Ultima modifica:
Mantenere le proprie password al sicuro è FONDAMENTALE in un mondo sempre più tecnologico come quello moderno. In questo articolo scopriremo quali sono i migliori password manager da utilizzare in questo 2024.
I migliori password manager per il 2024
1 Introduzione
Come già dicevo nella discussione dedicata al tenere al sicuro i propri dati, pubblicata in occasione del Cybersecurity Awareness Month, gli internauti ancora oggi hanno un rapporto di amore e odio (forse più odio) con le password. Sono ancora molti i casi di ri-utilizzo della stessa password su diverse piattaforme, ed è altrettanto diffuso l'utilizzo di diari o pezzi di carta come mezzo di salvataggio permanente delle proprie credenziali. I password manager nascono proprio per arginare questi problemi, fornendo una vera e propria cassaforte dove poter generare e conservare in maniera del tutto sicura le proprie password e i propri dati "privati".
2 I migliori password manager
I password manager sono ottimi strumenti, ma non sono sempre perfetti o sicuri! Ne sono la dimostrazione concreta i recenti avvenimenti di LastPass (è stata compromessa e i vault degli utenti sono stati rubati e potenzialmente crackati) e KeePass (la cui sicurezza è stata messa a dura prova a causa della scoperta di alcune funzionalità dubbie che permettono di esportare l'intero database in chiaro).
Ecco perché è fondamentale scegliere con cura a chi affidare le proprie password (se si vogliono affidare a qualcuno) e quale servizio scegliere! Di seguito trovate i quattro password manager maggiormente consigliati per il 2024, ognuno dei quali in grado di soddisfare diverse esigenze dell'utente!
Ecco perché è fondamentale scegliere con cura a chi affidare le proprie password (se si vogliono affidare a qualcuno) e quale servizio scegliere! Di seguito trovate i quattro password manager maggiormente consigliati per il 2024, ognuno dei quali in grado di soddisfare diverse esigenze dell'utente!
2.1 Bitwarden
BitWarden è un password manager open-source, scritto in C# e TypeScript, nato nel 2016, inizialmente come applicazione per sistemi iOS e Android e come estensione per i browser Chrome & Opera. Nel 2017 si estende anche su Firefox e successivamente su tutti gli altri browsers e OS. Attualmente è disponibile in 50 diverse lingue per sistemi Windows, GNU/Linux, MacOS, Android, iOS, command line, da web e come estensione per tutti i principali browsers, inclusi Vivaldi e il Tor Browser.
Sebbene BitWarden si presenti come una soluzione open-source, il programma è cloud-based, per cui le password e i dati degli utenti sono salvati su server remoti anziché sul proprio dispositivo. Ciò permette di sincronizzazione facilmente tutti quanti i dispositivi su cui si utilizza il prodotto, in modo tale da poter sempre accedere comodamente alle proprie password da qualunque parte del mondo. Il programma utilizza una crittografia end-to-end e protegge le informazioni riservate degli utenti tramite gli algoritmi AES-CBC 256 e PBKDF2 SHA-256/Argon2.
Recentemente BitWarden è stata "accusata" di possedere una falla dal punto di vista del design del software: il programma infatti dichiarava di utilizzare di default 200.001 iterazioni PBKDF2, di cui 100.001 lato client e le restanti lato server. Il problema stava nel fatto che le iterazioni lato server erano progettate in una maniera tale da non garantire nessun beneficio dal punto di vista della security, lasciando così BitWarden con lo stesso numero di iterazioni utili di LastPass (o in alcuni casi di account molto vecchi, anche meno). Il 23 Gennaio 2023 Bitwarden ha aumentato il numero di iterazioni di default lato client a 350.000 (solo sugli account più recenti) - comunque lontano dallo standard consigliato dalla OWASP, che è 600.000. BitWarden permette comunque di cambiare questo valore di iterazioni dalle proprie impostazioni, per cui, se i vostri device non ne risentono in prestazioni, aumentatelo quanto vi basta.
