempo reale | A pagamento dopo il test di prova |
Plugin per tutti i browser | Windows Phone non è supportato |
Il rischio residuo dei password manager
I password manager sono utili per generare o gestire password complesse e sicure. Tuttavia, il fatto che tutte le password siano gestite da un software rappresenta anche il grande svantaggio di questi programmi. Infatti, se perdi o dimentichi la password master, tutte le applicazioni saranno inaccessibili.
Inoltre, dipendi sempre dal database che hai creato: per quanto riguarda le installazioni locali, puoi usufruire dello strumento solo a partire dal tuo PC di casa. Se però opti per una soluzione mobile o cloud, aumenti il rischio per la sicurezza. Dopotutto nessuna soluzione garantisce una protezione al 100%.
Controlla l'autenticità di un'e-mail IONOS: scopri subito se si tratta di un tentativo di phishing e segnalalo per rimuoverne il contenuto.
- Verifica le email
- Elimina le e-mail di phishing
- Facile da usare
Un’alternativa sicura? Sviluppare un proprio sistema di password
Se non vuoi dipendere da un database e da programmi, devi affidarti alla tua memoria. Un’opzione sensata è quindi un sistema di password, in cui si modifica una password master sicura secondo uno schema predefinito che cambia a seconda del portale web che si desidera utilizzare. Infine, basta ricorrere a semplici tecniche di memorizzazione e sarai in grado di ricordare la password master.
Per saperne di più, consulta la nostra guida “Protezione ottimale della password: come scegliere una password sicura”.
Evita che venga visualizzata un'allerta nella barra degli indirizzi e ottieni la fiducia dei clienti con un sito crittografato tramite SSL.