E’ notizia di pochi giorni fa che un database di quasi 10 miliardi di password è stato reso pubblico. Denominato “RockYou2024.txt” si tratta di uno dei più eclatanti casi di leak di accessi. Ma sicuramente non il solo, tantissimi accessi tutti i giorni vengono resi disponibili su rete onion (dark web), al costo di pochi centesimi. Questi database di password sono utilissimi agli attaccanti, poichè attraverso tool come John The Ripper e Hashcat, possono eseguire attacchi di tipo brute-force basati su dizionari di parole (il file txt indicato sopra) che rispetto ai normali attacchi di tipo brute-force standard, hanno performance nettamente migliori.

In questo contesto, tramite questo articolo scopriremo il ruolo di fondamentale importanza che hanno assunto i Password Wallet nei giorni nostri.

Cos’è un Password Wallet?

Un password wallet, o gestore di password, è un'applicazione che memorizza e gestisce le tue password in modo sicuro. Utilizza una crittografia avanzata (tipicamente AES-256-CBC) per proteggere le credenziali salvate, permettendoti di accedere ai tuoi account online con una sola password (o passphrase) principale. Oltre a memorizzare le password, molti password wallet possono generare password forti e uniche, autocompletare moduli di accesso e sincronizzare i dati su diversi dispositivi. Questo strumento rende la gestione delle password semplice e sicura, proteggendo i tuoi dati personali e riducendo il rischio di accessi non autorizzati.

Perchè utilizzare un Password Wallet?

Usare un password wallet offre numerosi vantaggi. Innanzitutto, migliora la sicurezza creando e memorizzando password forti e uniche per ogni account. Inoltre, elimina la necessità di ricordare più password, semplificando l'accesso ai servizi online. Infatti con i password wallet dovrete memorizzare soltanto una master password principale, che può essere anche una passphrase, e di conseguenza avrete accesso a tutte le altre vostre password automaticamente. I password wallet possono anche autocompilare i dati di accesso, risparmiando tempo e riducendo gli errori. Infine, molti di questi strumenti sincronizzano le password su tutti i tuoi dispositivi, garantendo accesso sicuro e facile ovunque ti trovi.
In sintesi: basta ricordare una singola passphrase (dopo ti spiegheremo come crearne una sicura e di facile memorizzazione) e avrai a tua disposizione tutte le altre password dei tuoi account, le quali, non dovendole ricordare possono essere generate automaticamente e pertanto rese estremamente complesse.

Quale Password Wallet utilizzare?

Esistono moltissimi Password Wallet sul mercato, vediamo qui alcuni scelti tra i migliori.

KeePass

Personalmente e storicamente è uno di quelli che preferisco. E’ self hosted, ossia non si appoggia a nessun servizio in cloud. Questo implica che non ha nessun costo ne di registrazione ne di mantenimento mensile. Il downside di questa applicazione è che richiede un procedimento manuale per la sincronizzazione multi-device (molto semplice a dire il vero). Magari se siete interessati a scoprire come si fa in modo semplice, contattateci, provvederemo a fare un articolo focus in merito.

Pregi:

• Open Source: KeePass è un software open source, il che significa che il codice è disponibile pubblicamente per l’ispezione. Questo aumenta la trasparenza e la sicurezza, poiché la comunità può identificare e correggere eventuali vulnerabilità.

• Personalizzabile: Offre numerose opzioni di personalizzazione, permettendo agli utenti avanzati di adattarlo alle proprie esigenze specifiche.

• Gratuito: Non ci sono costi per l’utilizzo di KeePass, il che lo rende una scelta economica per chiunque.

Difetti:

• Interfaccia Utente: L’interfaccia può risultare poco intuitiva e datata rispetto ad altre soluzioni più moderne.

• Sincronizzazione Manuale: La sincronizzazione tra dispositivi richiede spesso interventi manuali o configurazioni tramite servizi di terze parti come Dropbox o Google Drive.

1Password

Probabilmente questo è il gestore di password che consiglierei al vostro parente che non è “molto tecnologico”. E’ sicuramente semplicissimo, e a fronte di una piccolissima fee mensile, fornisce una protezione altissima per tutta la famiglia.

Pregi:

• Interfaccia Elegante e Intuitiva: 1Password è noto per la sua interfaccia user-friendly e ben progettata, che lo rende facile da usare per tutti i tipi di utenti.

• Sicurezza Avanzata: Utilizza una crittografia robusta e offre funzionalità di sicurezza avanzate come la “Modalità Viaggio”, che protegge i dati sensibili durante i viaggi internazionali.

• Sincronizzazione Semplice e Affidabile: Offre una sincronizzazione fluida tra diversi dispositivi, inclusi PC, Mac, iOS e Android, rendendo facile l’accesso alle password da qualsiasi piattaforma.

