- Home
- Cybersecurity
- Cybersecurity Month
- cybersecurity month 2020
- 7 domande sui password manager in 5 minuti
7 domande sui password manager in 5 minuti
| Stefano Zanero | cybersecurity month 2020
L'uso dei gestori di password è in aumento. Nessuna sorpresa, poiché semplificano la sicurezza delle password e sono facili da usare. Perché ne abbiamo bisogno e quali sono i vantaggi? Lo abbiamo chiesto a Stefano Zanero, Professore Associato al Politecnico di Milano.
Stefano, cos'è esattamente un gestore di password?
Un gestore di password è uno strumento che memorizza in modo sicuro tutti i login e le password. Oltre a ciò, la maggior parte dei moderni gestori di password può compilare automaticamente i campi di accesso, per mantenere aggiornate le password, per generare password sicure per l'utente e per sincronizzare le password su diversi dispositivi per facilità d'uso.
Quali tipi di gestori di password esistono?
La grande distinzione è tra gestori di password online (che archiviano e recuperano dati in un servizio online) e gestori offline, che archiviano i dati esclusivamente sul dispositivo.
La maggior parte dei servizi sono ormai tutti online. Alcuni servizi testati e ampiamente utilizzati sono 1password, LastPass e Dashlane, che sono in gran parte equivalenti (è principalmente una questione di apprezzamento personale delle interfacce).
Quali sono i pro e i contro di un gestore di password online / offline?
Il vantaggio è che i gestori online possono sincronizzare le password su diversi dispositivi dello stesso utente. Lo svantaggio è che diventa molto importante scegliere e memorizzare in sicurezza una singola credenziale (quella utilizzata per accedere all'account).
I gestori di password sono sicuri? Non c'è un grosso rischio quando un sito del genere viene violato?
Chiariamo che il rischio più grande oggi per gli utenti è il riutilizzo della password (utilizzando password uguali o simili su siti Web diversi). Poiché l'utente medio ha centinaia di account, è impossibile per lui scegliere password diverse senza il supporto di uno strumento. Quindi, i gestori di password sono una necessità e utilizzarne uno migliorerà di sicuro la sicurezza di un utente.
Per rispondere in modo specifico alla domanda, la maggior parte dei gestori di password utilizza le credenziali dell'utente crittografandole quindi, nel caso spiacevole in cui uno di questi servizi venisse violato, non sarebbero a rischio.
A cosa si dovrebbe prestare attenzione quando si utilizza un gestore di password?
Per prima cosa, è importante consentire al gestore delle password di generare casualmente le password: se c’è qualcuno che riesce ancora a ricordarne qualcuna senza usarlo, sta sicuramente commettendo un errore! In secondo luogo, molti gestori di password possono importare vecchie password dai browser, ad esempio. È sicuramente molto comodo, ma bisogna ricordare che, finché non si cambiano con password nuove, casuali e complesse generate dal gestore delle password, non si è effettivamente migliorata la propria sicurezza.E se si dimentica la password principale?
Se il gestore di password utilizza in modo appropriato la crittografia, (s)fortunatamente la password principale è l'unico modo per recuperare i propri segreti. Ciò significa anche che, se sfortunatamente si dimentica la password principale, non si potrà più avere alcun accesso ai propri dati. Bisogna dire, però, che questo è un evento improbabile dato che spesso la password principale viene utilizzata per sbloccare il gestore delle password.
Quali misure aggiuntive si possono adottare per essere ancora più sicuri?
La doppia autenticazione ovunque sia possibile è di un'ottima idea, in particolare se realizzata con chiavi di sicurezza o app di autenticazione (più sicure dei codici SMS). Inoltre, tutte le altre misure di sicurezza di base come l'aggiornamento dei nostri sistemi e la loro protezione dal malware potranno aiutarci ulteriormente a mantenere al sicuro i nostri account e le nostre credenziali.
Stefano Zanero è professore associato al Politecnico di Milano, dove insegna "Computer Security" e "Digital forensics and cybercrime". La sua ricerca si concentra sull'analisi del malware, sulla sicurezza informatica e sulla sicurezza informatica in generale. Stefano è anche un prolifico autore e relatore in conferenze in tutto il mondo.
È membro senior dell'IEEE e siede nel consiglio di amministrazione della IEEE Computer Society; è un membro senior a vita dell'ACM ed è stato nominato Fellow dell'ISSA (Information System Security Association). E’ anche co-fondatore e presidente di Secure Network, una delle principali società di valutazione della sicurezza; e un co-fondatore di BankSealer, una startup nel settore FinTech che affronta il rilevamento delle frodi attraverso tecniche di apprendimento automatico.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Cybersecurity: siamo in guerra! (che ci piaccia o no)
Minacce attuali e nuovi trend di attacco, l’analisi del mondo della CyberSecurity da parte di Fortinet
Ultimi articoli in rubrica
-
di Michele Scalas, Davide Maiorca, Giorgio Giacinto
-
di Stefano Zanero
-
di Roberto Cecchini
-
di Francesco Ficarola
-
di Nicla Ivana Diomede
-
di Pier Luca Montessoro