Pubblicato il di Giorgio Sbaraglia

Password Manager: la guida completa

Come riuscire a ricordare le tante password che abbiamo?
Oggi, secondo statistiche, ciascuna persona che utilizzi il web deve gestire mediamente un centinaio di password. E queste nostre password devono essere sempre diverse, lunghe, complesse. In sintesi: impossibili da ricordare!

Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto i Password Manager, applicazioni dedicate a conservare tutte le nostre password in modo sicuro e – ovviamente – crittografato.
Siamo ancora lontani da un mondo senza password (o, come qualcuno ama dire, “passwordless)”. Dovremo quindi continuare a “convivere” con le password per anni.
Cerchiamo dunque di usarle nel modo più corretto, evitando quelli errori – purtroppo molto frequenti – che possono causare la violazione dei nostri account.


Proprio i Password Manager rappresentano il miglior compromesso tra sicurezza e praticità, a condizione di usarli nel modo giusto. 
Sono infatti protetti da una Master Password, che serve per aprirli e diventa perciò l’UNICA password che occorre ricordare. Questa Master Password deve essere adeguatamente complessa e ben protetta, perché se viene rubata, le nostre password saranno compromesse tutte in un colpo solo!

Sommario

Cosa sono i Password Manager

Sono semplicemente programmi ed applicazioni che archiviano in modo sicuro – e soprattutto crittografato – le nostre credenziali in una sorta di cassaforte (VAULT), a cui l’utente potrà accedere ogniqualvolta ne avrà bisogno.
I migliori PM sono multipiattaforma, sono cioè disponibili per i differenti sistemi operativi: macOS, Windows, iOS, Android e talvolta anche Linux. Questo ci permette (ma non è un obbligo!) di sincronizzare attraverso il Cloud le password su ogni dispositivo (computer, tablet o smartphone che sia) nel quale abbiamo installato lo stesso Password manager.
La prima installazione può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno. 
In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro. Ne parliamo nel capitolo dove presentiamo i prodotti più noti.
Segnaliamo qui che, per coloro che intendono migrare le password salvate in Google Chrome (pessima abitudine, non particolarmente sicura!), è lo stesso browser Chrome che offre l’opzione di esportazione: Impostazioni-Password-Password salvate-Esporta Password.

Se viceversa non si proviene da un precedente gestore di password (o se l’opzione di importazione non è disponibile), l’iniziale utilizzo di un PM richiederà il riempimento manuale dei campi (soprattutto quelli indispensabili: username, password, URL del sito). Questo si rende necessario solo quando lo si comincia ad usare, perché successivamente ogni nuova voce potrà essere aggiunta in modo automatico dal PM. In altre parole: grazie all’estensione del browser, il PM può riconoscere se abbiamo creato un nuovo account/login e memorizzarlo nel suo database.  

Le Estensioni dei browser: sono componenti aggiuntivi, conosciuti anche come plugin o add-on che vengono installate nei browser e ne ampliano le funzionalità e le interazioni con altri programmi. Tutti i principali Password manager mettono a disposizione le estensioni per i browser più diffusi. In questo modo il PM (se preventivamente sbloccato) è in grado di interagire e comunicare con il browser. Questa interazione rende possibile la funzione di riempimento automatico (autofill) che risulta particolarmente utile.

I vantaggi dei Password Manager

Sono applicazioni semplici e di facile uso, disponibili, come abbiamo detto, sia per smartphone che per computer. I vantaggi sono tanti e superano di gran lunga i potenziali svantaggi:

