Il tuo gestore di password è sicuro? 5 servizi a confronto
A questo punto, dovrebbe essere evidente che è necessario utilizzare un gestore di password È necessario iniziare a utilizzare un gestore di password in questo momento È necessario iniziare a utilizzare un gestore di password in questo momento A questo punto, tutti dovrebbero utilizzare un gestore di password. In effetti, non usare un gestore di password ti mette a maggior rischio di essere hackerato! Leggi di più . Perché? Bene, considera i passaggi standard per proteggere il tuo account:
- Non utilizzare la stessa password su più servizi.
- Usa un mix esteso di caratteri maiuscoli, minuscoli, numerici e speciali.
- Cambia frequentemente le tue password.
Questi tre principi fondamentali significano che se non hai una memoria incredibile, non puoi assolutamente sperare di ricordare tutte le tue credenziali senza scriverle da qualche parte.
Ovviamente, non è possibile salvarli in Excel per motivi di sicurezza, scrivendoli con carta e penna non va bene quando si è lontani da casa e i gestori di password dei browser non sono sicuri quanto i gestori di password.
Tuttavia, non tutti i gestori di password sono uguali. Diamo un'occhiata alla sicurezza di alcuni dei principali fornitori Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi di più .
1. LastPass
LastPass è il più popolare gestore di password I migliori gestori di password per Android Confrontati I migliori gestori di password per le password di Android Confrontate sono difficili da ricordare, ed è poco sicuro avere solo poche password memorizzate. Lascia che queste applicazioni mantengano le tue password forti e sicure! Leggi di più . Era già ampiamente adottato, ma dopo essere diventato libero da usare su tutti i dispositivi alla fine del 2016, è esploso fino a raggiungere un nuovo livello di popolarità.
A causa della sua popolarità, attira più attenzione da parte di hacker e criminali informatici. Ci sono stati due importanti incidenti di sicurezza nella storia di LastPass: uno nel 2011 e uno nel 2015. In entrambe le occasioni, la compagnia ha notato un traffico di rete sospetto e ha costretto tutti gli utenti a cambiare le password principali.
L'intenso interesse criminale in LastPass a volte funziona a suo favore. In numerose occasioni, è stato in grado di identificare e correggere le vulnerabilità prima che diventassero un problema serio.
LastPass ora ha alcune delle più robuste funzionalità di sicurezza del settore. Ad esempio, usa un hash salato a senso unico usando PBKDF2-SHA256 giri sulla tua password, rendendo quasi impossibile gli attacchi di forza bruta. La tua password non viene mai inviata a LastPass; l'hash verifica chi sei e la chiave di decodifica - che non lascia mai il tuo computer - fornisce l'accesso al tuo vault.
Il tuo vault stesso viene codificato prima di dirigersi al server LastPass utilizzando la crittografia AES a 256 bit. Inoltre, tutti i dati in movimento tra il tuo dispositivo e LastPass utilizzano SSL.
Infine, LastPass utilizza Paros per verificare eventuali rischi di attacchi XSS o SQL Injection e Funkload per verificare le prestazioni di sicurezza.
2. Dashlane
Dashlane è uno dei maggiori concorrenti di LastPass. A differenza di altri gestori di password, che offrono solo copie delle credenziali memorizzate localmente, Dashlane fornisce anche la sincronizzazione tra dispositivi diversi.
È di tre anni più giovane di LastPass, lanciato nel 2011.
È interessante notare che Dashlane ha il proprio sistema di sicurezza brevettato. La società l'ha presentata all'Ufficio brevetti e marchi negli Stati Uniti nel marzo 2012. Chiamata “Backup e sincronizzazione dei dati basati su cloud con memorizzazione locale e chiavi di accesso,” è il progetto per come funziona la sicurezza di Dashlane. Può essere suddiviso in due parti in due parti: cifratura dei dati e autenticazione dell'utente.
La crittografia dei dati spiega in che modo le password, le informazioni di pagamento e le informazioni personali sono al sicuro. Per la tua password principale, Dashlane ricava una chiave di cifratura utilizzando 10.000 iterazioni PBKDF2. Dashlane crittografa tutti i dati sui suoi server usando AES-256. Come LastPass, la società non memorizza mai la password principale sui suoi server.
L'autenticazione dell'utente si riferisce al processo di verifica di un accesso per la prima volta da un nuovo dispositivo. Piuttosto che usare gli hash delle password principali (che sono spesso il bersaglio di attacchi informatici), Dashlane ti invierà una password una tantum via email. Dopo il login, Dashlane invia una chiave del dispositivo dell'utente ai suoi server in modo che gli accessi futuri possano essere facilmente identificati.
3. KeePass
KeePass open source utilizza un approccio alternativo alla gestione delle password. Invece di essere un servizio multi-dispositivo basato su cloud, KeePass mantiene tutti i tuoi dati salvati localmente sul tuo dispositivo.
Tra l'altro, il suo approccio locale significa che i tuoi dati sono completamente al sicuro da qualsiasi criminale informatico che sta tentando di hackerare e decodificare il traffico di rete. Sul lato negativo, dovrai installare la versione portatile dell'app se desideri portare con te le tue password. E anche allora, non saranno disponibili su nessun dispositivo senza una porta USB.
