Information Security Governance e PMI: analisi critica di un modello di Risk Management
27 Novembre 2020
PCI DSS 4.0, a che punto siamo?
2 Dicembre 2020

Gestione delle credenziali: un’analisi comparativa dei principali strumenti di Password Management

Segue dalla prima parte

Come riuscire a ricordare le tante password che abbiamo

Oggi, secondo le statistiche, ciascuna persona deve gestire mediamente un centinaio di password. E queste nostre password devono essere sempre diverse, lunghe, complesse.

Sembrerebbe un problema senza soluzione, ma – al contrario – oggi ci vengono in aiuto i Password Manager, applicazioni dedicate a conservare tutte le nostre password in modo sicuro e – ovviamente – crittografato.

Rappresentano il miglior compromesso tra sicurezza e praticità, a condizione di usarli nel modo giusto.
Sono infatti protetti da una Master Password, che serve per aprirli e diventa perciò l’UNICA password che occorre ricordare. Questa Master Password deve essere adeguatamente complessa e ben protetta perché, se viene rubata, le nostre password saranno compromesse tutte in un colpo solo!

Cosa sono i Password Manager

Sono semplicemente programmi ed applicazioni che archiviano in modo sicuro – e soprattutto crittografato – le nostre credenziali in una sorta di cassaforte (VAULT), a cui l’utente potrà accedere ogniqualvolta ne avrà bisogno.

I migliori PM sono multipiattaforma, sono cioè disponibili per i differenti sistemi operativi: macOS, Windows, iOS, Android e talvolta anche Linux. Questo ci permette (ma non è un obbligo!) di sincronizzare attraverso il Cloud le password su ogni dispositivo (computer, tablet o smartphone che sia) nel quale abbiamo installato lo stesso Password manager.

La prima installazione può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali (username, password, URL del sito, ecc.), ma poi ne scopriremo l’utilità e non ne potremo farne a meno.

I vantaggi dei Password Manager

Sono applicazioni semplici e di facile uso, disponibili, come abbiamo detto, sia per smartphone che per computer.

I vantaggi sono tanti e superano di gran lunga i potenziali svantaggi:

  • serve una sola password (la Master Password) per aprirli;
  • per ciascuna voce possiamo memorizzare molti dati: username, password, numeri di telefoni, date di scadenza, ecc. e personalizzarli a nostro piacimento;
  • nei migliori PM dati memorizzati vengono crittografati con sistema di cifratura AES 256 bit, lo stesso utilizzato come standard dal governo USA per proteggere i documenti classificati “Top Secret”;
  • hanno la capacità di generare automaticamente password sicure e complesse: quindi ogni qualvolta dobbiamo impostare o cambiare una password, basterà farla creare dal PM e sarà realizzata con le regole di sicurezza che abbiamo enunciato nel nostro precedente articolo;
  • hanno un sistema intelligente di riempimento automatico (autofill) dei moduli nei siti web. Non occorre perciò fare “copia/incolla” delle password per fare il login. Questa funzionalità (presente nella maggior parte dei PM) è eccezionalmente comoda: è sufficiente entrare nella pagina di login del sito, avere il PM sbloccato e questo automaticamente riconoscerà il sito inserendo le relative credenziali d’accesso. A questo punto la lunghezza della password non sarà più un problema! Per utilizzarla occorre installare su ciascun browser l’estensione del password manager;
  • fino ad oggi non ci sono casi conosciuti di incidenti informatici che abbiano colpito i PM più noti.

Alcuni rischi nell’uso dei Password Manager (PM)

Sebbene si tratti di strumenti molto utili, sarà bene metterne in evidenza anche gli svantaggi o – più correttamente – gli errori che l’utente non dovrebbe fare nel loro utilizzo.

  • Dimenticare la Master Password: nella maggior parte dei PM, proprio per ragioni di sicurezza, non esiste il solito pulsante “Ho dimenticato la password” per recuperare la chiave d’accesso. Quindi dimenticare la master password significa non avere più l’accesso al PM e perdere irrimediabilmente tutte le proprie password! Talvolta, in fase d’installazione, viene fornita una chiave di sicurezza, da utilizzare in caso di emergenza. Ovviamente anche questa “secret key” va conservata con attenzione, perché rappresenta l’ultima possibilità per recuperare l’accesso alla propria cassaforte.
  • Farsi rubare la Master Password: conservare tutte le proprie password in un unico archivio può essere rischioso. Quindi proteggiamolo con una password forte, in fondo è l’unica che dovremo veramente ricordare…
  • Scegliere un Password Manager non sicuro: potrebbe essere pericoloso affidare le proprie password a un software creato da altri, perché un hacker potrebbe confezionare e mettere in commercio un PM appositamente per rubarci le password. Per evitare questo rischio – che esiste – consiglio di scegliere solo PM di aziende note e affidabili. Vedremo ora quali sono i prodotti più consigliati.