L'articolo inerente a tale falla progettuale lo trovate di seguito:
BitWarden offre tre diversi livelli di abbonamento per il piano Personal e due per il piano Business (dentro il quale non ci addentreremo però):
Sebbene BitWarden si presenti come una soluzione open-source, il programma è cloud-based, per cui le password e i dati degli utenti sono salvati su server remoti anziché sul proprio dispositivo. Ciò permette di sincronizzazione facilmente tutti quanti i dispositivi su cui si utilizza il prodotto, in modo tale da poter sempre accedere comodamente alle proprie password da qualunque parte del mondo. Il programma utilizza una crittografia end-to-end e protegge le informazioni riservate degli utenti tramite gli algoritmi AES-CBC 256 e PBKDF2 SHA-256/Argon2.
Recentemente BitWarden è stata "accusata" di possedere una falla dal punto di vista del design del software: il programma infatti dichiarava di utilizzare di default 200.001 iterazioni PBKDF2, di cui 100.001 lato client e le restanti lato server. Il problema stava nel fatto che le iterazioni lato server erano progettate in una maniera tale da non garantire nessun beneficio dal punto di vista della security, lasciando così BitWarden con lo stesso numero di iterazioni utili di LastPass (o in alcuni casi di account molto vecchi, anche meno). Il 23 Gennaio 2023 Bitwarden ha aumentato il numero di iterazioni di default lato client a 350.000 (solo sugli account più recenti) - comunque lontano dallo standard consigliato dalla OWASP, che è 600.000. BitWarden permette comunque di cambiare questo valore di iterazioni dalle proprie impostazioni, per cui, se i vostri device non ne risentono in prestazioni, aumentatelo quanto vi basta.
L'articolo inerente a tale falla progettuale lo trovate di seguito:
Bitwarden design flaw: Server side iterations
Bitwarden is a hot candidate for a LastPass replacement. Looking into how they encrypt data, it doesn’t do things that much better however.
palant.info
BitWarden offre tre diversi livelli di abbonamento per il piano Personal e due per il piano Business (dentro il quale non ci addentreremo però):
- Free: per sempre gratuito, include tutte le funzioni core e supporto su dispositivi illimitati
- Premium: 2FA avanzata, accesso d'emergenza, BitWarden authenticator, al costo di $10 all'anno
- Family: utilizzo di 6 differenti account premium, al prezzo di $40 all'anno (periodo di prova gratuito di 7 giorni)
Alcune delle funzionalità messe a disposizione da BitWarden sono:
- Generatore di username e password sicure
- Leaks riportati tramite "Have I Been Pwned?"
- Generatore di codici e deposito di chiavi TOTP ( Time-Based OneTime-Password )
- Autenticazione 2FA
- Test di forza della password
- Auto-Completamento durante i login
- Crittografia di documenti personali, carte di credito, note personali ecc.
- Esportazioni crittografate del contenuto dei vault
- Utilizzo su dispositivi illimitati
- Architettura zero-knowledge
2.2 NordPass
NordPass è il prodotto Cloud-based di casa Nord per la creazione, gestione e mantenimento sicuro delle proprie password e informazioni private. Con NordPass è possibile non solo salvare le proprie credenziali o generare password sicure seguendo specifiche regole di complessità, ma anche salvare le informazioni delle proprie carte di pagamento, scrivere delle note criptate, salvare informazioni personali di vario genere e, in vista di un futuro sempre più "password-less", salvare le proprie passkeys in maniera automatica. Il servizio permette inoltre di importare automaticamente tutte le password salvate all'interno dei propri browsers o tramite un file CSV, rendendo il processo di "migrazione" estremamente efficiente e veloce.
