Discussione Ufficiale I migliori password manager per il 2024

Una Discussione Ufficiale punta a raccogliere tutte le informazioni su un argomento o un fatto di attualità, con costanti aggiornamenti da parte del creatore e dei partecipanti.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,757
1,825
Ultima modifica:
Mantenere le proprie password al sicuro è FONDAMENTALE in un mondo sempre più tecnologico come quello moderno. In questo articolo scopriremo quali sono i migliori password manager da utilizzare in questo 2024.​
1677159308980.png


I migliori password manager per il 2024​








1    Introduzione


Come già dicevo nella discussione dedicata al tenere al sicuro i propri dati, pubblicata in occasione del Cybersecurity Awareness Month, gli internauti ancora oggi hanno un rapporto di amore e odio (forse più odio) con le password. Sono ancora molti i casi di ri-utilizzo della stessa password su diverse piattaforme, ed è altrettanto diffuso l'utilizzo di diari o pezzi di carta come mezzo di salvataggio permanente delle proprie credenziali. I password manager nascono proprio per arginare questi problemi, fornendo una vera e propria cassaforte dove poter generare e conservare in maniera del tutto sicura le proprie password e i propri dati "privati".​

2    I migliori password manager


I password manager sono ottimi strumenti, ma non sono sempre perfetti o sicuri! Ne sono la dimostrazione concreta i recenti avvenimenti di LastPass (è stata compromessa e i vault degli utenti sono stati rubati e potenzialmente crackati) e KeePass (la cui sicurezza è stata messa a dura prova a causa della scoperta di alcune funzionalità dubbie che permettono di esportare l'intero database in chiaro).

Ecco perché è fondamentale scegliere con cura a chi affidare le proprie password (se si vogliono affidare a qualcuno) e quale servizio scegliere! Di seguito trovate i quattro password manager maggiormente consigliati per il 2024, ognuno dei quali in grado di soddisfare diverse esigenze dell'utente!​

2.1    Bitwarden


1677681178095.png

BitWarden è un password manager open-source, scritto in C# e TypeScript, nato nel 2016, inizialmente come applicazione per sistemi iOS e Android e come estensione per i browser Chrome & Opera. Nel 2017 si estende anche su Firefox e successivamente su tutti gli altri browsers e OS. Attualmente è disponibile in 50 diverse lingue per sistemi Windows, GNU/Linux, MacOS, Android, iOS, command line, da web e come estensione per tutti i principali browsers, inclusi Vivaldi e il Tor Browser.

Sebbene BitWarden si presenti come una soluzione open-source, il programma è cloud-based, per cui le password e i dati degli utenti sono salvati su server remoti anziché sul proprio dispositivo. Ciò permette di sincronizzazione facilmente tutti quanti i dispositivi su cui si utilizza il prodotto, in modo tale da poter sempre accedere comodamente alle proprie password da qualunque parte del mondo. Il programma utilizza una crittografia end-to-end e protegge le informazioni riservate degli utenti tramite gli algoritmi AES-CBC 256 e PBKDF2 SHA-256/Argon2.

Recentemente BitWarden è stata "accusata" di possedere una falla dal punto di vista del design del software: il programma infatti dichiarava di utilizzare di default 200.001 iterazioni PBKDF2, di cui 100.001 lato client e le restanti lato server. Il problema stava nel fatto che le iterazioni lato server erano progettate in una maniera tale da non garantire nessun beneficio dal punto di vista della security, lasciando così BitWarden con lo stesso numero di iterazioni utili di LastPass (o in alcuni casi di account molto vecchi, anche meno). Il 23 Gennaio 2023 Bitwarden ha aumentato il numero di iterazioni di default lato client a 350.000 (solo sugli account più recenti) - comunque lontano dallo standard consigliato dalla OWASP, che è 600.000. BitWarden permette comunque di cambiare questo valore di iterazioni dalle proprie impostazioni, per cui, se i vostri device non ne risentono in prestazioni, aumentatelo quanto vi basta.

