Cos'è un archivio delle password e che scopo ha?

Ora che il lavoro da casa è diventato una normalità, è importante pensare al modo in cui proteggere i dati personali e professionali. Nell'ambito della crescente diffusione della cybercriminalità in tutto il mondo, una delle principali risorse sfruttate spesso dagli hacker è rappresentata dalle password. Anche se è cosa risaputa che non si dovrebbe utilizzare un'unica password per applicazioni e account differenti, molti utenti continuano a impostarne una sola perché è più conveniente e facile da ricordare.

È tuttavia altrettanto facile configurare un archivio o uno strumento di gestione delle password nel sistema personale. In questo modo, è possibile evitare il rischio di una violazione dei dati e, in fin dei conti, si ha una sola password da ricordare, ossia la "password principale". Prosegui la lettura per una guida completa agli archivi e agli strumenti di gestione delle password.

Cos'è un archivio delle password?

Un archivio delle password (talvolta noto come strumento di gestione delle password, password manager o raccoglitore delle password) è uno spazio criptato che viene utilizzato per l'archiviazione dei dati, ad esempio password e credenziali di accesso (le informazioni utilizzate per accedere ad applicazioni e account online), documenti, immagini e altri tipi di informazioni sensibili, in un luogo digitale sicuro. Gli archivi delle password utilizzano spesso una sola password principale che, se decriptata correttamente, consente all'utente di accedere alle altre password presenti nell'archivio. Questi archivi sono progettati per proteggere dai cybercriminali i dati personali e professionali degli utenti. Lo scopo di un archivio delle password è quello di impedire agli utenti di replicare le password su diverse piattaforme digitali.

I termini "strumento di gestione delle password" e "archivio delle password" vengono spesso usati in modo intercambiabile, poiché nella maggior parte degli archivi è già integrato anche il software di gestione. Tecnicamente, è il software di gestione delle password a classificare le password e i dati sensibili, consentendo al contempo l'accesso con "un solo clic" per una maggiore efficienza. L'archivio delle password è invece la parte criptata dello strumento di gestione delle password, in cui vengono archiviati i dati digitali e le password.

Gli archivi delle password includono spesso una serie di funzionalità per l'utente che possono essere suddivise in tre sezioni: l'archivio, il centro di protezione delle password e gli strumenti di gestione. Di per sé, l'archivio è normalmente in grado di archiviare una serie di documenti e immagini (non solo password) a cui si può accedere facilmente tramite computer, dispositivo mobile o tablet. Il centro di protezione delle password utilizza funzionalità di criptaggio avanzate per proteggere i dati. Contiene inoltre un "generatore delle password", per creare nuove password o sostituire quelle vecchie o deboli, una funzionalità di "controllo delle password", che avverte quando vengono usate password deboli o duplicate,e uno strumento di "rilevamento della perdita di dati”, che invia avvisi nel caso in cui le password siano trapelate online. È anche disponibile una funzione di "compilazione automatica" che memorizza le password, i dati degli account e gli indirizzi quando si utilizzano pagine Web e applicazioni differenti.

Gli archivi e gli strumenti di gestione delle password hanno un ruolo essenziale nella sicurezza online, sia a livello personale che professionale. Sono un elemento fondamentale della vita digitale che garantisce la sicurezza delle informazioni, indipendentemente dall'hardware in uso o dal luogo in cui viene utilizzato.

Gli archivi delle password sono sicuri?

Gli specialisti di cybersicurezza di tutto il mondo concordano all'unanimità sul fatto che gli archivi delle password siano il modo più semplice e facile per proteggere le password e i dati sensibili e che siano da considerare sicuri. Purché la password principale sia "complessa", le informazioni sensibili dell'utente hanno una probabilità molto bassa di essere violate. Una password complessa deve essere sufficientemente lunga (10-12 caratteri) e deve contenere una combinazione di caratteri speciali, numeri e lettere maiuscole e minuscole.

