I gestori di password lo sono le verdure di internet. Sappiamo che ci fanno bene, ma la maggior parte di noi è più felice di fare uno spuntino password equivalente a cibo spazzatura. Per quasi un decennio, sono stati “123456” e “password”: i due password più comunemente utilizzate In rete. Il problema è che la maggior parte di noi non sa cosa rende una buona password e comunque non è in grado di ricordarne centinaia.
Il modo più sicuro (anche se più folle) per memorizzare le tue password è memorizzarle tutte. (Assicurati che siano lunghi, forti e sicuro!) Stavo solo scherzando. Potrebbe funzionare per Memoria Gran Maestro Ed Cooke, ma la maggior parte di noi non è capace di imprese così fantastiche. Dobbiamo scaricare quel lavoro sui gestori di password, che offrono depositi sicuri che possono sostituire la nostra memoria.
Un gestore di password offre praticità e, soprattutto, ti aiuta a creare password migliori, il che rende la tua esistenza online meno vulnerabile agli attacchi basati su password. Leggere la nostra guida ai provider VPN per ulteriori idee su come aggiornare la sicurezza, nonché la nostra guida al backup dei dati per assicurarti di non perdere nulla se accade l’imprevisto.
Aggiornato a marzo 2023: abbiamo riorganizzato questa guida, aggiunto alcune note sul motivo per cui le opzioni di sincronizzazione automatica potrebbero essere una scommessa migliore e notato un’altra violazione della sicurezza di LastPass.
Offerta speciale per i lettori di Gear: Ottieni un Abbonamento di 1 anno a CABLATO per $ 5 ($ 25 di sconto). Ciò include l’accesso illimitato a CABLATO.com e la nostra rivista cartacea (se lo desideri). Gli abbonamenti aiutano a finanziare il lavoro che svolgiamo ogni giorno.
Se acquisti qualcosa utilizzando i link nelle nostre storie, potremmo guadagnare una commissione. Questo aiuta a sostenere il nostro giornalismo. Saperne di più.
Perché non utilizzare il browser?
La maggior parte dei browser Web offre almeno un gestore di password rudimentale. (Qui è dove vengono memorizzate le tue password quando Google Chrome o Mozilla Firefox ti chiedono se desideri salvare una password.) È meglio che riutilizzare la stessa password ovunque, ma i gestori di password basati su browser sono limitati. Negli ultimi anni, Google ha migliorato il gestore di password integrato in Chrome, ed è migliore degli altri, ma non è ancora così completo o ampiamente supportato come un gestore di password dedicato come quelli di seguito.
Il motivo per cui gli esperti di sicurezza consigliano di utilizzare un gestore di password dedicato viene messo a fuoco. I browser Web hanno altre priorità che non hanno lasciato molto tempo per migliorare il loro gestore di password. Ad esempio, la maggior parte di loro non genererà password complesse per te, lasciandoti indietro a “123456”. I gestori di password dedicati hanno un unico obiettivo e aggiungono funzionalità utili da anni. Idealmente, questo porta a una migliore sicurezza.
I lettori di WIRED hanno anche chiesto informazioni sul gestore di password MacOS di Apple, che si sincronizza tramite iCloud e ha alcune buone integrazioni con il browser Web Safari di Apple. Non c’è niente di sbagliato nel sistema di Apple. In effetti, ho usato Accesso portachiavi su Mac in passato e funziona alla grande. Non ha alcuni dei bei extra che ottieni con i servizi dedicati, ma gestisce la protezione delle tue password e la sincronizzazione tra i dispositivi Apple. Il problema principale è che se disponi di dispositivi non Apple, non sarai in grado di sincronizzare le tue password con essi, poiché Apple non crea app per altre piattaforme. All-in su Apple? Quindi questa è un’opzione valida, gratuita e integrata che vale la pena considerare.
Passkey, FIDO e la “morte della password”
Uno sforzo concertato per sbarazzarsi delle password è iniziato circa due giorni dopo l’invenzione della password. Le password sono una seccatura – non avrai discussioni qui – ma non le vediamo scomparire nel prossimo futuro. L’ultimo sforzo per eliminare la password viene dal Alleanza FIDOun gruppo industriale volto a standardizzare i metodi di autenticazione online.