L'articolo inerente a tale falla progettuale lo trovate di seguito:

BitWarden offre tre diversi livelli di abbonamento per il piano Personal e due per il piano Business (dentro il quale non ci addentreremo però):​
  • Free: per sempre gratuito, include tutte le funzioni core e supporto su dispositivi illimitati
  • Premium: 2FA avanzata, accesso d'emergenza, BitWarden authenticator, al costo di $10 all'anno
  • Family: utilizzo di 6 differenti account premium, al prezzo di $40 all'anno (periodo di prova gratuito di 7 giorni)

Alcune delle funzionalità messe a disposizione da BitWarden sono:​
  • Generatore di username e password sicure
  • Leaks riportati tramite "Have I Been Pwned?"
  • Generatore di codici e deposito di chiavi TOTP ( Time-Based OneTime-Password )
  • Autenticazione 2FA
  • Test di forza della password
  • Auto-Completamento durante i login
  • Crittografia di documenti personali, carte di credito, note personali ecc.
  • Esportazioni crittografate del contenuto dei vault
  • Utilizzo su dispositivi illimitati
  • Architettura zero-knowledge




2.2    NordPass


main-interface-1920x1080.png


NordPass è il prodotto Cloud-based di casa Nord per la creazione, gestione e mantenimento sicuro delle proprie password e informazioni private. Con NordPass è possibile non solo salvare le proprie credenziali o generare password sicure seguendo specifiche regole di complessità, ma anche salvare le informazioni delle proprie carte di pagamento, scrivere delle note criptate, salvare informazioni personali di vario genere e, in vista di un futuro sempre più "password-less", salvare le proprie passkeys in maniera automatica. Il servizio permette inoltre di importare automaticamente tutte le password salvate all'interno dei propri browsers o tramite un file CSV, rendendo il processo di "migrazione" estremamente efficiente e veloce.

Il programma è disponibile in versione desktop (per sistemi Windows, MacOS e Linux), in versione web e sotto forma di browser extension (per Firefox, Chrome, Edge, Opera e Brave). La versione gratuita supporta l'utilizzo di una sola sessione alla volta, ma con la versione completa è possibile avere fino a 6 sessioni contemporanee suddivise per tutte le piattaforme sopra menzionate.

Dal punto di vista della sicurezza del prodotto e della privacy dell'utente, il servizio utilizza tecniche moderne e ben collaudate: crittografia XChaCha20, per rendere il proprio software veloce ma al contempo sicuro, architettura zero-knowledge, per garantire che nessuno a parte l'utente stesso possa vedere ciò che è archiviato nel vault crittografato, autenticazione a due fattori e audit esterni (da parte di Cure53) per garantire l'effettiva veridicità di quanto citato.

NordPass è disponibile secondo diversi piani e fasce di prezzo, a loro volta suddivisi per target audience (Personale/Famiglia oppure Business):
Gratuito​
Premium​
Famiglia​
2 anni​
-​
2,29 €/mese​
2,79 €/mese​
1 anno​
-​
2,69 €/mese​
3,69 €/mese​

* sono inoltre disponibili i piani Business ed Enterprise, che però non approfondiremo in questo articolo.
** entrambi i piani Premium e Famiglia concedono 30 giorni di prova entro i quali è possibile richiedere il rimborso in caso di insoddisfazione.


Oltre che tramite l'abbonamento singolo al servizio, NordPass è anche ottenibile tramite l'abbonamento al piano plus di NordVPN, permettendo di ottenere in bundle i due programmi (assieme a tutti gli altri servizi offerti da Nord). Una buona opportunità per chi è già cliente Nord o pianifica di diventarlo a breve.

Sebbene il programma sia disponibile anche tramite un piano gratuito, questo è fortemente limitato, sia in funzionalità disponibili, sia dal fatto che possa essere eseguita una sola sessione alla volta. Il servizio Premium infatti mette a disposizione diverse altre utility ai propri utenti, tra cui:​
  • Possibilità di utilizzare fino a 6 sessioni in contemporanea su dispositivi illimitati​
  • Utility di rilevazione delle password già utilizzate o delle password deboli, in modo da capire immediatamente se una password inserita a mano sia già stata utilizzata in passato, sia vecchia o semplicemente non sufficientemente forte.​
  • Condivisione di credenziali, note e dati privati con specifici utenti, in modo da rendere sicuri i vari casi di "password sharing" (come Netflix) e la condivisione di dettagli di natura riservata.​
  • Meccanismo di scansione del web alla ricerca di data-leak dei tuoi dati, in modo da essere immediatamente notificati se durante un databreach alcune credenziali dell'utente divenissero pubbliche.​
  • Creazione di un profilo di accesso di emergenza, per far sì che uno speciale utente possa accedere alle nostre informazioni e ai dai dei nostri account nel caso ci succedesse qualcosa o non fossimo in grado noi stessi di farlo.​
Le differenze tra piano Premium e Famiglia sono invece minime: il piano Famiglia concede di utilizzare con la stessa sottoscrizione fino a 6 differenti account utente Premium, mentre il piano Premium concede l'utilizzo di un solo singolo account.