Il programma è disponibile in versione desktop (per sistemi Windows, MacOS e Linux), in versione web e sotto forma di browser extension (per Firefox, Chrome, Edge, Opera e Brave). La versione gratuita supporta l'utilizzo di una sola sessione alla volta, ma con la versione completa è possibile avere fino a 6 sessioni contemporanee suddivise per tutte le piattaforme sopra menzionate.
Dal punto di vista della sicurezza del prodotto e della privacy dell'utente, il servizio utilizza tecniche moderne e ben collaudate: crittografia XChaCha20, per rendere il proprio software veloce ma al contempo sicuro, architettura zero-knowledge, per garantire che nessuno a parte l'utente stesso possa vedere ciò che è archiviato nel vault crittografato, autenticazione a due fattori e audit esterni (da parte di Cure53) per garantire l'effettiva veridicità di quanto citato.
NordPass è disponibile secondo diversi piani e fasce di prezzo, a loro volta suddivisi per target audience (Personale/Famiglia oppure Business):
Il programma è disponibile in versione desktop (per sistemi Windows, MacOS e Linux), in versione web e sotto forma di browser extension (per Firefox, Chrome, Edge, Opera e Brave). La versione gratuita supporta l'utilizzo di una sola sessione alla volta, ma con la versione completa è possibile avere fino a 6 sessioni contemporanee suddivise per tutte le piattaforme sopra menzionate.
Dal punto di vista della sicurezza del prodotto e della privacy dell'utente, il servizio utilizza tecniche moderne e ben collaudate: crittografia XChaCha20, per rendere il proprio software veloce ma al contempo sicuro, architettura zero-knowledge, per garantire che nessuno a parte l'utente stesso possa vedere ciò che è archiviato nel vault crittografato, autenticazione a due fattori e audit esterni (da parte di Cure53) per garantire l'effettiva veridicità di quanto citato.
NordPass è disponibile secondo diversi piani e fasce di prezzo, a loro volta suddivisi per target audience (Personale/Famiglia oppure Business):
Gratuito | Premium | Famiglia | |
---|---|---|---|
2 anni | - | 2,29 €/mese | 2,79 €/mese |
1 anno | - | 2,69 €/mese | 3,69 €/mese |
* sono inoltre disponibili i piani Business ed Enterprise, che però non approfondiremo in questo articolo.
** entrambi i piani Premium e Famiglia concedono 30 giorni di prova entro i quali è possibile richiedere il rimborso in caso di insoddisfazione.
Oltre che tramite l'abbonamento singolo al servizio, NordPass è anche ottenibile tramite l'abbonamento al piano plus di NordVPN, permettendo di ottenere in bundle i due programmi (assieme a tutti gli altri servizi offerti da Nord). Una buona opportunità per chi è già cliente Nord o pianifica di diventarlo a breve.
Sebbene il programma sia disponibile anche tramite un piano gratuito, questo è fortemente limitato, sia in funzionalità disponibili, sia dal fatto che possa essere eseguita una sola sessione alla volta. Il servizio Premium infatti mette a disposizione diverse altre utility ai propri utenti, tra cui:
- Possibilità di utilizzare fino a 6 sessioni in contemporanea su dispositivi illimitati
- Utility di rilevazione delle password già utilizzate o delle password deboli, in modo da capire immediatamente se una password inserita a mano sia già stata utilizzata in passato, sia vecchia o semplicemente non sufficientemente forte.
- Condivisione di credenziali, note e dati privati con specifici utenti, in modo da rendere sicuri i vari casi di "password sharing" (come Netflix) e la condivisione di dettagli di natura riservata.
- Meccanismo di scansione del web alla ricerca di data-leak dei tuoi dati, in modo da essere immediatamente notificati se durante un databreach alcune credenziali dell'utente divenissero pubbliche.
- Creazione di un profilo di accesso di emergenza, per far sì che uno speciale utente possa accedere alle nostre informazioni e ai dai dei nostri account nel caso ci succedesse qualcosa o non fossimo in grado noi stessi di farlo.