• Funzionalità di Organizzazione: Permette di organizzare le password in diverse categorie e utilizza tag per una migliore gestione. Inoltre, offre un generatore di password integrato e la possibilità di memorizzare non solo password, ma anche note sicure, documenti e altre informazioni sensibili.

Difetti:

• Costo: 1Password è un servizio premium e richiede un abbonamento a pagamento per accedere a tutte le funzionalità. Questo può rappresentare un deterrente per alcuni utenti che cercano soluzioni gratuite.

• Nessuna Versione Open Source: A differenza di KeePass e Bitwarden, 1Password non è open source. Questo può sollevare preoccupazioni sulla trasparenza e la possibilità di verificare autonomamente la sicurezza del software.

• Funzionalità Limitate nella Versione Gratuita: Sebbene offra una prova gratuita, molte delle funzionalità avanzate richiedono un abbonamento, il che potrebbe non essere ideale per utenti con budget limitato.

Bitwarden

Bitwarden è un’altra ottima alternativa quando si parla di Password Wallet. A differenza degli altri due questo sistema, strizza l’occhio alla programmazione, poichè mette a disposizione una fitta documentazione per integrare tale sistema con applicazioni terze. Può essere sia hosted (quindi gratuito) sia in cloud, quindi ospitato su una loro piattaforma. E’ semplice, ma personalmente lo consiglierei a chi ha dimestichezza con il pc.

Pregi:

• Open Source: Come KeePass, Bitwarden è open source, offrendo trasparenza e un alto livello di sicurezza.

• Economico: Anche se è disponibile una versione premium, i costi sono generalmente più bassi rispetto a quelli di 1Password.

• offre una buona combinazione di interfaccia intuitiva e funzionalità avanzate.

Difetti:

• Sincronizzazione Self-Hosted: Per chi desidera il massimo controllo, la configurazione di un server self-hosted può essere complessa.

• Meno Funzionalità Avanzate: Rispetto a LastPass, alcune funzionalità aggiuntive possono essere meno sviluppate.

• Per un normale utente, può risultare più ostico rispetto agli altri due.

Come ottenere una master password sicura?

Quando si parla di Password Wallet, è di fondamentale importanza scegliere una master password sicura.

Alcuni consigli utili per creare una master password sicura ci vengono forniti direttamente da 1password, qui.

Password completamente random VS passphrase

Quando si parla di password ne esistono generalmente di due tipi: le classiche password random e le alternative passphrase.

Le classiche password random, sono stringhe di caratteri casuali scelti tra tutti i caratteri disponibili in ASCII, quindi: lettere maiuscole e minuscole, numeri e caratteri “speciali”. Noi suggeriamo ad oggi di utilizzare almeno 14 caratteri.

Le passphrase invece sono costituite da un insieme di stringhe alfanumeriche. Suddivise da trattini a separare i vari termini. Tali stringhe alfanumeriche (noi suggeriamo almeno 5 parole) devono essere stesse essere scelte in maniera casuale.

I servizi sopra elencate forniscono alcuni tool per la generazione di password random o passphrase sicure, potete vederli qui per bitwarden e qui per 1password.

Per riassumere, alcune caratteristiche necessarie per una master password sicura:

• Random: deve essere completamente causale, ossia non vi deve essere nessuna correlazione logica tra i caratteri o le parole utilizzati per costituire tale password

• Unica: la master password, DEVE essere unica. Ossia non deve essere utilizzata

  da nessun altra parte prima di oggi, e neppure in futuro

• Solo Offline: Qualora vogliate salvare tale password per non correre il rischio di dimenticarla, è STRETTAMENTE SUGGERITO di salvarla in un luogo SICURO e NON ACCESSIBILE online

• Lunga: Deve contenere almeno 14 caratteri (scelti tra tutti i caratteri disponibili in ASCII, quindi: lettere maiuscole e minuscole, numeri e caratteri “speciali”) oppure almeno 5 parole, qualora si sia scelto di utilizzare le passphrase

Considerazioni Finali

Utilizzando i Password Wallet, sicuramente la sicurezza delle vostre identità digitali migliorerà. Tuttavia in questo articolo abbiamo affrontato l’argomento solo in modo introduttivo. Come scopriremo assieme, ci sono tantissime altre modalità di autenticazione, oltre alla password, da considerare per rendere più robusti i vostri accessi come ad esempio: autenticazione a 2 fattori, password-key, password-less access , autenticazione hardware e molto altro, che verranno spiegate in modo approfondito.

Infine ci teniamo a segnalarvi che Bitwarden oltre ad una versione SAAS, rilascia anche una versione self-hosted basata su docker. In modo che possiate avere il vostro gestore privato ospitato su un vostro server. Se volete provare ad installare questo sistema i nostri server VPS supportano al 100% sia Bitwarden sia docker. Potete utilizzare questo coupon code VPS10, per ottenere uno sconto sulla prima VPS acquistata sul nostro sito web.