E' possibile acquistare un abbonamento a NordPass/NordVPN tramite carte Visa, Mastercard e Amex, utilizzare uno qualsiasi dei metodi alternativi come Sofort, Google Pay, PayPal, Amazon Pay o, in alternativa, pagare tramite alcune criptovalute.​




2.3    1Password


cdn-screenshot-windows-91455b543f1a1c3ee37dd9bdedb710a1-png.68493


1Password è un password manager cloud-based nel mercato da molto tempo (la prima release ufficiale risale al 2006) adatto per business e singoli utenti. Il prodotto è progettato sul principio secure by design per garantire la protezione massima dei dati, che avviene seguendo 3 elementi:​
  • End-to-end encryption: Il componente principale di sicurezza è la password dell'account che cripta tutti i dati in modo che nessuno (nemmeno 1password stessa) possa decifrarli, tranne ovviamente l'utente stesso. Tutto ciò che è contenuto nell'account - note, URL, password, informazioni varie - è SEMPRE criptato in modalità end-to-end utilizzando AES-GCM a 256bit, così da rendere impossibile l'intercettazione in transito o il recupero delle informazioni in chiaro in caso di data breach.​
  • Funzioni Smart: per limitare l'esposizione ai pericoli esterni a 1Password​
  • Massima Trasparenza: il prodotto rispetta i requisiti GDPR per la protezione della privacy degli utenti, i dati salvati sono crittografati e le informazioni personali richieste per l'utilizzo e acquisto del servizio NON sono condivise con terze parti.​
Le informazioni pubblicamente ammesse, dichiarate, richieste e custodite (ma non condivise con terze parti) da 1Password sono:​
  • Tipologia di account
  • Proprietario
  • Modalità di pagamento
  • Quando ci si logga
  • Quanti vaults si creano e quanti oggetti e files sono presenti nei vaults
  • Spazio di storage occupato
  • Indirizzo IP
  • Devices collegati all'account
  • Nome
  • Email
  • Foto profilo

1Password viene, inoltre, periodicamente sottoposto ad attività di penetration testing da enti indipendenti di sicurezza informatica, i cui report sono disponibili pubblicamente e scaricabili in formato pdf:​


1Password è certificata anche SOC2, un processo di revisione che garantisce che i fornitori di servizi gestiscano in modo sicuro i dati per proteggere gli interessi e la privacy dei loro clienti.​


Il programma è disponibile per tutte le principali piattaforme in circolazione: macOS, iOS, Windows, Android, Linux, Web Browser e anche tramite command line. Esiste anche l'estensione per i browser Chrome, Firefox, Edge, Safari e Brave.

Dal punto di vista monetario, per privati e uso domestico i prezzi sono di 2,99$ al mese per un singolo account oppure 4,99$ al mese per l'abbonamento familiare (che comprende 5 account), entrambi con fatturazione annuale. Non è presente un piano gratuito ma è possibile richiedere una prova di 14 giorni. Per le aziende si parte da 7,99$ al mese per ogni singolo account oppure è disponibile il pacchetto per 10 dipendenti a 19,95$ al mese. Viene anche offerto il pacchetto enterprise con preventivo personalizzato su richiesta in caso di speciali necessità.
Tra le smart function più interessanti troviamo:
  • Watchtower: una funzionalità con la quale è possibile verificare se un sito web ha subito data breaches che abbiano compromesso le nostre password. Il servizio si appoggia ad haveibeenpwned: per controllare se abbiamo password deboli che sono apparse in data breaches 1password crea un hash di 40 caratteri per ogni password e invia solo i primi 5 caratteri di ogni hash a haveibeenpwned.com per la verifica.​
  • Protezione anti-phishing: la funzione di auto-compilazione dei campi password agisce solo sui siti affidabili, evitando quindi di inviare password a siti cloni di phishing​
  • Modalità viaggio: con questa funzione è possibile rimuovere i dati sensibili dai dispositivi quando si attraversano i confini e ripristinare l'accesso con un click al momento dell'arrivo.​
  • Accesso utilizzando dati biometrici
  • Utilizzo del protocollo SRP (Secure Remote Password) per proteggere ulteriormente le credenziali inviate​