  • Serve una sola password (la Master Password) per aprirli.
  • Sono facili da usare.
  • Offrono template (modelli standard) da utilizzare per facilitare la compilazione delle principali tipologie di voci da inserire. Avremo quindi i template per: conto bancario, carta di credito, documento, login, account email, nota sicura, password Wi-Fi, ecc.
  • Per ciascuna voce possiamo aggiungere e memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, foto di documenti o carte di credito, ecc. e personalizzarli a nostro piacimento. Diventano quindi un comodo “taccuino segreto” nel quale salvare i nostri dati più riservati (non solo le password!).
  • Nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”. Quindi, anche se un attaccante riuscisse ad impossessarsi del file (vault) con le nostre password, non sarebbe in grado di decrittarlo.  
  • Hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con le regole di sicurezza da adottare per ogni password. (mettere link).
  • La maggior parte dei PM più quotati integrano un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per fare il login. Questa funzionalità (presente nella maggior parte dei PM) è eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali d’accesso. A questo punto la lunghezza della password non sarà più un problema!
    Per utilizzarla occorre installare su ciascun browser l’estensione del password manager (come abbiamo spiegato in precedenza). Ogni gestore di password gestisce l’autocompilazione del modulo di login in modo diverso: alcuni riempiono immediatamente tutti i campi riconosciuti, altri aspettano sia l’utente a cliccare in un campo, altri si aprono e ci chiedono cosa preferiamo fare (potremmo avere più di una password per ciascun login). Nei PM più evoluti l’autofill funziona non solo nei moduli di login, ma anche per il riempimento automatico dei dati delle carte di credito. Questo è molto pratico per evitare la – sconsigliabile – pratica di memorizzare i dati della carta di credito all’interno di un sito.
  • La funzione di riempimento automatico è implementata anche sulle applicazioni mobili (iOS ed Android) dei PM.
  • Il riempimento automatico genera un ulteriore vantaggio: protegge dal Phishing scam. In altre parole, se siamo arrivati su una pagina di login attraverso un link di phishing, questo sarà artefatto, cioè diverso dall’URL del vero sito. Quindi la funzione di riempimento automatico fallirà, perché non trova corrispondenza tra l’URL in cui siamo e quello salvato sul PM.
  • I PM non sono in grado di cambiare/aggiornare autonomamente le password nei siti, questa operazione dovrà ovviamente essere fatta dall’utente. Tuttavia, grazie all’estensione del browser, sono in grado di riconoscere il cambio della password (nel momento in cui viene fatto) e possono aggiornare automaticamente la password all’interno del loro database. In genere, prima di farlo, richiedono la conferma da parte dell’utente (per evitare aggiornamenti errati o non voluti).
  • I PM inoltre sono “schermati” rispetto ai keylogger ed agli screen logger durante la digitazione della password. Quindi un keylogger eventualmente presente nel nostro computer non sarebbe in grado di registrare la password che digitiamo. Questa funzionalità è presente in 1Password, come vedremo in seguito.
  • Fino ad oggi non ci sono casi conosciuti di incidenti informatici e data breach che abbiano colpito i PM più noti. 

Alcuni rischi nell’uso dei Password Manager (PM)

Sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche gli svantaggi o – più correttamente – gli errori che l’utente non dovrebbe fare nel loro utilizzo:

  • Dimenticare la Master Password: nella maggior parte dei PM non esiste il solito pulsante “Ho dimenticato la password” per recuperare la chiave d’accesso, proprio per ragioni di sicurezza. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene creata una chiave di sicurezza, da utilizzare in caso di emergenza. Ovviamente questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte.
  • Farsi rubare la Master Password: conservare tutte le password in un unico archivio può essere rischioso (“all your eggs in one basket”). Questo è indiscutibilmente vero ed è – infatti – la principale critica che viene mossa da chi non apprezza i PM. Quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare…
  • Scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password ad un software creato da altri, perché un hacker potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che esiste – consiglio di scegliere solo PM di aziende note ed affidabili. Vedremo ora quali sono i prodotti più consigliati.

Ci possiamo fidare dei Password Manager?

È sicuro consegnare le nostre password a qualcuno che le gestisce? 
Perché dovrei dare la mia password a qualcun altro per memorizzarla?”

Queste domande che mi vengono rivolte spesso, soprattutto nella mia attività di formazione, sono  assolutamente sensate, vediamo di dare risposta a questi dubbi.

Premesso che nella cybersecurity non esiste la sicurezza assoluta (come in nessuna attività della nostra vita, peraltro!), ritengo che oggi i Password Manager rappresentino il miglior compromesso possibile tra sicurezza e praticità. 
Ogni altra soluzione che possiamo pensare di utilizzare per memorizzare le nostre password è sicuramente peggiore, meno sicura oppure meno comoda.
Ovviamente dobbiamo mettere in pratica i consigli che ho indicato al punto precedente e scegliere un PM di qualità.
I Password Manager “affidabili” utilizzano il metodo Zero-Knowledge encryption.
Significa che i fornitori dei PM non sanno nulla dei dati che ricevono: li criptano prima che possano essere memorizzati sui loro server.
In pratica, noi gli consegnamo una “busta sigillata”: non sanno cosa c’è dentro. E non saranno in grado di aprirla e leggerla, perché è criptata con la master password, che solo noi conosciamo.
L’unico modo per perdere l’accesso al Password Manager è dimenticare la Master Password. Proprio per effetto della Zero-Knowledge encryption, non c’è modo di leggere le password se non si ha la Master Password.

