Dovresti usare un gestore di password? Valutare vantaggi e rischi

Molti esperti di sicurezza informatica ritengono che utilizzare un gestore di password sia il modo migliore per garantire di avere Password forte e univoca Per ciascuno dei tuoi account online. Mentre altri sottovalutano il valore di questi strumenti.

Per gli aggressori, i gestori di password rappresentano una vulnerabilità fondamentale: sono un tesoro di informazioni altamente sensibili, protette da un'unica password principale che può essere persa, rubata o hackerata.

• Il miglior software per la gestione delle password Per proteggere i tuoi account online.
• LastPass, 1Password e altri gestori di password possono essere hackerati: cosa fare?

Chi ha ragione? Il team di Tom's Guide ha parlato con diversi esperti di sicurezza digitale e li ha intervistati sui pro e contro delle attuali soluzioni di gestione delle password.

Ecco cosa hanno da dire su questi controversi strumenti tecnologici, oltre ad alcuni suggerimenti su come ridurre i rischi associati alla conservazione di tutte le password in un unico posto.

Gli esperti di sicurezza elogiano il software di gestione delle password

Non tutti gli esperti di sicurezza sono a favore dei gestori di password, ma quelli che lo sono non riescono a immaginare un mondo senza. Un esempio lampante è Robert Siciliano, analista di sicurezza di Boston e CEO di Safr.me, che ha affermato che, con oltre 650 password in uso, non potrebbe semplicemente funzionare senza un gestore di password.

"Senza un gestore di password, gli utenti tornano a usare password deboli, senza alcuna gestione", ha affermato Siciliano in un'e-mail. "Utilizzeranno la stessa password per tutti i loro account importanti e saranno inevitabilmente hackerati". Questo sottolinea l'importanza di utilizzare gestori di password efficaci per proteggere i dati sensibili.

Ma anche Siciliano, che ha sottolineato come non vi sia alcuna argomentazione logica contro l'utilizzo di un gestore di password, adotta misure per ridurre il rischio di avere tutte le sue password in un unico posto. Queste precauzioni sono essenziali per migliorare la sicurezza informatica.

Ha spiegato che memorizza le informazioni di accesso per i suoi account più importanti (come quelli bancari online), ma conserva le altre password in un gestore di password basato sul web. Questo equilibrio tra memorizzazione e archiviazione rappresenta una strategia di sicurezza equilibrata.

"Nessuno può ricordare tutte le password."

Morris Tabush, che gestisce la sua società di consulenza IT, Tabush Group, a New York, sottolinea i rischi insiti nel fare affidamento solo sulle password per proteggere La tua identità digitaleRitiene che gli utenti debbano fare del loro meglio per proteggere le proprie password in questa difficile realtà.

Per Taboush, la soluzione migliore è utilizzare un gestore di password.

"È impossibile utilizzare un unico nome utente e una password per tutti i siti e servizi, poiché ogni sito o servizio ha i propri requisiti di password", spiega Tabosh via email. "Nessuno può ricordare ogni singola combinazione di nomi utente e password diversi".

Tabosh sottolinea l'importanza dei gestori di password per sé e per i suoi clienti, che spesso sono titolari di piccole e medie imprese con decine di account online. Preferisce RoboForm di Siber Systems, un'applicazione di gestione delle password disponibile per Windows e Mac, nonché per dispositivi mobili con iOS e Android.

Tapush RoboForm è la scelta ideale perché funziona su tutti i dispositivi, inclusi desktop, laptop, iPhone e iPad. Poiché questo gestore di password basato sul web memorizza le password in file crittografati, anche se uno dei tuoi dispositivi Tapush viene rubato, il ladro non sarà in grado di accedere alle tue informazioni di accesso. Questo fornisce un ulteriore livello di protezione contro l'hacking degli account e il furto di dati.

Il lato oscuro della tecnologia digitale

Naturalmente, per ogni esperto che afferma di non poter vivere senza un gestore di password, ce n'è un altro che preferirebbe passare il resto della propria vita senza. Questa divergenza di opinioni riflette legittime preoccupazioni sulla sicurezza dei dati.

Questa è l'opinione di Terry Cutler, co-fondatore e CTO di Digital Locksmiths, una società di consulenza sulla sicurezza informatica con sede a Montreal.

In un'intervista via e-mail, Cutler ha dichiarato: "Non sono affatto un fan dei gestori di password. Se uno viene compromesso, tutto il codice viene rubato". Cutler ritiene che i potenziali rischi superino i vantaggi, soprattutto perché gli attacchi informatici diventano sempre più sofisticati.

Tyler Regoli, direttore della ricerca e sviluppo sulla sicurezza presso Tripwire, un'azienda di sicurezza informatica di Portland, Oregon, concorda con Cutler. Sostiene che i gestori di password possono fare più male che bene, soprattutto per gli utenti domestici che potrebbero non avere le competenze necessarie per configurarli in modo sicuro.

"I gestori di password sono il modo in cui la società trasferisce le cattive abitudini al computer", aggiunge Regoli. "Non è accettabile 'scrivere' le password, quindi le 'memorizziamo' sui nostri computer. 'Memorizzare' è semplicemente l'equivalente digitale di 'scrivere'". Regoli spiega che affidarsi a un unico gestore di password crea un punto di vulnerabilità centrale, rendendolo un bersaglio appetibile per gli aggressori. Consiglia invece di adottare pratiche di sicurezza migliori, come l'utilizzo di password complesse e univoche per ogni account e l'abilitazione dell'autenticazione a due fattori ove possibile.

"Non mi fido dei gestori di password online."

Determinare quali strumenti siano sicuri e quali no non è necessariamente un compito facile. Come sottolinea Ken Westin, Direttore della Strategia di Sicurezza di ReliaQuest, è difficile sapere quanto siano realmente sicuri i gestori di password.

"Personalmente, non mi fido dei gestori di password online", ha detto Westin in un'e-mail. "Non perché li ritenga poco sicuri; ma perché non so quanto siano sicuri, come archiviano le mie informazioni e se i miei dati sono adeguatamente crittografati".

A causa di questo dubbio, Westin ha affermato che non avrebbe archiviato le sue informazioni più sensibili in gestori di password basati sul web. Per la gestione delle password degli account finanziari ed e-mail, Westin ha raccomandato di utilizzare uno strumento offline, ritenendo che la sicurezza delle password sensibili richieda l'isolamento da potenziali rischi.

"Per la massima sicurezza, le password per questi servizi [account finanziari ed e-mail] dovrebbero essere archiviate in un gestore di password offline crittografato, come KeePass, che richiede l'autenticazione per l'apertura e viene sottoposto a backup regolari e sicuri", ha affermato Westin. Ciò garantisce che l'accesso a queste informazioni vitali sia adeguatamente protetto.

Christopher Burgess, CEO di Prevendra, un'azienda di sicurezza e privacy con sede a Seattle, ha suggerito che chiunque non si fidi dei gestori di password potrebbe invece tracciare manualmente le password. Questo metodo offre il controllo completo sui dati sensibili.

"Il sistema manuale è semplice da implementare [utilizzando] due blocchi note", ha affermato Burgess. "Nel primo blocco note, inserisci le informazioni del tuo account: nome del servizio, URL, ID utente e numero di serie. Nel secondo blocco note, accanto al numero di serie, scrivi la password e le eventuali note di autenticazione. Conserva il secondo blocco note in un luogo sicuro e consultalo quando non ricordi la password". Questo approccio, pur essendo semplice, offre un'alternativa valida per coloro che preferiscono il controllo diretto sulla sicurezza delle proprie password.

Precauzioni di sicurezza da adottare

Mentre molti degli esperti con cui abbiamo parlato hanno opinioni ben definite sui gestori di password, molti esperti di sicurezza sembrano adottare una posizione intermedia. Considerano questi programmi strumenti utili, ma non perfetti o inattaccabili.

Come ha osservato in un'e-mail Chester Wisniewski, ricercatore senior presso la multinazionale antivirus Sophos, le persone che non scelgono con saggezza i propri gestori di password potrebbero ritrovarsi a consegnare "l'anello che li governa tutti".

Wisniewski consiglia di cercare "app note e affidabili. Queste app dovrebbero crittografare i dati localmente e non affidarsi a terze parti per la crittografia. Personalmente, preferisco LastPass e KeePass".

Anche Cedric Geno, fondatore e CEO di APrivacy, un'azienda di sicurezza informatica di Waterloo, Ontario, ha sottolineato l'importanza di una crittografia affidabile dei dati quando si decide quale gestore di password utilizzare.

Gino ha spiegato che se il gestore di password scelto memorizza i dati nel cloud, anziché localmente sul computer, è necessario prestare molta attenzione al Paese in cui sono archiviate le informazioni, a chi potrebbe avervi accesso e al servizio di gestione delle password.

Lamar Bailey, responsabile senior della sicurezza presso Tripwire, ritiene che le persone dovrebbero cercare gestori di password dotati di funzionalità di sicurezza che vadano oltre la crittografia, funzionalità che possano aiutare a proteggere l'identità online degli utenti.

"Molti gestori di password avvisano gli utenti dei siti web che sono stati compromessi o sono interessati da gravi vulnerabilità come Heartbleed", ha aggiunto Bailey in un'e-mail.

Bailey ha continuato dicendo che la cosa più importante da ricordare quando si parla di gestori di password è la password principale utilizzata per proteggere lo strumento.

Bailey ha sottolineato che "qualsiasi gestore di password è sicuro quanto la password principale. Pertanto, gli utenti dovrebbero sempre assicurarsi che la password del proprio gestore di password sia molto sicura e cambiarla frequentemente".