Per garantire la massima sicurezza del proprio account 1password utilizza inoltre delle chiavi segrete da 34 lettere impossibili da indovinare o forzare. La chiave è memorizzata sui dispositivi utilizzati per accedere al proprio account e anche nel proprio Kit di emergenza. Solo l'utente può accedere alla chiave segreta, che funziona in congiunzione con la master password dell'account per crittografare i dati e tenerli al sicuro. E' sicuramente una misura di protezione degna di nota, che rende il prodotto uno dei più sicuri in circolazione.​




2.4    Dashlane


1704469490645.png


Dashlane Password Manager è un ulteriore gestore di password cloud-based che aiuta gli utenti a creare, memorizzare e gestire le proprie password in modo sicuro. L'applicazione è disponibile per macOS, Windows, iOS e Android e tra le varie funzionalità permette:
  • Generazione di password forti: Dashlane può generare password forti e uniche per tutti i tuoi account online.
  • Memorizzazione sicura delle password: Dashlane crittografa le tue password con crittografia a 256 bit, rendendole illeggibili per chiunque non abbia la tua password principale.
  • Completamento automatico delle password: Dashlane può compilare automaticamente i campi di accesso per te, rendendo il login a siti Web e app più veloce e semplice.
  • Condivisione sicura delle password: Puoi condividere le tue password con altri in modo sicuro, senza dover rivelare la tua password principale.
  • Monitoraggio del dark web: Dashlane monitora il dark web per verificare se le tue password sono state compromesse in una data breach.
Dashlane è disponibile secondo tre piani di abbonamento (ognuno dei quali mette a disposizione 30 giorni di prova):
  • Piano gratuito: include le funzionalità di base, come la generazione di password e la memorizzazione sicura delle password.
  • Piano Premium (6,99 € al mese / 59,99 € all'anno): include tutte le funzionalità del piano gratuito, oltre a:
    • Condivisione sicura delle password
    • Monitoraggio del dark web
    • VPN
  • Piano Team (5,00 € al mese per utente / 60,00 € all'anno per utente): include tutte le funzionalità del piano Premium, oltre a:
    • Gestione degli utenti
    • Policy di sicurezza




2.5    KeePassXC & KeePass2Android


1677428656397.png

KeePassXC, a differenza dei password manager sopra riportati, è un software che funziona solamente ed unicamente client-side, senza interazioni con server remoti o internet in generale. Il programma è open-source e si presenta come una versione migliorata - sia graficamente, sia dal punto di vista della sicurezza - del più tradizionale KeePass.

Il software si integra molto bene con tutte i principali password manager e, alla creazione di un nuovo progetto KDBX, permette di importare un file CVS, KeePass1 o direttamente le credenziali da 1Password. Dal punto di vista della sicurezza, il programma permette di decidere quale algoritmo utilizzare per crittografare il proprio vault: sono supportati AES, TwoFish e ChaCha20, tutti quanti a 256 bit. E' inoltre possibile specificare a propria scelta la funzione di derivazione della chiave.

KeePassXC è supportato su tutti i principali OS (Windows, macOS e Linux) e può essere gestito anche da riga di comando tramite le CLI messe a disposizione dal tool. Sui dispositivi Android e similari è possibile utilizzare KeePass2Android, un password manager open-source molto simile a KeePassXC che supporta lo stesso formato di file ma che gira, appunto, su Android.

Tra le funzioni principali di KeePassXC:​
  • Protezione dei vault dai tentativi di screenshot
  • Integrazione con diversi agent SSH
  • Supporto a diversi algoritmi di encryption
  • Compatibilità con tutti i formati KDBX
  • Generatore integrato di password
  • Integrazione con tutti i principali browsers​
Vista la natura open del prodotto non c'è da stupirsi che il tool sia gratuito ed utilizzabile da chiunque, senza alcuna limitazione. Non proponendosi come "servizio" (a differenza dei precedenti tools), KeePassXC non offre integrazioni commerciali dirette con altri prodotti, ma svolge in maniera eccellente il suo unico scopo: proteggere le password degli utenti.