I migliori Password Manager a pagamento

Nel web e negli App Store si trovano decine, addirittura centinaia di password manager, ma non tutti sono uguali e soprattutto: non tutti sono ugualmente sicuri!
Elencheremo qui solo i prodotti più rinomati (che abbiamo personalmente provato), suddividendo in due sezioni questa presentazione:

  • i prodotti a pagamento
  • quelli gratuiti

I Password manager a pagamento utilizzano ormai nella maggior parte dei casi la formula in abbonamento, con un canone mensile o annuale. Sempre meno diffuse (e meno proposte) le formule con acquisto di licenza perpetua.
Tutti offrono sia formule per uso personale che per uso aziendale (business), spesso con integrazione con Active Directory. Sono spesso disponibili  anche versioni trial gratuite (in genere per una prova di 30 giorni) con accesso a tutte le funzionalità del prodotto per il piano scelto.
Indicheremo per alcuni anche i prezzi, con l’avvertenza che tali quotazioni sono solo indicative, perché potrebbero variare per effetto di promozioni o aumenti.
Evidenzieremo inoltre quali sono i maggiori Pro e Contro per ciascun dei prodotti principali.

LastPass (di LogMeIn)

https://www.lastpass.com/it/

Può essere considerato uno del “leader di mercato”, per rinomanza, diffusione e qualità.
È disponibile sia in versione Personale che Aziendale. La versione aziendale permette all’amministratore di sistema di avere il controllo di tutte le password aziendali e di distribuirle in modo granulare agli utenti.
Esiste anche la versione gratuita “Free” che può essere utilizzata senza troppe limitazioni o per provare il prodotto. Funziona però su un solo dispositivo: dal 16 marzo 2021, infatti, con Last Pass free l’utente dovrà scegliere su quale dispositivo installarlo (Pc oppure smartphone). Verrà preso in considerazione il primo login eseguito a partire dalla data del 16 marzo. Per evitare questa limitazione, bisognerà sottoscrivere un abbonamento Premium (2,90 euro mensili).Gratuita è anche l’estensione per tutti i browser più noti (Firefox, Chrome, Safari, Microsoft Edge ed Explorer).
Consente di impostare le password utilizzando template già predisposti: login, carta di credito, documenti, ecc.
Esistono le versioni per macOS, Windows, iOS, Android, Linux e Chrome OS. Disponibile anche per Windows Phone. 
Richiede – come la maggior parte di questi PM – la creazione di un account.
Offre inoltre una funzionalità di importazione delle password provenienti da altri PM, tra i quali tutti i più noti: 1Password, Clipperz, Dashlane, eWallet, FireForm, HP Password Safe, KeePass, oltre che dal gestore delle password di Google Chrome.

PREZZI

  • sono mediamente più bassi rispetto a quelli dei principali concorrenti
  • la versione personale è offerta in modalità singolo utente a 2,90 €/mese ed in modalità Families (6 licenze Premium per facilitare la condivisione delle password) a 3,90 €/mese.
  • per le aziende esistono la versione Teams (massimo 50 membri) a 3,90 €/mese per utente e quella   Enterprise (per un numero illimitato di utenti) a 5,90 €/mese per utente. Maggiori dettagli sul sito.

PRO

  • versione gratuita utilizzabile con qualche limitazione (un solo dispositivo)
  • indicatore della forza della password e strumenti di monitoraggio del dark web
  • autenticazione a due fattori presente (per accedere all’account LastPass)
  • possibilità di generare le OTP per l’autenticazione a due fattori (con app collegata “LastPass Authenticator”) mantiene la cronologia completa delle password precedentemente usate

CONTRO

  • Alcuni tipi di dati personali non possono essere utilizzati per la compilazione automatica dei moduli

1Password (di AgileBits)

https://1password.com

È un altro “leader di mercato”, molto apprezzato soprattutto da chi utilizza device Apple. AgileBits è nata proprio sviluppando un password manager per Mac nel 2006.
Rispetto al concorrente LastPass si caratterizza per una grafica particolarmente curata, per i costi leggermente più alti e per l’assenza di una versione gratuita. Esiste solo la possibilità di provarlo gratuitamente per un mese, al termine però sarà necessario sottoscrivere l’abbonamento a pagamento. 1Password è disponibile per tutti i sistemi operativi: macOS, Windows, iOS, Android, Linux ed anche ChromeOS. Sono disponibili le estensioni per Firefox, Chrome, Brave. Non occorre per Safari, perché incorporata nell’applicazione per macOS (a dimostrazione di come 1Password sia particolarmente integrata nei prodotti Apple).