La caratteristica di sicurezza standout dell'app è la possibilità di selezionare una password principale o un file chiave come metodo principale di autenticazione. Per maggiore sicurezza, puoi persino scegliere di eseguirli entrambi.
KeePass utilizza SHA-256 per comprimere la chiave master composita, Argon2 (vincitrice del concorso Password Hashing) per proteggersi dagli attacchi di dizionario e indovinare e per elaborare la protezione della memoria per impedire la memorizzazione di dati sensibili sul disco. Infine, KeePass offre un desktop sicuro per la protezione contro i keylogger. Devi accenderlo andando a Strumenti> Opzioni> Sicurezza.
Il più grande punto debole dell'app è la presenza di oltre 100 plug-in. Anche se sono il sogno di un pasticciere e ti permettono di fare tutto, dalle password di sincronizzazione sul cloud per acquisire automaticamente le password, non c'è un modo semplice per verificare la loro sicurezza.
4. Custode
Nel mio articolo sulle migliori alternative LastPass 5 Le migliori alternative LastPass per gestire le tue password 5 Le migliori alternative LastPass per gestire le tue password Molte persone considerano LastPass il re dei gestori di password; è ricco di funzionalità e vanta più utenti di qualsiasi altro concorrente - ma è lungi dall'essere l'unica opzione possibile! Per saperne di più, la sezione dei commenti sembra suggerire che Keeper sia l'app preferita di molti dei nostri lettori. Hai elogiato le sue funzionalità, facilità d'uso e funzionalità di sicurezza.
Ma la lode è giustificata? Sei al sicuro se sei un utente di Keeper? In una parola, sì.
Innanzitutto, Keeper utilizza una politica nota come “nessuna conoscenza.” In pratica, significa che Keeper non esegue alcuna crittografia o decifrazione. Succede tutto sul tuo dispositivo. Come con la maggior parte degli altri gestori di password, utilizza AES a 256 bit.
Successivamente, ciascuna password sui server di Keeper viene crittografata individualmente con due chiavi univoche: a “Chiave dati” e a “Chiave di registrazione.” Tutti i dati a riposo sul tuo dispositivo aggiungono una terza chiave, la “Chiave del cliente.”
Poiché tutta questa crittografia avviene sul lato client, Keeper ha solo un codice binario grezzo sui suoi server. Il codice è completamente inutile per gli hacker a meno che non abbiano anche il tuo dispositivo in loro possesso. Sei anche protetto dagli sniffer di rete. Poiché Keeper utilizza la crittografia AES a 256 bit, per gli hacker occorrerebbero millenni per romperlo.
Infine, offre fino a 100.000 iterazioni PBKDF2.
5. Password appiccicosa
Sticky Password è stata impegnata a sviluppare una reputazione conquistata negli ultimi anni. Ora è uno dei principali gestori di password e spesso ottiene punteggi elevati su vari siti di recensioni.
Probabilmente la sua migliore caratteristica di sicurezza è la sincronizzazione Wi-Fi. Piuttosto che sincronizzare le tue password tra dispositivi che utilizzano server cloud, la sincronizzazione Wi-Fi manterrà i tuoi dispositivi sincronizzati ma solo quando si trovano sulla stessa rete. Se si sceglie di utilizzare la sincronizzazione cloud per scopi pratici, è necessario inserire sia una password principale che una password online per accedere.
Come altre app, la password principale non viene mai salvata sui server di Sticky Password e tutti i dati inviati su una rete vengono crittografati utilizzando AES a 256 bit.
La tua password principale fornisce la base per la chiave di crittografia. Insieme al sale crittografico, la derivazione PBKDF2 crea un hash crittografico a funzione unidirezionale.
Il tuo gestore di password è sicuro?
Sappiamo tutti che dovresti usare un gestore di password, ma hai mai investito un periodo di tempo serio per garantire che il tuo gestore di password sia sicuro e protetto 4 motivi per cui i gestori di password non sono sufficienti a mantenere le password al sicuro 4 motivi I gestori di password non sono abbastanza Mantenere le password sicure I gestori di password sono preziosi nella battaglia in corso contro gli hacker, ma non offrono una protezione sufficiente per conto proprio. Questi quattro motivi mostrano perché i gestori di password non sono sufficienti per mantenere le tue password al sicuro. Leggi di più ? Sai quali sono le tecniche di crittografia scelte dal tuo fornitore o se è stata vittima di una grave violazione recente? Sapete se ha delle utili funzioni di sicurezza aggiuntive 7 Capi superbi di Clever Password Manager È necessario iniziare a utilizzare 7 Capi super intelligenti di Gestione password Dovete iniziare a utilizzare I gestori di password hanno molte funzioni interessanti, ma ne siete a conoscenza? Ecco sette aspetti di un gestore di password che dovresti sfruttare. Leggi di più ?
In definitiva, stai affidando a queste aziende le chiavi della tua vita digitale. Devi fare la tua due diligence prima di consegnare le tue credenziali.
Quale gestore di password usi? Quali caratteristiche di sicurezza ha in atto? Come sempre, puoi lasciare tutti i tuoi pensieri e opinioni nei commenti qui sotto. E ricorda di condividere l'articolo con lettori dalla mentalità simile sui social media!
Crediti immagine: Phonlamai Photo / Shutterstock
Scopri di più su: Crittografia, Gestione password.