Nonostante la semplicità di uso, lo strumento è maggiormente adatto ad un pubblico prettamente tecnico o che fa della privacy e sicurezza una priorità. I vault contenenti le varie credenziali sono da sincronizzare e backup-are manualmente, per cui la sicurezza del file stesso è demandata all'utente: in caso di perdita o corruzione del file, l'utente medio perderebbe tutti i propri dati, motivo per cui il tool è indicato per un pubblico più tecnico ed avvezzo alla "vita digitale".​




3    Quale scegliere?


Come per la scelta della VPN, anche la scelta del password manager "corretto" non è lineare come si crede ma è principalmente una questione di pro e di contro. Molti dei servizi sopra menzionati offrono dei periodi di prova o delle versione gratuite che possono essere utilizzate come beta test per aiutarci nella scelta del nostro strumento.


E voi, invece, utilizzate già dei password manager? Sono presenti in questa lista?


Made with ❤ for Inforge


Discussione scritta da @0xGhost, @0xbro e @TheWorm91 in collaborazione con Nord Security
 
Utilizzo Bitwarden praticamente da sempre, non saprei come comportarmi senza l'ausilio di un passmanager. Consiglio a chiunque di utilizzarne uno, anch'io all'inizio ebbi un approccio abbastanza scettico, fortunatamente mi ricredetti già fin dai primi utilizzi. Provare per credere!
 
cosa mi consigliresti di fare ora? Scarico l'ultima vers ione poi? NADA!!
Leggo versioni anche superiori m****!
Io non mi preoccuperei così tanto, per dumpare la master password e tutto il resto occorre già avere bucato il client ed avere una shell... Diciamo che in questo scenario, con l'attaccante già dentro il PC, mi preoccuperei di altro. Alla fine potrebbe installare un keylogger o un trojan e rubare lo stesso le tue password. Se uno ci pensa la vulnerabilità non è così tanto facile da sfruttare
 
Ho giusto un paio di precisazioni da fare, soprattutto per chi utilizza o vorrebbe utilizzare Bitwarden.

Di recente sono usciti degli articoli che evidenziano alcune criticità del programma. Il primo è l'utilizzo del PIN: Bitwarden permette di utilizzare un PIN per decriptare il proprio vault... ovviamente i PIN sono meccanismi altamente insicuri e infatti, se un attaccante dovesse avere accesso al vostro vault criptato ma che aveva abilitato il PIN, potrebbe craccarlo in davvero pochissimo tempo.
L'articolo tecnico è di seguito: https://ambiso.github.io/bitwarden-pin/

L'autocompletamento di Bitwarden è troppo "blando" e non verifica propriamente se il form che sta per andare ad auto-compilare appartiene al sito originale o ad un iframe malvolo contenente il sito originale. In questo modo un attaccante potrebbe rubare le vostre credenziali facendovi semplicemente navigare su un sito web con un iframe contenente un riferimento a Bitwarden. L'estensione complilerebbe in automatico tale iframe e l'attaccante avrebbe così le vostre credenziali. Il link più tecnico è questo: https://www.bleepingcomputer.com/ne...an-let-hackers-steal-passwords-using-iframes/

Ovviamente ciò non toglie nulla a Bitwarden, che resta un ottimo prodotto, ma credo che sià giusto evidenziare queste piccolezze che, se ignorate, potrebbero creare non pochi disagi
 
Io sono rimasto molto contento del KEEPASS, tutto il database offline, leggerissimo, intuitivo e portable. Ho sparato il file del database all'app Android e via. Finalmente le mie psw sono dentro un database, ed esportabili se volessi cambiare soft, ma il Keepass e anche free, credo sia la dritta.. ciao
 
  • Mi piace
Reazioni: MiLimat e haxo
Io non ho mai utilizzato un pw manager, ma sono mesi che vedo che parlano benissimo di Bitwarden.. Il fatto è che avendo una memoria di m*rda, ho sempre impostato password che posso ricordarmi (difficili, ma cmq non quelle a 32758712 caratteri + speciali + maiuscole + simboli + padreterno) perché non ho mai avuto un luogo dove registrarle con comodità.
Per dire:

Se io iniziassi ad impostare pw sicure da 32197598125 caratteri e le salvassi su bitwarden, per qualsiasi servizio/sito/blog/shop/social/ecc

L'autocompilamento funziona sempre o dovrei avere a disposozione l'accesso all'app, cercare il servizio, fare copia incolla e rendere la cosa super macchinosa?
Inoltre altro dubbio.. Se mi fregassero bitwarden avrebbero accesso anche al mio DNA praticamente?
 