Sicurezza

Le pagine di supporto del sito spiegano in modo molto dettagliato come è implementata la sicurezza. Si utilizza la crittografia AES a 256 bit per la cassaforte delle password (come anche LastPass) ed implementa l’algoritmo di derivazione della chiave PBKDF2 (Password-Based Key Derivation Function 2), con un valore di “iteration count” pari almeno a 10.000 iterazioni. Questo rappresenta una protezione molto efficace dagli attacchi brute force, come spiegato in questa pagina di supporto dell’azienda.
1Password utilizza anche una tecnica di “Secure input fields”, ovvero una modalità di i immissione sicura per impedire ai keylogger di sapere cosa si digita nelle app 1Password.
È molto completo e ricco di funzionalità. Tra queste segnaliamo il tool Watchtower, che individua se le nostre password sono state compromesse o sono vulnerabili. Per fare questo 1Password utilizza il noto sito https://haveibeenpwned.com realizzato da Troy Hunt.
Ha inoltre la capacità di riconoscere quando viene aggiornata una password o ne viene aggiunta una nuova: in tal caso ci chiederà se vogliamo aggiungerla in 1Password. Quindi, fatta la prima inevitabile compilazione delle password (all’installazione dell’applicazione), poi le successive credenziali (username, password, URL del sito) si aggiorneranno automaticamente.
A parere di chi scrive il prodotto più elegante, pratico e sicuro. Quello da preferire per chi opera con dispositivi Apple, per i quali 1Password implementa le funzionalità più avanzate dell’ecosistema Apple.
Sui dispositivi macOS dotati di Touch ID (MacBook Pro dal 2016), lo sblocco di 1Password può essere fatto utilizzando il TouchID, quindi in modo molto più veloce che con la digitazione della master password. Dal 2020, con la versione 7.7, 1Password permette lo sblocco sul Mac anche attraverso Apple Watch.
Tutto questo avviene con un processo sicuro che utilizza la crittografia e la Secure Enclave che è presente nei Mac provvisti di chip T1 o di chip di sicurezza Apple T2 (basato su un hardware isolato dal processore principale). In pratica l’impronta digitale non è memorizzata in 1Password: questa “interroga” macOS, che comunica a 1Password semplicemente se l’impronta digitale è stata riconosciuta o meno.
Quando si utilizza Touch ID o Apple Watch per sbloccare, 1Password memorizza una chiave crittografata sul disco. Questa chiave viene utilizzata per decriptare i dati di 1Password quando viene riconosciuta l’impronta digitale o quando si approva 1Password su Apple Watch. In 1Password 7 e successivi, tale chiave viene crittografata utilizzando un’ulteriore chiave di cifratura memorizzata nella Secure Enclave, alla quale solo 1Password può accedere.
Per decifrare la chiave di sblocco, 1Password sposta la chiave criptata nella Secure Enclave, dove viene decriptata utilizzando la chiave di cifratura e restituita a 1Password per lo sblocco. Questo processo avviene localmente e la chiave di cifratura non lascia mai la Secure Enclave.
Da rimarcare anche l’aspetto aziendale: in AgileBits nel 2019 il venture capital Accel ha investito 200 milioni di dollari per una quota di minoranza della società, che è da considerare quindi estremamente solida. Inoltre a ottobre 2020 nel consiglio di amministrazione di 1Password è entrato Troy Hunt, il famoso esperto australiano di cybersecurity, colui che ha realizzato il noto sito https://haveibeenpwned.com.
Offre inoltre un ottimo blog, dove si possono trovare le risposte per quasi tutti i problemi dell’applicazione. Qualora non fosse sufficiente, un efficiente servizio clienti risponde (via email) nel giro di poche ore: verificato di persona! Tra le molte istruzioni che si possono trovare nel blog di supporto, troviamo anche il procedimento per  importare le password provenienti da altri PM, tra i quali: LastPass, Dashlane, Encryptr, RoboForm, SpashID, oltre che dal gestore delle password di Google Chrome.
Come LastPass offre sia la versione Personal/Family che quelle Business/Enterprise. I prezzi indicati sono per la formula in abbonamento. Esiste anche la possibilità di acquistare 1Password in modalità one-time. Questa opzione non sarà più disponibile con il rilascio della versione 8.0.