È ancora presto, ma Apple ha implementato i protocolli FIDO in ciò che l’azienda chiama chiavi di accesso. Le passkey sono chiavi crittografiche generate gestite dal tuo dispositivo. Non devi fare nulla. Apple li memorizzerà nel portachiavi di iCloud in modo che siano sincronizzati su tutti i dispositivi e funzionino nel browser Web Safari di Apple. Le passkey sono disponibili da allora iOS 16 E Mac OS sta arrivando, ma ci sono alcune limitazioni. I siti Web e i servizi devono supportare i protocolli dell’Alleanza FIDO, che, al momento, la maggior parte non lo fa. Tuttavia, ci aspettiamo che cambi rapidamente. Google ha già implementato il supporto passkey in Android e Chrome. Le passkey alla fine funzioneranno anche con i sistemi di Microsoft, Meta e Amazon.
Poiché le passkey sono coppie di chiavi generate anziché password, non c’è nulla da ricordare. Se hai familiarità con Chiavi GPG, sono in qualche modo simili in quanto esiste una chiave pubblica e una privata; il sito Web a cui vuoi accedere ha una chiave pubblica e la invia al tuo dispositivo. Il tuo dispositivo lo confronta con la chiave privata che ha e sei connesso (o no se le chiavi non corrispondono). Sebbene le passkey non siano una svolta radicale, sono comunque un miglioramento in virtù del fatto di essere preinstallate per le persone che non leggeranno questo articolo e si iscriveranno immediatamente per utilizzare uno dei servizi seguenti. Se milioni di persone smettono improvvisamente di utilizzare 12345678 come password, è una vittoria per la sicurezza.
Detto questo, ci sono alcuni aspetti negativi significativi di ciò che l’Alleanza FIDO ha escogitato finora. Il più grande è che metterai tutte le tue uova in un unico paniere, per così dire. Le passkey sono gestite dal tuo dispositivo, il che significa che l’azienda tecnologica dietro il tuo dispositivo, vale a dire Apple, Google e Microsoft. Questo è un singolo punto di errore, che, storicamente nel mondo tecnologico, non fa ben sperare. Speriamo che FIDO espanda il suo piano attuale per consentire anche a terze parti di generare e gestire le chiavi.
Nel frattempo, se sei abbastanza esperto da leggere questo articolo, ti suggeriamo di utilizzare un buon gestore di password. La maggior parte di loro sta lentamente implementando il supporto per gli accessi Passkey, quindi non è che sarai dietro la curva solo perché non hai colto al volo la prima opportunità Passkey che è passata.
Migliore nel complesso
Per gentile concessione di 1Password
Ciò che distingue 1Password dal resto delle opzioni in questo elenco è il numero di extra che offre. Non è il più economico (vedi la nostra prossima scelta per questo), ma oltre a gestire le password, ti avviserà quando una password è debole o è stata compromessa (controllando l’eccellente Troy Hunt Sono stato punito Banca dati).
Come altri gestori di password, 1Password ha app che funzionano praticamente ovunque, inclusi MacOS, iOS, Android, Windows, Linuxe Chrome OS. C’è anche uno strumento da riga di comando che funzionerà ovunque. Sono disponibili anche plug-in per il tuo browser Web preferito, che semplificano la generazione e la modifica di nuove password al volo.
1Password ha recentemente annunciato una nuova versione della sua app, 1Password 8, e ho avuto un’esperienza mista con essa. Da un lato, funziona finalmente con i laptop Windows in esecuzione su architettura ARM. Ma avanti Mac OS Monterey, ho avuto problemi con il riempimento automatico che non funzionava e le scorciatoie da tastiera si interrompevano fino al riavvio del browser, tra gli altri problemi. I problemi finora non sono sufficienti per farmi cambiare la nostra prima scelta, ma è sicuramente qualcosa che sto tenendo d’occhio. La società ha anche recentemente ridotto il periodo di prova gratuita da 30 giorni a 14 giorni.
Se viaggi spesso attraverso i confini nazionali, apprezzerai la mia funzione preferita di 1Password: Modalità di viaggio. Questa modalità ti consente di eliminare eventuali dati sensibili dai tuoi dispositivi prima di metterti in viaggio per poi ripristinarli con un clic dopo aver varcato un confine. Ciò impedisce a chiunque, anche alle forze dell’ordine ai confini internazionali, di accedere al tuo archivio completo di password.
Oltre ad essere un gestore di password, 1Password può fungere da app di autenticazione come Google Authenticator, e per una maggiore sicurezza crea una chiave segreta per la chiave di crittografia che utilizza, il che significa che nessuno può decrittografare le tue password senza quella chiave. (Il rovescio della medaglia è che se perdi questa chiave, nessuno, nemmeno 1Password, può decifrare le tue password.)
1Password offre anche una stretta integrazione con altre app mobili. Piuttosto che dover copiare e incollare le password dal tuo gestore di password ad altre app (che mette la tua password negli appunti almeno per un momento), 1Password è integrato con molte app e può essere compilato automaticamente. Questo è più evidente su iOS, dove la comunicazione tra le app è più limitata.
Dopo l’iscrizione, scarica l’app per Windows, MacOS, Android, iOS, Chrome OS o Linux. Esistono anche estensioni del browser per Firefox, Chrome, Brave e Edge.
Migliore opzione gratuita
Fotografia: Bitwarden
Bitwarden è sicuro, open source e gratuito senza limiti. Le applicazioni sono raffinate e intuitive, rendendo il servizio la scelta migliore per chiunque non abbia bisogno delle funzionalità extra di 1Password.
Ho già detto che è open source? Ciò significa che il codice che alimenta Bitwarden è liberamente disponibile per chiunque possa ispezionarlo, cercare difetti e correggerlo. In teoria, più occhi sono puntati sul codice, più diventa ermetico. Anche Bitwarden lo è stato verificata per il 2020 da una terza parte per garantire che sia sicuro. Può essere installato sul tuo server per un facile self-hosting se preferisci eseguire il tuo cloud.
Sono disponibili app per Android, iOS, Windows, MacOS e Linux, nonché estensioni per tutti i principali browser Web. Bitwarden ha anche il supporto per Windows Hello e Touch ID sulle sue app desktop per Windows e MacOS, offrendoti la sicurezza aggiuntiva di quei sistemi di autenticazione biometrica. Bitwarden ha recentemente introdotto il supporto per l’autenticazione senza password, il che significa che puoi accedere con un codice monouso, autenticazione biometrica o chiave di sicurezza.
Mi piace lo strumento di compilazione della password semiautomatico di Bitwarden. Se visiti un sito per il quale hai salvato le credenziali, l’icona del browser di Bitwarden mostra il numero di credenziali salvate da quel sito. Fare clic sull’icona e verrà chiesto quale account si desidera utilizzare e quindi compilare automaticamente il modulo di accesso. Ciò semplifica il passaggio da un nome utente all’altro ed evita le insidie del riempimento automatico che menzioniamo in fondo a questa guida. Se devi semplicemente avere la tua funzione di compilazione dei moduli completamente automatizzata, Bitwarden supporta anche quella.
Bitwarden offre un account di aggiornamento a pagamento. Il più economico del gruppo, Bitwarden Premium, costa $ 10 all’anno. Ciò ti offre 1 GB di archiviazione di file crittografati, autenticazione a due fattori con dispositivi come YubiKey, FIDO U2F, Duo e un rapporto sull’igiene delle password e sull’integrità del caveau. Il pagamento ti dà anche l’assistenza clienti prioritaria.
Dopo l’iscrizione, scarica l’app per Windows, MacOS, Android, iOS o Linux. Esistono anche estensioni del browser per Firefox, Chrome, Safari, Edge, Vivaldi e Brave.
Miglior manager completo
Per gentile concessione di Dashlane
Ho incontrato Dashlane per la prima volta diversi anni fa. Allora era uguale ai suoi concorrenti, senza caratteristiche distintive. Ma gli aggiornamenti recenti hanno aggiunto diverse funzioni utili. Uno dei migliori è Site Breach Alerts, qualcosa che da allora è stato aggiunto anche da altri servizi. Dashlane monitora attivamente gli angoli più bui del Web, alla ricerca di dati personali trapelati o rubati, quindi ti avvisa se le tue informazioni sono state compromesse.
La configurazione e la migrazione da un altro gestore di password è semplice e utilizzerai una chiave segreta per crittografare le tue password, proprio come il processo di configurazione di 1Password. In pratica, Dashlane è molto simile agli altri in questo elenco. L’azienda non offre un’app desktop, ma utilizzo principalmente le password nel browser Web e Dashlane ha componenti aggiuntivi per tutti i principali browser, insieme alle app iOS e Android. Se un’app desktop è importante per te, è qualcosa di cui essere a conoscenza. Dashlane offre una prova gratuita di 30 giorni, quindi puoi provarla prima di impegnarti.
Dopo l’iscrizione, scarica l’app per Android e iOS e prendi il br estensioni del proprietario per Firefox, Chrome e Edge.
Un’altra opzione
Per gentile concessione di NordPass
NordPass è un bambino relativamente nuovo nel blocco del gestore di password, ma proviene da un’azienda con credenziali significative. NordVPN è un noto provider VPNe l’azienda offre al suo gestore di password gran parte della facilità d’uso e della semplicità che hanno reso popolare la sua offerta VPN. Il processo di installazione e configurazione è un gioco da ragazzi. Esistono app per tutte le principali piattaforme (incluso Linux), browser e dispositivi.
La versione gratuita di NordPass è limitata a un dispositivo e non è disponibile la sincronizzazione. È disponibile una prova gratuita di sette giorni della versione premium, che ti consente di testare la sincronizzazione del dispositivo. Ma per ottenerlo per sempre, dovrai passare al piano da $ 36 all’anno. (Come il suo servizio VPN, NordPass accetta pagamenti in criptovalute.)
NordPass utilizza una configurazione a conoscenza zero in cui tutti i dati vengono crittografati sul tuo dispositivo prima di essere caricati sui server dell’azienda, come le nostre scelte sopra. Altre caratteristiche interessanti includono il supporto per l’autenticazione a due fattori per accedere al tuo account e un generatore di password integrato (che ha molte opzioni per gestire quei siti mal progettati che impongono strani requisiti alla tua password). C’è anche una funzione di archiviazione delle informazioni personali per mantenere il tuo indirizzo, numero di telefono e altri dati personali sicuri e protetti ma di facile accesso.
NordPass offre anche una funzione di accesso di emergenza, che ti consente di concedere a un altro utente NordPass l’accesso di emergenza al tuo caveau. Funziona proprio come la stessa funzione in 1Password, consentendo ad amici o familiari fidati di accedere al tuo account nel caso tu non possa.
Dopo l’iscrizione, scarica l’app per Windows, MacOS, Android, iOS o Linux. Esistono anche estensioni del browser per Firefox, Chrome e Edge.
Le migliori opzioni fai-da-te (self-hosted)
Vuoi mantenere un maggiore controllo sui tuoi dati nel cloud? Sincronizza tu stesso il tuo deposito password.
I servizi di seguito non memorizzano nessuno dei tuoi dati sui loro server. Ciò significa che gli aggressori non hanno nulla da prendere di mira. Invece di archiviare le tue password, questi servizi utilizzano un deposito locale per archiviare i tuoi dati e quindi sincronizzi tale deposito utilizzando un servizio di sincronizzazione dei file come casella personale, NextCloudo di Edward Snowden servizio consigliato, RagnoOak.
Ci sono due servizi di cui tenere traccia in questo scenario, che lo rendono un po’ più complesso. Ma se stai già utilizzando un servizio file di sincronizzazione dei file, questa può essere una buona opzione.
Per gentile concessione di Enpass
Enpass non memorizza alcun dato sui propri server. La sincronizzazione è gestita tramite servizi di terze parti. Enpass non esegue la sincronizzazione, ma offre app su ogni piattaforma. Ciò significa che una volta impostata la sincronizzazione, funziona come qualsiasi altro servizio. E non devi preoccuparti che Enpass venga violato, perché i tuoi dati non sono sui suoi server. Enpass supporta la sincronizzazione tramite Dropbox, Google Drive, OneDrive, iCloud, Box, Nextcloud o qualsiasi servizio che utilizza WebDAV. Purtroppo, SpiderOak non è attualmente supportato. Puoi anche sincronizzare i tuoi dati su una rete WLAN o Wi-Fi locale.
Tutte le funzionalità che ti aspetti da un gestore di password sono qui, tra cui password con generazione automatica, monitoraggio delle violazioni, accesso biometrico (per i dispositivi che lo supportano), password con riempimento automatico e opzioni per archiviare altri tipi di dati, come carte di credito e dati identificativi. C’è anche una funzione di controllo delle password per evidenziare eventuali password deboli o duplicate nel tuo caveau. Un extra che mi piace particolarmente è la possibilità di taggare le password per facilitare la ricerca. Enpass semplifica anche l’impostazione della sincronizzazione tramite il servizio di tua scelta.
Enpass può essere utilizzato gratuitamente su Windows, Mac e Linux. La versione mobile sincronizza gratuitamente fino a 25 elementi in un caveau. Per di più, ti consigliamo di iscriverti al servizio a pagamento (che è scontato del 50% per il primo anno).
Dopo l’iscrizione, scarica l’app per Mac, Windows, Linux, Android e iOS e prendi le estensioni del browser per Chrome, Vivaldi, Edge e Firefox.
Per gentile concessione di KeePassXC
KeePassXC funziona come Enpass sopra. Memorizza le tue password in un deposito digitale crittografato che ti protegge con una password principale, un file chiave o entrambi. Sincronizzi tu stesso quel file di database utilizzando un servizio di sincronizzazione dei file. Una volta che il tuo file è nel cloud, puoi accedervi su qualsiasi dispositivo che abbia un client KeePassXC. Come Bitwarden, KeepassXC è open source, il che significa che il suo codice può essere ed è stato ispezionato per difetti critici. Se sei un utente avanzato, a tuo agio nel gestire i tuoi problemi e il supporto, KeePassXC è un’ottima scelta.
Lo svantaggio di KeePassXC è che non ha client mobili ufficiali. Esistono app di terze parti sia su iOS che su Android.
Scarica il applicazione desktop per Windows, MacOS o Linux e crea il tuo vault. Ci sono anche estensioni per Firefox, BordoE Cromo. Non ha app ufficiali per il tuo telefono. Invece, il progetto raccomanda KeePass2Android O Cassaforte per iPhone.
Menzioni d’onore
Per gentile concessione del Custode
I gestori di password non sono una soluzione valida per tutti. Le nostre scelte migliori coprono la maggior parte dei casi d’uso e sono le scelte migliori per la maggior parte delle persone, ma le tue esigenze potrebbero essere diverse. Fortunatamente, ci sono molti buoni gestori di password là fuori. Eccone altri che abbiamo testato e apprezzato.
- Keeper Password Manager ($ 35 all’anno per Unlimited): Keeper offre una varietà di strumenti relativi alla sicurezza, incluso un gestore di password. Keeper funziona in modo molto simile a 1Password e altri, memorizzando solo i tuoi dati crittografati e offre l’autenticazione a due fattori per l’accesso al tuo account. Come Dashlane, Keeper ha molti extra, incluso il monitoraggio del dark web, il che significa che controllerà i dati pubblicati pubblicamente per assicurarsi che i tuoi non siano disponibili.
- Roboform ($ 24 all’anno, $ 48 all’anno per il piano familiare a cinque utenti): Roboform ha la maggior parte delle stesse funzionalità del resto in questo elenco, ma mancano alcune delle cose che differenziano le nostre scelte migliori, come la funzione di viaggio di 1Password o l’aspetto open source di Bitwarden. Ho testato il piano gratuito per un po’ e non ho riscontrato alcun problema. Esistono app per ogni piattaforma comune ed è facile da usare. Detto questo, Roboform non ha pubblicato un audit di sicurezza completo e indipendente.
- Passaggio (gratuito): Pass è un wrapper della riga di comando attorno a GPG (GNU Privacy Guard), vale a dire, questo è solo per gli utenti più nerd. Supporta la gestione dei file .gpg crittografati in Git e sono disponibili app mobili di terze parti. Sicuramente non è per tutti, ma dato che le persone chiedono sempre, è quello che uso.
Che dire di LastPass?
LastPass era il nostro gestore di password gratuito preferito, ma poi ha cambiato il suo piano gratuito in modo da essere limitato a un singolo dispositivo. Se stai cercando un servizio gratuito, Bitwarden è una scelta di gran lunga migliore. Più preoccupante, LastPass ha avuto di più cattive violazioni della sicurezza rispetto a qualsiasi altro servizio in questa pagina, il che ci ha portato a rimuoverlo dalle nostre scelte migliori. Non è consigliabile utilizzare LastPass.
Come testiamo
Gli algoritmi crittografici migliori e più sicuri sono tutti disponibili tramite librerie di programmazione open source. Da un lato, è fantastico, poiché qualsiasi app può incorporare queste cifre e proteggere i tuoi dati. Sfortunatamente, qualsiasi crittografia è forte solo quanto il suo collegamento più debole e la crittografia da sola non manterrà le tue password al sicuro.
Questo è ciò che cerco: quali sono gli anelli più deboli? La tua password principale è stata inviata al server? Ogni gestore di password dice non lo è, ma se guardi il traffico di rete mentre inserisci una password, a volte trovi, beh, lo è. Approfondisco anche il funzionamento delle app mobili: ad esempio, lasciano sbloccato l’archivio delle password ma richiedono un pin per rientrare? È conveniente, ma sacrifica troppa sicurezza. Nessun gestore di password è perfetto, ma quelli sopra rappresentano i migliori che ho testato. Sono il più sicuri possibile pur rimanendo facili da usare.
Nozioni di base sul gestore delle password
Un buon gestore di password memorizza, genera e aggiorna le password per te con la semplice pressione di un pulsante. Se sei disposto a spendere qualche dollaro al mese, un gestore di password può sincronizzare le tue password su tutti i tuoi dispositivi. Ecco come funzionano.
Solo una password da ricordare: Per accedere a tutte le tue password, devi solo ricordarne una. Quando lo digiti nel gestore delle password, sblocca il caveau contenente tutte le tue password effettive. Il solo bisogno di ricordare una password è fantastico, ma significa che c’è molto da fare su quella password. Assicurati che sia buono. Se hai problemi a trovare quella password per dominarli tutti, consulta la nostra guida a migliore sicurezza della password. Potresti anche prendere in considerazione l’utilizzo di Dadi metodo per generare una password principale sicura.
App ed estensioni: La maggior parte dei gestori di password sono sistemi completi, piuttosto che un singolo software. Sono costituiti da app o estensioni del browser per ciascuno dei tuoi dispositivi (Windows, Mac, telefoni Android, iPhone e tablet), che dispongono di strumenti per aiutarti a creare password sicure, archiviarle in modo sicuro e valutare la sicurezza delle tue password esistenti. Tutte queste informazioni vengono quindi inviate a un server centrale in cui le password vengono crittografate, archiviate e condivise tra i dispositivi.
Correzione delle password compromesse: mentre i gestori di password possono aiutarti a creare password più sicure e a proteggerle da occhi indiscreti, non possono proteggere la tua password se il sito stesso è stato violato. Ciò non significa che non aiutino in questo scenario. Tutti i gestori di password basati su cloud di cui discutiamo offrono strumenti per avvisarti di password potenzialmente compromesse. I gestori di password semplificano inoltre la modifica rapida di una password compromessa e la ricerca tra le tue password per assicurarti di non aver riutilizzato alcun codice compromesso.
Dovresti disabilitare la compilazione automatica dei moduli: alcuni gestori di password compileranno automaticamente e invieranno anche moduli web per te. Questo è super conveniente, ma per maggiore sicurezza, ti suggeriamo di disabilitare questa funzione. La compilazione automatica dei moduli nel browser ha reso i gestori di password vulnerabile agli attacchi nel passato. Per questo motivo, il nostro gestore di password preferito, 1Password, richiede di attivare questa funzione. Ti suggeriamo di non farlo.
Non farti prendere dal panico per gli hack: Il software ha bug, anche il tuo gestore di password. La domanda non è cosa fare Se diventa noto che il tuo gestore di password ha un difetto, ma cosa fai Quando diventa noto che il tuo gestore di password ha un difetto. La risposta è, in primo luogo, niente panico. Normalmente i bug lo sono trovato, segnalati e corretti prima che vengano sfruttati in natura. Anche se qualcuno riesce ad accedere ai server del tuo gestore di password, dovresti comunque stare bene. Tutti i servizi che elenchiamo archiviano solo dati crittografati e nessuno di essi memorizza la tua chiave di crittografia, il che significa che tutto ciò che un utente malintenzionato ottiene compromettendo i propri server sono dati crittografati.