I migliori Password Manager a pagamento

Nel web e negli App Store si trovano decine, addirittura centinaia di password manager, ma non tutti sono uguali e soprattutto: non tutti sono ugualmente sicuri!

Elencheremo qui solo i prodotti più rinomati (che abbiamo personalmente provato), suddividendo in due sezioni questa presentazione:

  • i prodotti a pagamento;
  • quelli gratuiti.

I Password manager a pagamento utilizzano ormai nella maggior parte dei casi la formula in abbonamento, con un canone mensile o annuale.

Tutti offrono sia formule per uso personale che per uso aziendale (business), spesso con integrazione con Active Directory. Sono spesso disponibili  anche versioni trial gratuite (in genere per una prova di 30 giorni) con accesso a tutte le funzionalità del prodotto per il piano scelto.

Indicheremo per alcuni anche i prezzi, con l’avvertenza che tali quotazioni sono solo indicative, perché potrebbero variare per effetto di promozioni o aumenti.

LastPass (di LogMeIn)

https://www.lastpass.com/it/

Può essere considerato uno del “leader di mercato”, per rinomanza, diffusione e qualità.

È disponibile sia in versione Personale che Aziendale. La versione aziendale permette all’amministratore di sistema di avere il controllo di tutte le password aziendali e di distribuirle in modo granulare agli utenti.

Esiste anche la versione gratuita che può essere utilizzata senza troppe limitazioni (o comunque per provare il prodotto). Gratuita è anche l’estensione per tutti i browser più noti.

Consente di impostare le password utilizzando template già predisposti: login, carta di credito, documenti, ecc.

Esistono le versioni per macOS, Windows, iOS, Android, Linux e Chrome OS.

Prezzi: sono mediamente più bassi rispetto a quelli dei principali concorrenti.
La versione personale è offerta in modalità singolo utente a 2,90 €/mese ed in modalità Families (6 licenze Premium per facilitare la condivisione delle password) a 3,90 €/mese.
Per le aziende esistono la versione Teams (massimo 50 membri) a 3,90 €/mese per utente e quella Enterprise (per un numero illimitato di utenti) a 5,90 €/mese per utente.
Maggiori dettagli sul sito.

1Password (di AgileBits)

https://1password.com

È un altro “leader di mercato”, molto apprezzato soprattutto da chi utilizza device Apple. AgileBits è nata proprio sviluppando un password manager per Mac nel 2006.

Rispetto al concorrente LastPass si caratterizza per una grafica particolarmente curata, per i costi leggermente più alti e per l’assenza di una versione gratuita. Esiste solo la possibilità di provarlo gratuitamente per un mese, al termine però sarà necessario sottoscrivere l’abbonamento a pagamento.

1Password è disponibile per tutti i sistemi operativi: macOS, Windows, iOS, Android, Linux ed anche ChromeOS. Sono disponibili le estensioni per Firefox, Chrome, Brave. Non occorre per Safari, perché incorporata nell’applicazione per macOS.

Utilizza la crittografia AES a 256 bit per la cassaforte delle password (come anche LastPass) ed implementa l’algoritmo di derivazione della chiave PBKDF2 (Password-Based Key Derivation Function 2), per la protezione dagli attacchi brute force.

È molto completo e ricco di funzionalità. Tra queste segnaliamo il tool Watchtower, che individua se le nostro password sono state compromesse o sono vulnerabili. Per fare questo consulta il noto sito https://haveibeenpwned.com realizzato da Troy Hunt.

A parere di chi scrive il prodotto più elegante, pratico e sicuro. Quello da preferire per chi opera con dispositivi Apple.

Come LastPass offre sia la versione Personal/Family che quelle Business.

Prezzi:

  • Personal: 35,88 $/anno, oppure 2,99 $/mese
  • Family (5 membri): 59,88 $/anno, oppure 4,99 $/mese
  • Team: 47,88 $/utente/anno, oppure 3,99 $/mese
  • Business: 95,88 $/utente/anno, oppure 7,99 $/mese
  • Enterprise: quotazioni a richiesta.