PREZZI:

  • Personal: 35,88 $/anno, oppure 2,99 $/mese
  • Family (5 membri): 59,88 $/anno, oppure 4,99 $/mese
  • Team: 47,88 $/utente/anno, oppure 3,99 $/mese
  • Business: 95,88 $/utente/anno, oppure 7,99 $/mese
  • Enterprise: quotazioni a richiesta

PRO

  • grafica molto curata ed intuitiva
  • facilità d’uso
  • autenticazione a due fattori presente (per accedere all’account 1Password)
  • possibilità di generare (e memorizzare) codici TOTP per i siti che supportano 2FA. Questa funzionalità in genere richiede applicazioni apposite quali Google Authenticator, Authy, ecc. Con 1Password è incorporata
  • mantiene la cronologia completa delle password precedentemente usate

CONTRO

  • opzioni di importazione limitate
  • versione gratuita non presente (solo trial di 30 giorni)
  • abbastanza costoso

Dashlane

https://www.dashlane.com/it/

Un altro password manager molto noto, al punto da essere presente con uno spot pubblicitario durante la finale del Super Bowl del 2 febbraio 2020. Lo spot, molto curato e della durata di 60 secondi, è visibile su questo link: https://youtu.be/B5lslSPfhkg. Questo ci fa capire come i password manager non siano più da considerare un prodotto per specialisti, ma sono ormai rivolti a tutti gli utenti.
Presenta caratteristiche molto simili a LastPass, ma offre un’interfaccia più fluida, elevata sicurezza ed una grande facilità d’uso. L’applicazione è disponibile per tutte piattaforme più popolari, è altamente configurabile ed è l’unico gestore di password che include una VPN di base.
Offre anche un piano gratuito che include funzioni avanzate, ma che supporta solo fino a 50 password e un solo dispositivo. È più costoso di LastPass, ma è uno dei migliori PM presenti sul mercato.

PREZZI:

Il piano Premium individuale costa 3,33 €/mese (ovvero 39,99 € fatturato annualmente), rimuove il limite delle password e le sincronizza sul cloud e su tutti i dispositivi. Consente inoltre di memorizzare file sensibili e dispone di funzioni di sicurezza aggiuntive come il monitoraggio del dark web e una VPN. Il piano Family Premium costa invece 4,99 €/mese (59,99 €/anno) e gestisce fino a 6 utenti, con password e dispositivi illimitati, monitoraggio per il dark web, autenticazione a due fattori e VPN. I piani aziendali sono di due tipi (entrambi con possibilità di prova gratuita di 30 giorni):

  • TEAM: a 5,00 € al mese per utente con fattura annuale (60,00 €/anno/utente)
  • BUSINESS: a 8,00 € al mese per utente con fattura annuale (96,00 €/anno/utente).

PRO

  • grafica curata
  • facilità d’utilizzo
  • sincronizzazione su tutti i dispositivi Windows, macOS, Android e iOS
  • molto completa: presenti tutte le funzioni più avanzate per la gestione delle password
  • include la protezione con VPN
  • scansiona il Dark Web alla ricerca di account compromessi

CONTRO:

  • costoso
  • la versione gratuita non sincronizza tra i dispositivi

Keeper

https://www.keepersecurity.com/it_IT/

Abbastanza completo, offre anche una versione gratuita che funziona su un singolo dispositivo e una prova gratuita di 30 giorni.
Nel complesso, un PM valido, ma non al livello dei concorrenti precedentemente elencati (a parere di chi scrive).

PREZZI:

Nella versione base a pagamento per singolo utente costa € 3,55 al mese (€ 42,69 con fatturazione annuale). È un po’ meno costoso di 1Password e Dashlane ma con meno funzioni. Se si integra con le funzioni aggiuntive (piani MaxBundle e PlusBundle) diviene significativamente più costoso rispetto ad altri gestori di password: rispettivamente 6,82 €/mese e 5,67 €/mese.
Costoso anche il piano Famiglia (per 5 utenti): rispettivamente 7,62 €/mese (base), 15,12 €/mese (MaxBundle) e 10,52 €/mese (PlusBundle).