  • Mi piace
Reazioni: DjCanigia
L'autocompilamento funziona sempre o dovrei avere a disposozione l'accesso all'app, cercare il servizio, fare copia incolla e rendere la cosa super macchinosa?
Inoltre altro dubbio.. Se mi fregassero bitwarden avrebbero accesso anche al mio DNA praticamente?
Bitwarden ha un'estensione per il browser: accedi con la tua master password e decidi per quanto tempo l'accesso resta valido; ad esempio, può scadere ogni minuto o finché il browser resta aperto; quando l'accesso scade è necessario reimmettere la password per sbloccare le funzionalità. Finché l'accesso all'account è aperto, l'autocompletamento richiede solo cliccare sull'icona nel browser che associerà alla pagina visitata le credenziali di login memorizzate, il copia/incolla è automatico. Il tuo account con le password è consultabile online, qualora ti servisse su un altro dispositivo; la "zero-knowledge policy" dovrebbe comunque tutelare il tuo account in caso di data-breach ai danni dei server di Bitwarden.

Chiunque abbia le tue credenziali di Bitwarden può accedere al tuo account dove trova tutte le password e gli username, anche se non sei costretto a salvarli entrambi, magari gli username, se sono più facili da ricordare puoi, per scaramazia, non salvarli. Inoltre, nulla vieta che tu abbia salvato le password in modo volutamente erroneo (il "salt and pepper" dei poveri): ad esempio solo tu sai che, dopo l'autocompletamento, per accedere devi cancellare il quarto carattere di ogni password e aggiungere un "2" alle fine; in tal caso se anche il tuo account BItWarden fosse compromesso, avresti una minima tutela in più.
 
  • Geniale
Reazioni: TheWorm91
⚠️ attenzione se dovete scaricare KeePass c'è un sito fake sponsorizzato da Google ads che invece di indirizzare sul sito legittimo per scaricare KeePass vi farà scaricare un malware al posto del programma KeePass!

 
  • Grazie
Reazioni: MiLimat
Che differenze ci sono dal punto di vista della sicurezza tra KeePass e KeePassXC?
Il formato di file utilizzato da entrambi i programmi per salvare le password è lo stesso (.kdbx) così come gli algoritmi supportati.

KeePassXC ha qualche minima protezione in più dal punto di vista della sicurezza fisica: se provi, ad esempio, a fare uno screenshot del programma mentre è in esecuzione, noterai che non riesci a catturare la schermata. Questo lo protegge da eventuali screenshot fatti di nascosto o involontari (come quelli fatti da alcuni spyware). Inoltre KeePassXC non utilizza quelle tanto discusse funzionalità di "trigger" (https://keepass.info/help/kb/trigger_examples.html) che sono invece utilizzate in KeePass (ed eventualmente anche exploitate - CVE-2023-24055).
 
  • Grazie
Reazioni: MiLimat
Io evito come la peste di dare in pasto ai cloud le chiavi, uno sveglio potrebbe rompere tutto, perciò ho optato per delle soluzioni full-offline
Anche se dovessero entrare nel Cloud poi dovrebbero decodificare il file .kdbx e vedo l'ipotesi assai remota. Comunque per ulteriore sicurezza si potrebbe salvare solo una parte della password oppure solo le password senza gli username abbinati, questo garantirebbe un ulteriore livello di protezione per i dati online
 
  • Mi piace
Reazioni: 0xbro
Ultima modifica:
Come mai non avete inserito Dashlane?
Lo consideravo principlamente un password manager con un focus rivolto al mondo "enterprise" rispetto a quello famigliare, più che altro perchè ricordavo avesse dei prezzi più alti del normale. Ricontrollando, però, effettivamente non è così, mi sembra in linea con gli altri
 
  • Mi piace
Reazioni: Alessandro17
Io non ho mai utilizzato un pw manager, ma sono mesi che vedo che parlano benissimo di Bitwarden.. Il fatto è che avendo una memoria di m*rda, ho sempre impostato password che posso ricordarmi (difficili, ma cmq non quelle a 32758712 caratteri + speciali + maiuscole + simboli + padreterno) perché non ho mai avuto un luogo dove registrarle con comodità.
Per dire:

Se io iniziassi ad impostare pw sicure da 32197598125 caratteri e le salvassi su bitwarden, per qualsiasi servizio/sito/blog/shop/social/ecc

