Il miglior password manager è quello che si adatta alle vostre esigenze. Ogni azienda avrà i suoi criteri specifici: alcune cercheranno un password manager gratuito, altre il miglior gestore per password aziendale.
Ma cos'è un password manager? I password manager sono un ottimo modo per dare priorità alla sicurezza e alla privacy su Internet. Permettono di creare password uniche e complesse di lunghezza adeguata per ogni account utente. Uno studio condotto da NordPass rivela che un utente medio di Internet possiede più di 100 account online, il che rende impossibile evitare il riutilizzo delle password senza un gestore di password.
Con tanti eccezionali password manager a pagamento disponibili, può essere difficile determinare quale sia il più adatto alle proprie esigenze. In questo articolo analizzeremo i cinque fattori critici da tenere presenti nella scelta di un password manager.
1. Memorizzazione su cloud o dispositivo?
Il "caveau" delle password è il luogo in cui vengono memorizzate tutte le password. Esistono due modi per memorizzare il caveau: sul dispositivo o su un server cloud.
Si potrebbe pensare di preferire l'archiviazione sul dispositivo rispetto a quella nel cloud, e questo approccio presenta indubbi vantaggi. Ad esempio, quando le password vengono memorizzate sul dispositivo, non ci si deve preoccupare di eventuali violazioni dei dati che interessano i servizi di archiviazione cloud del provider o se le informazioni vengono trasmesse e memorizzate correttamente.
RoboForm è uno dei pochi gestori di password che consente di memorizzare le password solo sul dispositivo, senza alcun intervento sul cloud. Sticky Password, invece, consente di sincronizzare i dispositivi tramite Wi-Fi locale.
D'altra parte, se il dispositivo viene perso o rubato, si perdono anche tutte le password, senza possibilità di recuperarle. Inoltre, può essere più difficile sincronizzare le password tra i vari dispositivi o spostare tutte le informazioni su un nuovo dispositivo.
Con il cloud storage è vero il contrario: le password possono essere recuperate rapidamente se si perde l'accesso al dispositivo, ma ci sono ulteriori problemi di sicurezza. La maggior parte dei gestori di password vanta una crittografia ad alto livello nei propri server cloud e i migliori crittografano i dati sul dispositivo prima ancora che vengano trasmessi ai loro server. Dashlane è uno di questi gestori di password.
2. Crittografia a conoscenza zero
La conoscenza zero si riferisce a politiche e architetture che eliminano la possibilità per un gestore di password di accedere alla vostra password. Ricordate che il fatto che i vostri dati siano criptati sul server di un provider non significa che non possano accedervi, ma solo che non lo faranno.
Per questo motivo, alcuni fornitori di password utilizzano una crittografia a conoscenza zero che elimina questa possibilità. Keeper è un esempio di gestore di password robusto che rispetta questo principio. "La versione in chiaro dei dati non è mai disponibile né ai dipendenti di Keeper Security né a terzi", spiega il sito web. "Nell'improbabile caso in cui Keeper venisse violato, gli aggressori potrebbero accedere solo al testo cifrato senza valore".
Tuttavia, la tecnologia non è priva di limiti. In primo luogo, la costruzione di un'architettura di questo tipo è difficile, quindi le aziende non sempre la realizzano al 100%. Più di un fornitore ha ammesso di aver trascurato uno scenario improbabile ma possibile in cui la sua politica di conoscenza zero potrebbe essere compromessa.
In secondo luogo, rende difficili o impossibili alcune delle funzioni più comode dei gestori di password, come l'ereditarietà e l'aggiornamento automatico delle password. Keeper, per esempio, si è rifiutato di implementare l'ereditarietà finché non fosse stato possibile farlo all'interno di una struttura a conoscenza zero, e nessuno ha ancora gestito l'aggiornamento automatico delle password in questo contesto.
3. Opzioni di recupero
Lo svantaggio principale dell'utilizzo di un password manager è che, se si dimentica la password principale, i dati possono essere irrecuperabili. I diversi gestori di password hanno affrontato questo problema in modi diversi.
LastPass, ad esempio, consente di generare una password unica per accedere al proprio vault e reimpostare la password, anche se è necessario accedere all'indirizzo e-mail utilizzato per creare l'account. Tuttavia, questa comodità si traduce in una minore sicurezza, poiché chiunque abbia accesso al vostro indirizzo e-mail può accedere a tutti i vostri account utente.
In alternativa, 1Password consente il recupero dell'account da parte di un amministratore del team (per le aziende) o di un organizzatore familiare. Queste persone devono solo avviare il processo di recupero dalla dashboard di amministrazione e un'e-mail verrà inviata all'utente per reimpostare la password. Dashlane ha un processo di recupero simile.
Per gli utenti singoli, tuttavia, è più complicato. Se si dispone di un accesso biometrico su un dispositivo, si può essere coperti, ma spesso perdere una master password significa ricominciare da capo. È necessario verificare quali opzioni di recupero offre ciascun gestore e quale offre il giusto equilibrio tra convenienza e sicurezza per la propria situazione.
4. Compatibilità e plugin
La compatibilità dei dispositivi è un altro fattore importante nella scelta di un password manager. Non tutti i gestori sono compatibili con tutti i dispositivi.
Questo è particolarmente importante se state acquistando un gestore di dispositivi per un'azienda, soprattutto se più utenti useranno dispositivi diversi e se avete lavoratori da remoto con dispositivi propri. In questo caso, potrebbe essere necessario un gestore compatibile con Linux, come NordPass.
Inoltre, assicuratevi che il gestore di password che sceglierete includa un plugin per il vostro browser preferito. Questo non è un grosso problema al giorno d'oggi, poiché la maggior parte dei gestori di password dispone di un solido plugin per i principali browser. Se utilizzate un browser meno diffuso, come Opera, le vostre scelte saranno più limitate. Se state acquistando per un'azienda con più utenti, considerate che i membri del team potrebbero utilizzare browser diversi.
5. Uso personale o aziendale
Anche in questo caso, la decisione può variare in base all'ambiente in cui si intende utilizzare il password manager: personale o aziendale.
Per un ambiente aziendale con più utenti, è essenziale trovare un software con buone funzioni di gestione degli utenti, come gruppi di utenti e condivisione sicura delle password. Dashlane e Keeper, ad esempio, dispongono di solide funzionalità multiutente, tra cui una dashboard amministrativa centralizzata per la creazione di gruppi di utenti, l'assegnazione di autorizzazioni e password per gruppo o ruolo e il supporto di dispositivi illimitati.
I responsabili IT vorranno garantire pratiche sicure tra i dipendenti, cosa che il giusto gestore di password può aiutare a fare. Ulteriori funzioni di sicurezza, come il generatore di password forti, l'auditor di password e la scansione del dark web, possono contribuire a mantenere le aziende al sicuro.
Conclusioni
La sicurezza degli account utente e delle informazioni online può essere notevolmente migliorata investendo in un buon password manager. Non esistono due servizi uguali, quindi assicuratevi di fare le vostre ricerche e di considerare queste cinque domande importanti prima di prendere una decisione. Tutti i gestori di password citati in questo articolo hanno caratteristiche diverse e sono considerati tra i migliori sul mercato.