Ci sono poi due versioni aziendali, a prezzi in questo caso interessanti:

  • Keeper Business a 3,75 €/mese/utente
  • Keeper Enterprise a 5,00 €/mese/utente

PRO

  • grafica elegante
  • autenticazione a due fattori presente
  • mantiene la cronologia completa delle password precedentemente usate

CONTRO

  • versione gratuita con molte limitazioni
  • costoso

I migliori Password Manager gratuiti

Sono disponibili anche alcuni interessanti PM gratuiti. Il fatto che non siano a pagamento non deve destare sospetto, perché si tratta di prodotti appartenenti alla logica dell’open source. Consiglio comunque di evitare di uscire dalla cerchia dei prodotti che indicheremo, per non incappare in PM gratuiti ma di dubbia reputazione o con finalità truffaldine.

KeePass

https://keepass.info

Sicuramente il PM gratuito più diffuso. Tecnicamente valido, ma con una grafica decisamente povera. Dalla pagina https://keepass.info/download.html si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linuz, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere.
Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente). La disponibilità di tanti plugin (in continuo miglioramento) rende KeePass una scelta apprezzata dagli utenti avanzati, ma un poco ostica per gli utenti che preferisco un PM di facile utilizzo e già pronto per l’uso.
Qui un’interessante comparazione di KeePass con LastPass: https://www.softwarehow.com/lastpass-vs-keepass/ 
Un prodotto gratuito, che offre tutti i servizi tipici dei gestori di password (generazione casuale e archiviazione delle password, compilazione automatica dei campi) e garantisce un elevato livello di sicurezza grazie alla crittografia AES e l’algoritmo di cifratura TwoFish.
Ma il suo utilizzo può risultare ostico per un utente non particolarmente evoluto. 

PRO

  • gratuita
  • open source
  • molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce
  • possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud)

CONTRO

  • grafica poco curata
  • installazione poco intuitiva, soprattutto per i plugin aggiuntivi
  • la compilazione automatica dei moduli (autofill) non è di default, ma deve essere aggiunta con plugin di terze parti

Bitwarden

https://bitwarden.com

Un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso. Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi  browser: oltre ai più noti, esiste l’estensione anche per Opera, Brave, Tor, Vivaldi. Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi. 
Molto sicuro:  i dati sono criptati con algoritmo AES-256, salted hashing, e PBKDF2 SHA-256.
Il codice sorgente è pubblicato su GitHub: https://github.com/bitwarden 
È gratuito, quindi tutte le funzionalità sono disponibili senza dover pagare un abbonamento. Sono presenti, in realtà, anche alcune opzioni a pagamento, peraltro non necessarie per la gran parte degli utenti e comunque meno costose dei più noti PM a pagamento.
L’opzione Premium costa 10 $/anno ed offre qualche funzionalità aggiuntiva (per esempio TOTP per l’autenticazione a due fattori). Potrebbe essere utile, in ambito aziendale il piano Teams a 3,00 $/mese/utente, che permette di gestire i gruppi di utenti.
Bitwarden è dunque un ottimo prodotto, molto completo già nella versione gratuita e preferibile al più noto, ma meno curato, KeePass.
Qui un’interessante comparazione di Bitwarden con LastPass: https://www.softwarehow.com/bitwarden-vs-lastpass/ 

PRO

  • gratuita, comunque economica anche nelle versione a pagamento (non necessaria per la maggior parte degli utilizzatori)
  • grafica abbastanza curata
  • discreta facilità d’uso
  • supporta autenticazione a due fattori tramite Yubikey o FIDO
  • genera codici TOTP per i siti che supportano 2FA (funzione molto utile, che non tutti i PM offrono. Permette di non dover ricorrere ad applicazioni quali Google Authenticator, Authy, ecc.)
  • codice sorgente pubblico

CONTRO

  • supporto per iOS piuttosto limitato
  • prestazioni dell’AutoFill non sempre perfette

Altri Password Manager

In conclusione elenchiamo anche altri prodotti presenti nel mercato. A parere di chi scrive non sono ai livelli di quelli precedentemente recensiti, ma possono essere comunque ritenuti affidabili, quindi da considerare e provare.