È tuttavia importante capire che anche gli archivi e gli strumenti di gestione delle password possono subire un attacco di hacking. Ma in ogni caso le password saranno al sicuro perché vengono criptate sul lato dell'utente e quindi trasferite nel cloud tramite il protocollo HTTPS sicuro. Decifrare un criptaggio standard del settore, come l'AES (Advanced Encryption Standard) a 256 bit, è quasi impossibile. Pertanto, il fatto che un hacker riesca a penetrare nell'archivio stesso non significa che possa fare qualcosa all'interno dell'archivio. Inoltre, la maggior parte degli archivi delle password online non memorizzano né hanno autorizzazioni di accesso alla password principale, quindi è ancora meno probabile che qualcuno riesca a "entrare".

Come funzionano gli archivi delle password?

Gli archivi e gli strumenti di gestione delle password funzionano criptando le credenziali dell'utente. L'archivio viene quindi bloccato con una password principale. In caso di violazione, un hacker sarebbe solo in grado di sottrarre righe criptate di codice a causa di questa password principale. Oggigiorno, per il criptaggio dei dati, la maggior degli strumenti di gestione delle password utilizza moderni algoritmi di criptaggio complessi a 256 bit. Adottato a livello globale nel 2005, l'algoritmo AES a 256 bit è una chiave di criptaggio ampiamente utilizzata dalla moderna tecnologia digitale.

Il termine "Advanced Encryption Standard" si riferisce alla specifica per il criptaggio e "256 bit" significa che sono disponibili 256 combinazioni per la stringa casuale. Quanto maggiore è il numero di combinazioni, tanto più difficile sarà individuare quella corretta con un attacco di forza bruta. Questo tipo di chiave di criptaggio è noto come "algoritmo di criptaggio a chiave privata", una tecnologia considerata più sicura rispetto a un "algoritmo di criptaggio a chiave pubblica". La tecnologia di criptaggio a chiave pubblica utilizza una chiave pubblica per criptare i dati e una chiave privata per decriptarla. La tecnologia di criptaggio a chiave privata utilizza invece la stessa chiave privata per criptare e decriptare i dati. In poche parole, la chiave privata rimane all'interno del dispositivo ed è quindi molto più sicura.

Questo è uno degli aspetti considerati per comprendere il funzionamento di un archivio delle password. Tuttavia, la definizione del funzionamento interno di un archivio delle password dipende anche dal tipo di archivio che si utilizza o a cui si accede. Tradizionalmente esistono tre tipi di archivi: locale, online e basato su token/USB.

Archivi delle password locali

Come suggerito dal nome, gli archivi e gli strumenti di gestione delle password locali funzionano criptando le credenziali di accesso o altri dati e archiviandoli nel computer locale. Talvolta definiti come archivi delle password "offline", i dati criptati possono essere archiviati su computer, laptop, tablet o smartphone. Il file criptato, in cui sono contenute le password, viene in genere archiviato all'esterno dello strumento di gestione delle password stesso. L'archiviazione delle password offline è utile perché gli hacker hanno accesso all'archivio solo quando si è online. Quindi, sempre che il dispositivo non venga rubato, le password sono al sicuro. Questo è però anche il principale svantaggio di questo tipo di archivio. Con il furto o lo smarrimento del dispositivo scompare anche l'archivio. Gli archivi delle password locali rendono inoltre difficile la sincronizzazione dei dispositivi, perché tutti i dispositivi devono essere online nello stesso momento affinché la sincronizzazione o l'aggiornamento funzioni.

Archivi delle password online

Gli archivi delle password online o basati sul Web sono il tipo di strumento di gestione delle password più ampiamente utilizzato dalle aziende o dai singoli utenti. Con questo tipo di soluzione, i dati criptati vengono archiviati in un cloud ospitato dal server del provider. È una soluzione molto più pratica perché è possibile accedere alle password da qualsiasi luogo e in qualsiasi momento. L'archivio viene persino protetto dal provider tramite un processo basato sul principio "Zero-Knowledge". In altre parole, l'archivio delle password cripta i dati sul dispositivo prima di inviarli al server del provider. Di conseguenza, nemmeno il provider può accedere ai dati delle password. In molti casi, per accedere all'archivio, è possibile utilizzare il client dello strumento di gestione delle password del provider, una semplice estensione del browser o un'applicazione Web ospitata sul sito Web del provider. Ciò significa che le password sono accessibili da qualunque luogo in caso di emergenza. Lo svantaggio principale è dato dal fatto che è sempre necessaria una connessione Internet per eseguire l'autenticazione e, di conseguenza, per accedere alle password e ad altri documenti.