Le differenze tra piano Premium e Famiglia sono invece minime: il piano Famiglia concede di utilizzare con la stessa sottoscrizione fino a 6 differenti account utente Premium, mentre il piano Premium concede l'utilizzo di un solo singolo account.
E' possibile acquistare un abbonamento a NordPass/NordVPN tramite carte Visa, Mastercard e Amex, utilizzare uno qualsiasi dei metodi alternativi come Sofort, Google Pay, PayPal, Amazon Pay o, in alternativa, pagare tramite alcune criptovalute.
E' possibile acquistare un abbonamento a NordPass/NordVPN tramite carte Visa, Mastercard e Amex, utilizzare uno qualsiasi dei metodi alternativi come Sofort, Google Pay, PayPal, Amazon Pay o, in alternativa, pagare tramite alcune criptovalute.
2.3 1Password
1Password è un password manager cloud-based nel mercato da molto tempo (la prima release ufficiale risale al 2006) adatto per business e singoli utenti. Il prodotto è progettato sul principio secure by design per garantire la protezione massima dei dati, che avviene seguendo 3 elementi:
- End-to-end encryption: Il componente principale di sicurezza è la password dell'account che cripta tutti i dati in modo che nessuno (nemmeno 1password stessa) possa decifrarli, tranne ovviamente l'utente stesso. Tutto ciò che è contenuto nell'account - note, URL, password, informazioni varie - è SEMPRE criptato in modalità end-to-end utilizzando AES-GCM a 256bit, così da rendere impossibile l'intercettazione in transito o il recupero delle informazioni in chiaro in caso di data breach.
- Funzioni Smart: per limitare l'esposizione ai pericoli esterni a 1Password
- Massima Trasparenza: il prodotto rispetta i requisiti GDPR per la protezione della privacy degli utenti, i dati salvati sono crittografati e le informazioni personali richieste per l'utilizzo e acquisto del servizio NON sono condivise con terze parti.
Le informazioni pubblicamente ammesse, dichiarate, richieste e custodite (ma non condivise con terze parti) da 1Password sono:
- Tipologia di account
- Proprietario
- Modalità di pagamento
- Quando ci si logga
- Quanti vaults si creano e quanti oggetti e files sono presenti nei vaults
- Spazio di storage occupato
- Indirizzo IP
- Devices collegati all'account
- Nome
- Foto profilo
1Password viene, inoltre, periodicamente sottoposto ad attività di penetration testing da enti indipendenti di sicurezza informatica, i cui report sono disponibili pubblicamente e scaricabili in formato pdf:
Security audits of 1Password
1Password products have been reviewed by multiple independent security firms.
support.1password.com
1Password è certificata anche SOC2, un processo di revisione che garantisce che i fornitori di servizi gestiscano in modo sicuro i dati per proteggere gli interessi e la privacy dei loro clienti.
SOC 2 certified password management | 1Password
At 1Password, we take the protection of our customers’ data very seriously, and that’s why we are proud to be SOC 2 type 2 certified for security and availability.
1password.com
Il programma è disponibile per tutte le principali piattaforme in circolazione: macOS, iOS, Windows, Android, Linux, Web Browser e anche tramite command line. Esiste anche l'estensione per i browser Chrome, Firefox, Edge, Safari e Brave.
Dal punto di vista monetario, per privati e uso domestico i prezzi sono di 2,99$ al mese per un singolo account oppure 4,99$ al mese per l'abbonamento familiare (che comprende 5 account), entrambi con fatturazione annuale. Non è presente un piano gratuito ma è possibile richiedere una prova di 14 giorni. Per le aziende si parte da 7,99$ al mese per ogni singolo account oppure è disponibile il pacchetto per 10 dipendenti a 19,95$ al mese. Viene anche offerto il pacchetto enterprise con preventivo personalizzato su richiesta in caso di speciali necessità.
