Un password manager, un gestore di password, è un software che permette all’utente di memorizzare le proprie credenziali di autenticazione a siti e servizi in un archivio cifrato, in una “cassaforte” digitale.
Gli esperti di sicurezza ci ripetono, a giusta ragione, che per la sicurezza dei nostri account non dobbiamo usare una sola password per tutti i siti e servizi, e che ciascuna password deve essere sufficientemente robusta. Ma, con il proliferare di servizi e attività online, risulta difficile ricordare tutte queste informazioni di login: una recente ricerca di NordPass ci dice anche che una persona ha mediamente fra le 70 e 80 password.
Come possiamo mai riuscire a ricordare a memoria tutte queste password che, oltretutto, devono rispondere a requisiti di robustezza quali la lunghezza, l’uso di caratteri speciali e così via?
Cosa fanno i password manager
È qui che entrano in gioco i password manager. Un password manager conserva tutte le password in un archivio cifrato, protetto da una singola master password, e ce le fornisce quando ci servono. Potremo dunque avere password lunghe e robuste, diverse per ogni sito e servizio, ma dovremo ricordare solo quella che serve per accedere alla “cassaforte” dove queste sono conservate. Un bel passo in avanti rispetto ai post-it attaccati al monitor.
Ma attenzione: la master password deve essere a sua volta molto robusta e segreta e non ce la dobbiamo dimenticare: solitamente non è recuperabile e senza di essa non avremo più accesso all’archivio.
Dobbiamo tenere bene a mente una cosa importante: un password manager è uno strumento utile che ci aiuta nella gestione quotidiana ma che deve aggiungersi a una solida politica di sicurezza a 360 gradi che, con la progressiva digitalizzazione della stile di vita, chiunque deve mettere in atto, prendendo le dovute precauzioni, quali l’autenticazione a due fattori (sia per i servizi che per lo stesso archivio delle password) e così via.
Oltre alla caratteristica base di mantenere registrate tutte le credenziali dell’utente in un’unica posizione, un password manager solitamente offre anche funzionalità aggiuntive che semplificano sia la gestione delle password (come ad esempio generazione automatica, creazione, modifica ed eliminazione, organizzazione e ricerca e così via) che il loro utilizzo (ad esempio riempimento automatico dei moduli, integrazione con altre app e siti, sincronizzazione tra vari dispositivi e altro ancora).
Come scegliere il password manager che fa per noi
Come ormai per molte tipologie di app e servizi, la maggior parte dei password manager funzionano con piani di licenze ad abbonamento mensile o annuale. Alcuni prevedono piani base gratuiti, solitamente abbastanza limitati, e molti offrono opzioni multi-utente sia in ambito familiare che di team di lavoro.
Una versione free può essere utile ad esempio per provare un’app con una solida reputazione nel settore; ma, in un campo come quello della sicurezza dei propri account, a nostro avviso non è giustificato ricorrere a una soluzione gratuita solo con l’intento di risparmiare.
Molti password manager consentono, con il proprio account, di sincronizzare le credenziali su tutti i dispositivi utilizzati (via cloud o con altri sistemi), un’opzione che per molti utenti è ormai irrinunciabile; inoltre, molti offrono opzioni di integrazione con siti, altre app e servizi, per abilitare il login automatico.
La maggior parte di essi è multi-piattaforma: converrà comunque verificare che siano supportati i sistemi operativi e i dispositivi che utilizziamo abitualmente, e che un eventuale limite al numero di device non sia penalizzante. La disponibilità di app native per dispositivi mobili (magari con autenticazione biometrica) e di un’estensione per i browser è un’opzione molto utile.
In sostanza, un password manager è tanto più è utile quanto più agisce non solo da mero serbatoio, ma velocizzando tutte le nostre procedure che riguardano le credenziali di autenticazione.
In un piano a pagamento, solitamente un servizio di questo tipo dovrebbe offrire la possibilità di archiviare un numero illimitato di password. È preferibile disporre di una funzione di generazione automatica, personalizzabile nei parametri, all’interno dell’app.
Considerando che il numero di password non fa che crescere, non sono da sottovalutare le opzioni di gestione: innanzitutto di modifica, ma anche di organizzazione, tramite categorie, tag, preferiti, funzioni di ricerca e così via.
La cassaforte delle password deve essere innanzitutto sicura, ma non deve diventare un silos che tiene le password “prigioniere”: sono dunque importanti le funzioni di importazione ed esportazione, così come sono essenziali quelle di backup sicuri (non vogliamo rischiare di perdere tutte le nostre password).
Altre funzionalità sono accessorie ma non meno preziose. Molti password manager offrono la possibilità di memorizzare negli archivi cifrati non solo le password, ma anche altre informazioni della vita quotidiana: iscrizioni a servizi, licenze software, carte di credito e altro.
utile anche la possibilità di creare note sicure. In termini di sicurezza, alcune app si occupano anche di analizzare le password esistenti o di avvisare nel caso un sito o un servizio presenti una vulnerabilità conosciuta o sia stato compromesso, per invitarci a cambiare la password.
Ma, in ultima analisi, il fattore principale di un password manager è la sicurezza. Quindi: che sia dotato di sistemi di cifratura e di security e privacy policy affidabili e trasparenti, e che la società che lo sviluppa possegga una storia riconosciuta e una solida reputazione.
Dashlane
Nel novero dei password manager più popolari c’è senz’altro Dashlane. Consente di archiviare e accedere a password illimitate su illimitati dispositivi, con sincronizzazione automatica (nella versione Premium ad abbonamento, quella gratuita prevede solo 50 password in un unico dispositivo, oltre ad altre limitazioni) e di compilare automaticamente i moduli. Supporta Mac, Windows, iOS, Android e i principali browser.
È disponibile anche la versione aziendale Dashlane Business con crittografia AES a 256 bit, condivisione sicura delle password in team e spazi separati tra le credenziali personali e quelle di lavoro: la Admin Console offre poi agli amministratori una posizione centrale da cui gestire gli utenti e le autorizzazioni.
1Password
Tra i password manager più diffusi, 1Password garantisce un’ampia compatibilità tra i sistemi operativi: macOS, Windows, iOS, Android; è possibile usare il gestore di password anche nei principali browser e su Linux e Chrome OS, ed è finanche disponibile un tool per la linea di comando. Una volta impostato il proprio account 1Password, ogni modifica applicata in un dispositivo si sincronizza anche su tutti gli altri.
1Password è disponibile come servizio ad abbonamento personale o per famiglia, oppure per team di lavoro e aziende: entrambe le versioni si articolano in piani diversificati, con costi che variano a seconda del numero di utenti che impiegano la soluzione. È possibile archiviare password illimitate su device illimitati, protette da cifratura AES-256 bit, ed è disponibile anche uno spazio storage per documenti.
NordPass
Anche con NordPass possiamo riconoscere quello che è un pattern comune per questo tipo di app: è disponibile come app desktop (Windows, macOS e Linux), mobile (iOS e Android) ed estensione per i browser più diffusi, ed è utilizzabile mediante un piano di abbonamento; c’è anche una versione Free, che consente l’uso su un solo device alla volta (mentre la Premium supporta fino a sei dispositivi simultaneamente) e non offre la condivisione sicura.
Per la crittografia del “caveau” delle password NordPass utilizza l’algoritmo XChaCha20 e l’app offre funzionalità di backup e sincronizzazione, così come di riempimento automatico dei form e di generazione e condivisione sicura delle password. NordPass è una soluzione più “giovane” rispetto ad altre di questo tipo e i suoi sviluppatori sono gli stessi autori anche della soluzione VPN NordVPN.
RememBear
Anche l’offerta di RememBear si articola semplicemente in due opzioni: una Free, che consente di usare l’app su un unico dispositivo e non include sincronizzazione e backup, e una Premium, con abbonamento a pagamento, che invece consente di sincronizzare gli elementi archiviati tra più dispositivi e di fare backup sicuri. RememBear offre app per iOS, Android, Windows, e macOS ed estensioni del browser per Chrome, Firefox e Safari.
L’app supporta la cifratura AES 256-bit end-to-end, l’archiviazione in modo sicuro anche delle note, la sincronizzazione delle password tra i device, l’autofill per l’accesso ai siti web e delle carte di credito, il tutto con un design improntato alla semplicità d’uso.
RoboForm
RoboForm rientra tra i password manager che presentano un’offerta sia personale e familiare che business. L’edizione individuale prevede anche una versione Free che, in questo caso, offre l’archiviazione di un numero illimitato di login, ma senza sincronizzazione tra device, backup su cloud, accesso via web e altre funzionalità. Il Family Plan, come per altre soluzioni di questo tipo, consente di condividere la licenza con altri membri della famiglia: cinque in questo caso, un numero che ritroviamo anche nelle offerte di altri sviluppatori.
RoboForm for Business è invece la soluzione per aziende e organizzazioni, che offre una Management Console centralizzata per l’onboarding dei dipendenti, il deployment delle policy, la condivisione sicura tra team di lavoro e altre funzionalità.
Securden Password Vault For Enterprises
Rimaniamo in ambito aziendale con Password Vault For Enterprises di Securden, società specializzata in It security che sviluppa anche gli strumenti Windows Privilege Manager e Privileged Account Manager nonché un set di soluzioni per la gestione delle password, degli account e dei privilegi d’accesso alle infrastrutture informatiche e agli asset dell’organizzazione.
Nel caso di Password Vault For Enterprises, come evidenzia bene il nome del prodotto, si tratta di un password manager esclusivamente enterprise, progettato per i team It, che consente di archiviare, gestire e tenere traccia di tutte le password, in un’unica posizione, on-premise e self-hosted. Questa soluzione consente di definire le ownership per gli account e di condividere le password con i team di lavoro, di tracciare le attività in log e report di utilizzo, di stabilire controlli d’accesso, e altro ancora. Può integrarsi con Active Directory e supporta il deployment on-premise, su VM e su cloud privato. Funziona su piattaforma Windows.
Password Boss
Password Boss propone anch’esso una edizione Personal e una Business. La prima prevede una versione Free che offre uno storage di password senza limiti, ma solo locale e su un singolo device; la Premium, ad abbonamento a pagamento, supporta anche dispositivi illimitati, con app per Pc, Mac, iOS e Android; infine, la licenza familiare è per cinque utenti.
L’edizione Business si declina nei piani di abbonamento Standard e Advanced: la seconda, come suggerisce il titolo, offre funzionalità avanzate quali il connettore Active Directory, audit log e altro. Password Boss Business è una soluzione di gestione delle password per team di lavoro: facilita il login automatico ai siti, offre la sincronizzazione mobile, consente di condividere password e note. Un set di security policy consente poi di regolare in base alle esigenze le regole di sicurezza per il team.