L'autocompilamento funziona sempre o dovrei avere a disposozione l'accesso all'app, cercare il servizio, fare copia incolla e rendere la cosa super macchinosa?
Inoltre altro dubbio.. Se mi fregassero bitwarden avrebbero accesso anche al mio DNA praticamente?
Gli algoritmi di cifratura sono molto robusti, penso che l'unico modo per accedere alle password salvate sia di ottenere la master password tramite phishing, tentare un bruteforce sarebbe solo una perdita di tempo inutile se hai una password robusta.
Per quanto riguarda l'autocompilazione non saprei dirti perchè non ho mai usato bitwarden, ti dico che con KeePass quando vuoi loggarti in un sito sul quale hai le credenziali salvate ti appare il suggerimento di compilazione dopodichè apri l'app con la master password e autocompila i campi.
Se non ti ispira fiducia bitwarden prova KeePass, in questo modo hai il file db delle password in locale e decidere di backupparlo dove vuoi offline o su cloud, personalmente mi sto trovando molto bene.​
 
Chiunque abbia le tue credenziali di Bitwarden può accedere al tuo account dove trova tutte le password e gli username, anche se non sei costretto a salvarli entrambi, magari gli username, se sono più facili da ricordare puoi, per scaramazia, non salvarli. Inoltre, nulla vieta che tu abbia salvato le password in modo volutamente erroneo (il "salt and pepper" dei poveri): ad esempio solo tu sai che, dopo l'autocompletamento, per accedere devi cancellare il quarto carattere di ogni password e aggiungere un "2" alle fine; in tal caso se anche il tuo account BItWarden fosse compromesso, avresti una minima tutela in più.
A questo non ci avevo pensato, lo trovo un modo molto intelligente di gestire un password manager per proteggersi da eventuali data breaches
 
Che differenze ci sono dal punto di vista della sicurezza tra KeePass e KeePassXC?
Messaggio unito automaticamente:

Io sono rimasto molto contento del KEEPASS, tutto il database offline, leggerissimo, intuitivo e portable. Ho sparato il file del database all'app Android e via. Finalmente le mie psw sono dentro un database, ed esportabili se volessi cambiare soft, ma il Keepass e anche free, credo sia la dritta.. ciao
Usi plugin su KeePass?
 
Il formato di file utilizzato da entrambi i programmi per salvare le password è lo stesso (.kdbx) così come gli algoritmi supportati.
Aggiungo che questo è molto utile quando si usano dispositivi diversi. Nel mio caso ho il db locale in copia su Google drive in modo da avere l'accesso sia da PC che da Smartphone e in ambito di lavoro mi risulta comodo
 
Io evito come la peste di dare in pasto ai cloud le chiavi, uno sveglio potrebbe rompere tutto, perciò ho optato per delle soluzioni full-offline
 
Io parlo perché utilizzo una psw poco robusta, e testata sulle piattaforme di rottura hash online, e purtroppo anche rotta, perciò se è difficile da ricordare con caratteri speciali andrei in pampa, l'accoppiata psw poco robusta e assenza Cloud mi fa stare meglio
 
iframe malvolo contenente il sito originale
Mhh, dal link che hai postato è il contrario: se sei su un sito trusted che matcha l'autofill, e dentro quel sito c'è un iframe malevolo, allora l'autofill compilerà sia il sito originale che l'iframe malevole.

D'altra parte, se un sito ha una pagina di login compromessa dove viene iniettato un iframe malevolo, mi sa che comunque il sito sia compromesso.

Più interessante l'altro problema: il fatto che Bitwarden se ne freghi dei sottodomini, e non matchi esattamente. Per questo è importante che gli user generated content siano sotto un dominio a parte, mai lasciare i tuoi sottodomini a qualcun altro :)

In ogni caso, ottima idea mantenere l'autofill disabilitato
 
Ultima modifica:
Mhh, dal link che hai postato è il contrario: se sei su un sito trusted che matcha l'autofill, e dentro quel sito c'è un iframe malevolo, allora l'autofill compilerà sia il sito originale che l'iframe malevole.
My bad, stavo già dormendo :addio:

Tra l'altro mi è venuto in mente che avevano fatto un attacco simile utilizzando una vuln su Mastodon per rubare le password dall'auto-completamento di Google Chrome

 
Ultima modifica:
cosa mi consigliresti di fare ora? Scarico l'ultima vers ione poi? NADA!!
Leggo versioni anche superiori m****!