Archivi delle password basati su token/USB

Talvolta noti come "archivi o strumenti di gestione senza stato", gli archivi delle password basati su token/USB prevedono l'utilizzo di un componente hardware, come un'unità USB, che contiene la chiave per sbloccare uno specifico account online. In questo scenario non esiste realmente un archivio delle password perché viene creato un nuovo token (sul dispositivo esterno) ogni volta che si accede a un account specifico. Ciò significa che tutte le credenziali sensibili vengono archiviate in un dispositivo separato e che quindi non è necessaria la sincronizzazione dagli altri dispositivi. Se poi si aggiunge una password principale a questo tipo di archivio, si può contare su un'autenticazione a due fattori. Il grande svantaggio è che gran parte del software utilizzato per creare questi archivi senza stato è open source e risulta complicato agli utenti meno esperti per quanto riguarda la configurazione o la risoluzione dei problemi.

È davvero necessario avere un archivio delle password?

Dopo gli eventi che hanno sconvolto la vita durante la pandemia, molte aziende e i loro dipendenti in tutto il mondo hanno iniziato a lavorare da remoto in modo permanente. Purtroppo, a causa dei punti deboli delle reti personali e delle applicazioni SaaS (Software as a Service) basate su cloud utilizzate dalle grandi aziende, il numero di cyberattacchi di successo è aumentato in maniera significativa. Nel 2021 la media dei cyberattacchi è cresciuta di circa il 15%. Per questo motivo, è consigliabile adottare un archivio delle password sia a casa che al lavoro, soprattutto se si utilizza il computer personale anche per lavorare.

Con un archivio delle password, è possibile non soltanto tenere traccia di tutte le password, ma anche generarne di nuove, modificare (o importare) versioni precedenti nell'archivio corrente e ricevere notifiche quando una nuova password non è abbastanza complessa per una nuova applicazione. Le ricerche suggeriscono che le password classificate come "deboli" possono essere violate dagli hacker quasi istantaneamente, con pochissime informazioni a disposizione o sforzo minimo. Ad esempio, facendo uso di attacchi di forza bruta, che prevedono l'inserimento automatizzato di coppie di nomi utente e password rubate nei portali di accesso dei siti Web. Non appena la coppia di nome utente e password viene abbinata correttamente, l'hacker può ottenere in modo fraudolento l'accesso agli account e alle informazioni personali. Poiché l'attività online è una delle maggiori vulnerabilità del sistema di un utente, gli strumenti di gestione delle password eliminano tutto l'impegno necessario e il rischio a cui si è esposti quando si opera online.

Lo strumento di gestione delle password Kaspersky Password Manager vanta un archivio protetto con criptaggio AES a 256 bit, con 256 combinazioni disponibili: a un hacker non basterebbe tutto il tempo del mondo per sbloccarlo. Include anche una password principale personalizzata, che può essere creata dall'utente, dal nostro generatore di password o tramite impronta digitale o Face ID su dispositivi mobili. La versione gratuita di Kaspersky Password Manager offre tutte le funzionalità della versione Premium, ma consente di memorizzare solo un massimo di 15 password e documenti riservati.

Articoli e collegamenti correlati:

• Suggerimenti per la sicurezza del computer su Mac e PC
• Che cos'è un indirizzo IP e a cosa serve?
• Tipi ed esempi di malware

Prodotti correlati:

• Kaspersky Security per le piccole imprese
• Kaspersky Security per le medie imprese
• Kaspersky Enterprise Security