Dashlane

https://www.dashlane.com/it/

Un altro password manager molto noto.

Presenta caratteristiche molto simili a LastPass, ma offre un’interfaccia più fluida.

L’applicazione è disponibile per tutte piattaforme più popolari, è altamente configurabile ed è l’unico gestore di password che include una VPN di base.

Offre anche un piano gratuito che include funzioni avanzate, ma che supporta solo fino a 50 password e un solo dispositivo. È più costoso di LastPass.

Prezzi:

Il piano Premium individuale costa 3,33 €/mese (ovvero 39,99 € fatturato annualmente), rimuove il limite delle password e le sincronizza sul cloud e su tutti i dispositivi. Consente inoltre di memorizzare file sensibili e dispone di funzioni di sicurezza aggiuntive come il monitoraggio del dark web e una VPN.
Il piano Family Premium costa invece 4,99 €/mese (59,99 €/anno) e gestisce fino a 6 utenti, con password e dispositivi illimitati, monitoraggio per il dark web, autenticazione a due fattori e VPN.

I piani aziendali sono di due tipi (entrambi con possibilità di prova gratuita di 30 giorni):

  • TEAM: a 5,00 € al mese per utente con fattura annuale (60,00 €/anno/utente),
  • BUSINESS: a 8,00 € al mese per utente con fattura annuale (96,00 €/anno/utente).

Keeper

https://www.keepersecurity.com/it_IT/

Abbastanza completo, offre anche una versione gratuita che funziona su un singolo dispositivo e una prova gratuita di 30 giorni.

Nella versione base a pagamento per singolo utente costa € 3,55 al mese (€ 42,69 con fatturazione annuale). È un po’ meno costoso di 1Password e Dashlane ma con meno funzioni. Se si integra con le funzioni aggiuntive (piani MaxBundle e PlusBundle) diviene significativamente più costoso rispetto ad altri gestori di password: rispettivamente 6,82 €/mese e 5,67 €/mese.
Costoso anche il piano Famiglia (per 5 utenti): rispettivamente 7,62 €/mese (base), 15,12 €/mese (MaxBundle) e 10,52 €/mese (PlusBundle).

Ci sono poi due versioni aziendali, a prezzi in questo caso interessanti:

  • Keeper Business a 3,75 €/mese/utente
  • Keeper Enterprise a 5,00 €/mese/utente

Nel complesso, un PM valido, ma non al livello dei concorrenti precedentemente elencati.

I migliori Password Manager gratuiti

Sono disponibili anche alcuni interessanti PM gratuiti.

Il fatto che non siano a pagamento non deve destare sospetto, perché si tratta di prodotti appartenenti alla logica dell’open source.

KeePass

https://keepass.info

Sicuramente il PM gratuito più diffuso.
Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina https://keepass.info/download.html si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linuz, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può risultare difficile valutare quale scegliere.

Bitwarden

https://bitwarden.com

Un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso.

Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi  browser.
Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

È gratuito, quindi tutte le funzionalità sono disponibili senza dover pagare un abbonamento.
Sono presenti, in realtà, anche alcune opzioni a pagamento, peraltro non necessarie per la gran parte degli utenti e comunque meno costose dei più noti PM a pagamento.
L’opzione Premium costa 10 $/anno ed offre qualche funzionalità aggiuntiva (per esempio il TOTP per l’autenticazione a due fattori).
Potrebbe essere utile, in ambito aziendale, il piano Teams a 3,00 $/mese/utente, che permette di gestire i gruppi di utenti.

Bitwarden è dunque un ottimo prodotto, molto completo già nella versione gratuita e preferibile al più noto KeePass.

 

Articolo a cura di Giorgio Sbaraglia

Giorgio Sbaraglia, ingegnere, è Information & Cyber Security Advisor e svolge attività di consulenza e formazione per la sicurezza informatica, Risk Management e per il GDPR.

Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali 24Ore Business School e ABIFormazione.

È membro del CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.

Ricopre l’incarico di DPO (Data Protection Officer) per alcune aziende italiane.

È autore dei libri:

  • “GDPR kit di sopravvivenza” (Editore GoWare);
  • “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore GoWare);
  • “iPhone, come usarlo al meglio” (Editore GoWare).

www.giorgiosbaraglia.it

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy