Password manager: cosa sono e perché (dobbiamo) usarli  

Una password o mille password? Questa è la domanda classica che ogni persona si pone quando fruisce una risorsa da un computer o da un qualsiasi dispositivo elettronico. Il buonsenso e l’accademia direbbero di avere una password diversa per ciascun servizio ma nella pratica sembra una fantasia piuttosto che una realtà fattibile.
Dunque, come possiamo salvare la morale ed evitare una crisi? Dobbiamo migliorare le nostre tecniche di memoria o comprare un libro con un lucchetto impenetrabile?
Niente di tutto ciò, ci basterà un programma e un po’ di accortezza.

Situazione iniziale: come ricordare le tante password?

Ogni area riservata e ogni servizio presente sia su internet che su un dispositivo richiede (o dovrebbe farlo) una password legata a un identificativo. La scienza della sicurezza informatica dice che per aumentare le probabilità che una credenziale sia efficace è bene che non sia condivisa con altri account, così come faremmo noi stessi nella vita reale con i vari accessi, quali automobile, casa, cancelli, etc.

Il problema risulta evidente: nella vita lavorativa di chi compie lavori d’ufficio è necessario avere l’accesso a molteplici servizi, di conseguenza vi saranno molteplici password da generare, ricordare e cambiare.
Scrivere le credenziali su un post-it o su un blocco note auspicando di trascrivere il tutto in un luogo affidabile, nella maggior parte delle volte si traduce in una lunga serie di documenti senza riferimento che ci fanno perdere tempo e senno.

Esiste una soluzione più efficace? Come possiamo risolvere questo problema?

Il password manager

In nostro aiuto arrivano i password manager, software che creano un file (o più d’uno a seconda dell’esigenza) dove raccoglie tutte le informazioni che gli vengono date e le salva in modo che solo il possessore di una password, l’unica password, possa leggerne il contenuto.
Con questa struttura una sola chiave protegge tutto l’archivio delegando al file il compito di ricordare tutto quello che non vogliamo tenere a mente.

Ora rispondiamo ad alcune domande classiche in tema: 

1. “Non è possibile aprire il file contenente le password senza avere la chiave?”
   No, l’archivio viene per l’appunto cifrato, mescolato e reso illeggibile da chiunque tranne che dal possessore della password principale.
2. “La password principale dev’essere un geroglifico lunghissimo e illeggibile?”
   No, come visto nel precedente articolo “Le mie password sono deboli?” non serve avere una password impossibile da leggere per avere un livello di sicurezza adeguato. Ovviamente è necessario prestare attenzione alla sua creazione, rispettando le norme base di una password come la lunghezza e la presenza di maiuscole, minuscole, simboli e numeri.
3. “Oltre che a salvare le password in un file cifrato quali funzionalità mi offre?”
   L’elenco delle funzionalità disponibili è vario e relativo al singolo prodotto (qui non faremo un esempio specifico ma resteremo sul generico) ma possiamo comunque citare quelli che sono i servizi minimi che tutti i software offrono ai loro fruitori, ovvero:

• Una valutazione della robustezza della password
• La possibilità di fare copia-incolla in maniera temporanea in modo da non copiare poi per sbaglio il valore in altre zone
• La segnalazione della scadenza del periodo “accettabile” per la sostituzione di una singola password
• Il poter definire l’utente di un determinato account, spesso infatti ci dimentichiamo pure quello e facciamo carrellate di e-mail e nomi utente sperando di aver usato “il solito”
• La possibilità di raggruppare per categorie le varie utenze in modo da avere una visione d’insieme della situazione e trovare dunque in fretta ciò che serve

Salvare le password nel browser è sicuro?

Anni d’uso spesso ci fanno impigrire e dunque ci rilassiamo e usufruiamo di servizi che ci vengono offerti senza pensare troppo alle conseguenze delle nostre azioni.

Per quanto riguarda il browser possiamo notare un aumento sensibile di responsabilità delegate a esso, dalla semplice memorizzazione di siti preferiti al salvataggio di password. Non vogliamo fare una campagna di terrorismo nei confronti di questi strumenti, ma anzi, far comprendere tutte le asperità presenti in questo cammino.

Arrivando subito al punto cruciale, il browser è un luogo sicuro dove salvare le proprie password? No, non perché non vi siano livelli di sicurezza adeguati, ma per il semplice fatto che applicare il principio della “singola responsabilità” può salvare la vita in molti contesti e questo è uno di questi.

Oggigiorno i browser sono diventati veri e propri sistemi operativi, dove numerosi programmi trovano spazio e nuove funzionalità vengono create e offerte al mondo. In un ambiente affollato come questo possiamo facilmente comprendere che basta una piccola svista e/o una piccola falla di sicurezza per far crollare tutto il castello e pregiudicare dunque il livello di protezione anche dell’angolo relativo alle password.

Detto ciò, possiamo comprendere come i browser non siano il posto migliore dove salvare le nostre password e in generale i nostri dati personali.

Fare login tramite Google/Facebook che impatto ha?

Un’altra pratica diffusa è l’effettuare il login tramite Google/Facebook o qualsiasi altra organizzazione con la fama di essere affidabile. Così come per il browser dobbiamo porci la domanda essenziale: nel caso in cui l’account di riferimento venisse compromesso, come impatterebbe la protezione di tutti gli altri account a esso collegati?

Nella situazione in cui l’account di riferimento dovesse essere violato, anche tutti gli altri ne subirebbero le conseguenze, aprendo scenari disastrosi sia sulle nostre attività lavorative sia nella sfera personale: entrambe sarebbero compromesse.

A concludere questo articolo vogliamo sottolineare una classica situazione relativa ai password manager, cioè come possiamo condividere i file archivio contenenti le credenziali senza vanificarne la robustezza.

Come condividere i file dei password manager

Ora che abbiamo il nostro metodo per salvare le credenziali e mettere al sicuro anche la nostra etica professionale, come possiamo condividere con efficacia questi file senza vanificare tutto il lavoro?

Sicuramente il primo grande mantra è quello di non usare lo stesso metodo di comunicazione per l’archivio e la sua password. Può sembrare banale ma spesso la “distrazione” può essere dietro l’angolo e far dimenticare questa piccola norma.

L’approccio migliore è probabilmente quello che prevede l’invio tramite sistemi elettronici del file e a voce/mezzi di comunicazione effimeri della password, in questo modo non rimarrebbe alcuna traccia e dunque lascerebbe esposto solamente l’archivio.

Inutile dire che questi sono solo consigli dettati da buonsenso e da tecniche rodate dall’esperienza, non ci sono termini assoluti od obblighi di vario genere ma un invito a non sottovalutare la pericolosità di situazioni quotidiane esposte a un mondo spesso in attesa di nostre disattenzioni dettate da brutte abitudini e spesso dalla comoda pigrizia.