Tra le smart function più interessanti troviamo:Dal punto di vista monetario, per privati e uso domestico i prezzi sono di 2,99$ al mese per un singolo account oppure 4,99$ al mese per l'abbonamento familiare (che comprende 5 account), entrambi con fatturazione annuale. Non è presente un piano gratuito ma è possibile richiedere una prova di 14 giorni. Per le aziende si parte da 7,99$ al mese per ogni singolo account oppure è disponibile il pacchetto per 10 dipendenti a 19,95$ al mese. Viene anche offerto il pacchetto enterprise con preventivo personalizzato su richiesta in caso di speciali necessità.
- Watchtower: una funzionalità con la quale è possibile verificare se un sito web ha subito data breaches che abbiano compromesso le nostre password. Il servizio si appoggia ad haveibeenpwned: per controllare se abbiamo password deboli che sono apparse in data breaches 1password crea un hash di 40 caratteri per ogni password e invia solo i primi 5 caratteri di ogni hash a haveibeenpwned.com per la verifica.
- Protezione anti-phishing: la funzione di auto-compilazione dei campi password agisce solo sui siti affidabili, evitando quindi di inviare password a siti cloni di phishing
- Modalità viaggio: con questa funzione è possibile rimuovere i dati sensibili dai dispositivi quando si attraversano i confini e ripristinare l'accesso con un click al momento dell'arrivo.
- Accesso utilizzando dati biometrici
- Utilizzo del protocollo SRP (Secure Remote Password) per proteggere ulteriormente le credenziali inviate
Per garantire la massima sicurezza del proprio account 1password utilizza inoltre delle chiavi segrete da 34 lettere impossibili da indovinare o forzare. La chiave è memorizzata sui dispositivi utilizzati per accedere al proprio account e anche nel proprio Kit di emergenza. Solo l'utente può accedere alla chiave segreta, che funziona in congiunzione con la master password dell'account per crittografare i dati e tenerli al sicuro. E' sicuramente una misura di protezione degna di nota, che rende il prodotto uno dei più sicuri in circolazione.
2.4 Dashlane
Dashlane Password Manager è un ulteriore gestore di password cloud-based che aiuta gli utenti a creare, memorizzare e gestire le proprie password in modo sicuro. L'applicazione è disponibile per macOS, Windows, iOS e Android e tra le varie funzionalità permette:
- Generazione di password forti: Dashlane può generare password forti e uniche per tutti i tuoi account online.
- Memorizzazione sicura delle password: Dashlane crittografa le tue password con crittografia a 256 bit, rendendole illeggibili per chiunque non abbia la tua password principale.
- Completamento automatico delle password: Dashlane può compilare automaticamente i campi di accesso per te, rendendo il login a siti Web e app più veloce e semplice.
- Condivisione sicura delle password: Puoi condividere le tue password con altri in modo sicuro, senza dover rivelare la tua password principale.
- Monitoraggio del dark web: Dashlane monitora il dark web per verificare se le tue password sono state compromesse in una data breach.
- Piano gratuito: include le funzionalità di base, come la generazione di password e la memorizzazione sicura delle password.
- Piano Premium (6,99 € al mese / 59,99 € all'anno): include tutte le funzionalità del piano gratuito, oltre a:
- Condivisione sicura delle password
- Monitoraggio del dark web
- VPN
- Piano Team (5,00 € al mese per utente / 60,00 € all'anno per utente): include tutte le funzionalità del piano Premium, oltre a:
- Gestione degli utenti
- Policy di sicurezza
2.5 KeePassXC & KeePass2Android
KeePassXC, a differenza dei password manager sopra riportati, è un software che funziona solamente ed unicamente client-side, senza interazioni con server remoti o internet in generale. Il programma è open-source e si presenta come una versione migliorata - sia graficamente, sia dal punto di vista della sicurezza - del più tradizionale KeePass.
Il software si integra molto bene con tutte i principali password manager e, alla creazione di un nuovo progetto KDBX, permette di importare un file CVS, KeePass1 o direttamente le credenziali da 1Password. Dal punto di vista della sicurezza, il programma permette di decidere quale algoritmo utilizzare per crittografare il proprio vault: sono supportati AES, TwoFish e ChaCha20, tutti quanti a 256 bit. E' inoltre possibile specificare a propria scelta la funzione di derivazione della chiave.
KeePassXC è supportato su tutti i principali OS (Windows, macOS e Linux) e può essere gestito anche da riga di comando tramite le CLI messe a disposizione dal tool. Sui dispositivi Android e similari è possibile utilizzare KeePass2Android, un password manager open-source molto simile a KeePassXC che supporta lo stesso formato di file ma che gira, appunto, su Android.
Tra le funzioni principali di KeePassXC:
Il software si integra molto bene con tutte i principali password manager e, alla creazione di un nuovo progetto KDBX, permette di importare un file CVS, KeePass1 o direttamente le credenziali da 1Password. Dal punto di vista della sicurezza, il programma permette di decidere quale algoritmo utilizzare per crittografare il proprio vault: sono supportati AES, TwoFish e ChaCha20, tutti quanti a 256 bit. E' inoltre possibile specificare a propria scelta la funzione di derivazione della chiave.
KeePassXC è supportato su tutti i principali OS (Windows, macOS e Linux) e può essere gestito anche da riga di comando tramite le CLI messe a disposizione dal tool. Sui dispositivi Android e similari è possibile utilizzare KeePass2Android, un password manager open-source molto simile a KeePassXC che supporta lo stesso formato di file ma che gira, appunto, su Android.
Tra le funzioni principali di KeePassXC:
- Protezione dei vault dai tentativi di screenshot
- Integrazione con diversi agent SSH
- Supporto a diversi algoritmi di encryption
- Compatibilità con tutti i formati KDBX
- Generatore integrato di password
- Integrazione con tutti i principali browsers
Vista la natura open del prodotto non c'è da stupirsi che il tool sia gratuito ed utilizzabile da chiunque, senza alcuna limitazione. Non proponendosi come "servizio" (a differenza dei precedenti tools), KeePassXC non offre integrazioni commerciali dirette con altri prodotti, ma svolge in maniera eccellente il suo unico scopo: proteggere le password degli utenti.
Nonostante la semplicità di uso, lo strumento è maggiormente adatto ad un pubblico prettamente tecnico o che fa della privacy e sicurezza una priorità. I vault contenenti le varie credenziali sono da sincronizzare e backup-are manualmente, per cui la sicurezza del file stesso è demandata all'utente: in caso di perdita o corruzione del file, l'utente medio perderebbe tutti i propri dati, motivo per cui il tool è indicato per un pubblico più tecnico ed avvezzo alla "vita digitale".
Nonostante la semplicità di uso, lo strumento è maggiormente adatto ad un pubblico prettamente tecnico o che fa della privacy e sicurezza una priorità. I vault contenenti le varie credenziali sono da sincronizzare e backup-are manualmente, per cui la sicurezza del file stesso è demandata all'utente: in caso di perdita o corruzione del file, l'utente medio perderebbe tutti i propri dati, motivo per cui il tool è indicato per un pubblico più tecnico ed avvezzo alla "vita digitale".
Scarica KeePassXC e KeePass2Android
3 Quale scegliere?
Come per la scelta della VPN, anche la scelta del password manager "corretto" non è lineare come si crede ma è principalmente una questione di pro e di contro. Molti dei servizi sopra menzionati offrono dei periodi di prova o delle versione gratuite che possono essere utilizzate come beta test per aiutarci nella scelta del nostro strumento.
E voi, invece, utilizzate già dei password manager? Sono presenti in questa lista?
Per vedere questo contenuto, devi Accedere o Registrarti.
E voi, invece, utilizzate già dei password manager? Sono presenti in questa lista?
Made with ❤ for Inforge
Discussione scritta da @0xGhost, @0xbro e @TheWorm91 in collaborazione con Nord Security