  • RoboForm Everywhere: https://www.roboform.com
    Prodotto completo, ma che non ha ancora raggiunto le funzionalità dei PM di punta. Versione RoboForm Free gratuita (ma senza la 2FA), RoboForm Everywhere a pagamento (da 16,68 $/anno).
  • NordPass: https://nordpass.com
    Uno degli ultimi arrivati: è entrato nel settore dei password manager solo nel 2019, creato dalla stessa azienda che possiede un’importante VPN, NordVPN. NordPass è l’unico gestore di password che utilizza la crittografia XChaCha20 invece del più usato algoritmo AES-256. Si caratterizza per il design minimalista e la facilità d’uso ed offre un periodo di prova gratuito (trial) di 30 giorni. Molto economico, con le offerte in corso, se si acquista il piano di due anni (1,39 €/mese), oppure quello annuale (1,79 €/mese). Decisamente meno conveniente l’abbonamento mensile che costa 4,39 €/mese. Esiste anche la versione Business, che parte da 3,59 €/mese. Ha il riempimento automatico, ma non esiste (ancora) la versione in lingua italiana.
  • Enpass: https://www.enpass.io
    Prodotto valido, con prezzi interessanti, che sono più bassi rispetto ai PM più rinomati: piano individuale 1,79 €/mese/utente, family 2,69 €/mese/utente. Esiste anche l’opzione di acquisto one-time a 71,19 € (abbastanza costosa). Interessante la possibilità di memorizzare tutte le password localmente sul dispositivo, oppure sincronizzarle tra i dispositivi usando un proprio account cloud (Dropbox, iCloud, Google Drive,OneDrive, Box), quindi la scelta del cloud è opzionale e non obbligata, come per altri. Con questa soluzione, non vengono utilizzati i server di Enpass per il salvataggio delle password.
  • Sticky Password: https://www.stickypassword.com
    Non tra i migliori esteticamente, soprattutto se paragonato a 1Password, Dashlane ed altri. Ma per quelli che non si preoccupano dall’interfaccia un po’ antiquata è una scelta valida ed efficiente. E soprattutto con un eccellente rapporto qualità-prezzo. Disponibile in versione gratuita ed a pagamento: la versione Premium si trova in offerta a 29,95 € lifetime.
  • McAfee True Key: https://www.truekey.com/it
    Funzioni di base, mancano alcune funzioni avanzate ed il supporto per Safari (macOS). Gratuita la versione base, $19,99 all’anno quella Premium.
  • Zoho Vault: https://www.zoho.com/vault/
    Prodotta dalla nota società Zoho, con versione gratuita e versioni a pagamento (Professional 3,60 €/mese, Enterprise 6,30 €/mese).
  • Kaspersky Password Manager: https://www.kaspersky.it/password-manager
    Un PM realizzato da una delle aziende di cybersecurity più famose al mondo, con oltre 400 milioni di utenti in tutto il mondo. È disponibile sia in versione gratuita (con limitazioni) che a pagamento a 13,99 €/anno, per Windows, Mac, Android, iOS.
  • LogMeOnce Password Management Suite Ultimate: https://www.logmeonce.com
    Offre un vasto numero di funzioni, che hanno un costo extra. L’installazione di tutte le funzioni è abbastanza costosa, oltre a rendere l’applicazione complicata. Versione gratuita e versioni a pagamento (Professional 2,50 €/mese, Ultimate 3,25 €/mese, Family 4,99 €/mese).
  • Password Safe: https://pwsafe.org
    Gratuito, open source, progettato dal famoso crittografo Bruce Schneier. Disponibile app Android gratuita, a pagamento (3,49 €) su IoS. Non disponibile per macOS.
  • Passbolt: https://www.passbolt.com
    Gratuito, open source, made in in Luxembourg, basato su OpenPGP (usa GnuPG per autenticare gli utenti).

Conclusioni

Come ha scritto Troy Hunt nel suo famoso articolo “The only secure password is the one you can’t remember“:

“Liberating yourself from the tyranny of passwords”

Liberatevi dalla tirannia delle password… grazie ad un Password Manager
Torna all’inizio

© Copyright 2021 Giorgio Sbaraglia
All rights reserved.

Questa immagine ha l'attributo alt vuoto; il nome del file è by-nc-nd.eu_-300x105.png

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento