Lo scorso anno sono state pubblicate numerose notizie su fughe di dati personali da vari servizi online e persino da popolari password manager. Se utilizzate un password vault (ovvero una cassaforte digitale che custodisce le vostre password), quando leggerete di una fuga di dati di questo tipo probabilmente inizierete a temere il peggio: gli hacker hanno avuto accesso a tutti i vostri account grazie alle password memorizzate nel vostro password manager.<\/p>\n
Quanto sono giustificati questi timori? Partendo dall\u2019esempio di Kaspersky Password Manager<\/a>, vi spiegheremo come funzionano i molteplici livelli di difesa dei password manager e cosa potete fare per aumentare il livello di protezione.<\/p>\n Prima di tutto, esaminiamo il motivo in base al quale usare un password manager \u00e8 una buona idea. Il numero di servizi Internet che utilizziamo \u00e8 in costante aumento e ci\u00f2 significa che inseriamo molti nomi utente e password. \u00c8 difficile ricordarli, ma appuntarseli a caso \u00e8 rischioso. La soluzione pi\u00f9 ovvia \u00e8 salvare tutte le credenziali di accesso in un luogo sicuro e proteggerle con un\u2019unica chiave. In questo modo sar\u00e0 sufficiente ricordare una sola password principale.<\/p>\n Quando si attiva per la prima volta Kaspersky Password Manager<\/a>, viene richiesto di creare una password principale che verr\u00e0 utilizzata per aprire la cassaforte digitale o password vault. Successivamente, \u00e8 possibile inserire in questa cassaforte i dati relativi a ciascun servizio Internet utilizzato: URL, nome utente e password. \u00c8 possibile farlo manualmente, oppure impostare un\u2019estensione del browser per la gestione delle password e utilizzare un comando speciale per trasferire tutte le password salvate sul browser al password vault. Oltre alle password, \u00e8 possibile aggiungere al vault altri documenti personali, ad esempio, scansioni di documenti d\u2019identit\u00e0, dati assicurativi, dati di carte bancarie e foto importanti.<\/p>\n Quando si ha bisogno di visitare un sito web, si apre la cassaforte e si pu\u00f2 scegliere se copiare manualmente i dati di cui si ha bisogno nel modulo di login, oppure consentire al gestore di password di riempire automaticamente le credenziali di accesso salvate per il sito web. Dopodich\u00e9, \u00e8 sufficiente chiudere il programma.<\/p>\n Esaminiamo ora i meccanismi di protezione. Il file del password vault \u00e8 criptato con un algoritmo a chiave simmetrica basato sull\u2019Advanced Encryption Standard (AES-256), comunemente utilizzato in tutto il mondo per proteggere i dati sensibili. Per accedere al vault, si utilizza una chiave basata sulla password principale. Se la password \u00e8 forte, gli hacker avrebbero bisogno di molto tempo per decifrare il codice senza la chiave.<\/p>\n Inoltre, in nostro Kaspersky Password Manager<\/a>, blocca automaticamente la cassaforte non appena l\u2019utente rimane inattivo per un certo periodo di tempo. Se un criminale entra in possesso del vostro dispositivo e riesce a bypassare la protezione del sistema operativo e a raggiungere il file della cassaforte, non sar\u00e0 in grado di leggere il contenuto se non possiede la password principale.<\/p>\n Tuttavia, spetta all\u2019utente configurare l\u2019autoblocco. L\u2019impostazione predefinita dell\u2019app potrebbe bloccare la cassaforte solo dopo un periodo di inattivit\u00e0 piuttosto lungo. Ma se avete l\u2019abitudine di utilizzare un computer portatile o uno smartphone in un luogo che potrebbe non essere completamente sicuro, potete configurare l\u2019autoblocco in modo che entri in funzione dopo un minuto.<\/p>\n C\u2019\u00e8 per\u00f2 un\u2019altra potenziale falla: se un hacker ha inserito un Trojan o ha usato un altro metodo per installare un protocollo di accesso remoto sul vostro computer, potrebbe cercare di estrarre le password dal password vault mentre siete connessi. Nel 2015 \u00e8 stato creato un tool di hacking di questo tipo per il gestore KeePassPassword. Decifrava e memorizzava come file separato un intero archivio di password in esecuzione su un computer con un\u2019istanza aperta di KeePass<\/a>.<\/p>\n Non preoccupatevi! Kaspersky Password Manager<\/a>, viene solitamente utilizzato insieme alle Kaspersky Premium<\/a>, il che rende molto meno probabile l\u2019esecuzione di un password manager su un computer infetto. Il file crittografato con le password pu\u00f2 essere salvato non solo sul dispositivo, ma anche sull\u2019infrastruttura cloud di Kaspersky: ci\u00f2 consente di utilizzare la cassaforte da diversi dispositivi, compresi computer di casa e telefoni cellulari. Una speciale opzione presente nelle impostazioni consente la sincronizzazione dei dati su tutti i dispositivi che abbiano Kaspersky Password Manager<\/a> installato. \u00c8 inoltre possibile utilizzare la versione web del password manager da qualsiasi dispositivo attraverso il sito web My Kaspersky<\/a>.<\/p>\n Quanto \u00e8 probabile una fuga di dati se si utilizza il cloud storage? Innanzitutto, \u00e8 importante sottolineare che operiamo secondo il principio della \u201cconoscenza zero\u201d. Ci\u00f2 significa che il vostro password vault \u00e8 crittografato sia per Kaspersky che per chiunque altro. Gli sviluppatori di Kaspersky non saranno in grado di leggere i file: solo chi conosce la password principale potr\u00e0 aprirli.<\/p>\n Molti (ma non tutti) dei servizi odierni che memorizzano password e altre informazioni confidenziali si attengono a un principio simile. Quindi, se leggete una notizia su una fuga di dati da un servizio di cloud storage, non fatevi prendere dal panico: non significa necessariamente che gli hacker siano riusciti a decriptare i dati rubati. Questo tipo di violazioni di dati sono comparabili a quando si ruba una cassaforte da una banca senza avere la combinazione per aprirla.<\/p>\n In questo caso, la combinazione \u00e8 la vostra password principale. Ecco un altro importante principio di sicurezza: Kaspersky Password Manager<\/a> non salva la password principale sui dispositivi o sul cloud. Anche se un hacker accede al vostro computer o al servizio di archiviazione cloud, non sar\u00e0 in grado di rubare la vostra password principale dal prodotto stesso. Solo voi conoscete questa password.<\/p>\n Tuttavia, anche la fuga di un file crittografato con le password pu\u00f2 creare problemi. Una volta che gli hacker hanno svaligiato una cassaforte, possono tentare di violarla.<\/p>\n Esistono due metodi di attacco principali. <\/strong>Il primo<\/strong> \u00e8 un attacco brute force. In generale, questo metodo richiede molto tempo. Se la password \u00e8 composta da una decina di caratteri casuali e comprende lettere minuscole e maiuscole, numeri e caratteri speciali, la forzatura di tutte le combinazioni richiede pi\u00f9 di un sestilione di operazioni, ovvero\u2026 un numero intero con 21 cifre!<\/p>\n Se invece avete deciso di semplificarvi la vita e avete usato una password debole, come una singola parola o una semplice combinazione di numeri come \u201c123456\u201d, lo scanner automatico la individuer\u00e0 in meno di un secondo, perch\u00e9 in questo caso il brute forcing non si basa su singoli simboli ma su un dizionario di combinazioni popolari. Nonostante ci\u00f2, ancora oggi molti utenti scelgono password da dizionario (combinazioni di simboli che da tempo sono presenti nei dizionari degli scanner degli hacker).<\/p>\n Gli utenti del password manager LastPass<\/a> sono stati avvertiti di questo potenziale problema nel dicembre 2022. Quando l\u2019account di uno sviluppatore di LastPass \u00e8 stato violato, gli hacker hanno avuto accesso al cloud-hosting utilizzato dall\u2019azienda. Tra gli altri dati, i criminali sono entrati in possesso dei backup delle password del vault degli utenti. L\u2019azienda ha comunicato agli utenti che se avessero seguito tutte le raccomandazioni per creare una password principale forte e unica, non avrebbero avuto nulla di cui preoccuparsi perch\u00e9 \u201cci sarebbero voluti milioni di anni\u201d per forzare una password di questo tipo. A chi utilizzava password pi\u00f9 deboli \u00e8 stato consigliato di cambiarle immediatamente.<\/p>\n Per fortuna, molti password manager, tra cui Kaspersky Password Manager<\/a>, controllano automaticamente la forza della password principale. Se \u00e8 debole o di forza media, il programma vi avvisa per fare in modo che possiate tenerne conto.<\/p>\n Il secondo metodo di hacking<\/strong> si basa sul fatto che spesso le persone utilizzano le stesse credenziali di accesso per diversi servizi Internet. Se uno dei servizi viene violato, gli hacker forzeranno automaticamente le combinazioni di nome utente e password negli altri servizi in un attacco noto come credential stuffing. Questo tipo di attacco va spesso a buon fine.<\/p>\nPrincipi generali<\/h2>\n
Vault digitale e autobloccante<\/h2>\n
\n<\/p>\nConoscenza zero<\/h2>\n
Una password principale forte<\/h2>\n
Password principale unica<\/h2>\n