Lo scorso anno sono state pubblicate numerose notizie su fughe di dati personali da vari servizi online e persino da popolari password manager. Se utilizzate un password vault (ovvero una cassaforte digitale che custodisce le vostre password), quando leggerete di una fuga di dati di questo tipo probabilmente inizierete a temere il peggio: gli hacker hanno avuto accesso a tutti i vostri account grazie alle password memorizzate nel vostro password manager.
Quanto sono giustificati questi timori? Partendo dall’esempio di Kaspersky Password Manager, vi spiegheremo come funzionano i molteplici livelli di difesa dei password manager e cosa potete fare per aumentare il livello di protezione.
Principi generali
Prima di tutto, esaminiamo il motivo in base al quale usare un password manager è una buona idea. Il numero di servizi Internet che utilizziamo è in costante aumento e ciò significa che inseriamo molti nomi utente e password. È difficile ricordarli, ma appuntarseli a caso è rischioso. La soluzione più ovvia è salvare tutte le credenziali di accesso in un luogo sicuro e proteggerle con un’unica chiave. In questo modo sarà sufficiente ricordare una sola password principale.
Quando si attiva per la prima volta Kaspersky Password Manager, viene richiesto di creare una password principale che verrà utilizzata per aprire la cassaforte digitale o password vault. Successivamente, è possibile inserire in questa cassaforte i dati relativi a ciascun servizio Internet utilizzato: URL, nome utente e password. È possibile farlo manualmente, oppure impostare un’estensione del browser per la gestione delle password e utilizzare un comando speciale per trasferire tutte le password salvate sul browser al password vault. Oltre alle password, è possibile aggiungere al vault altri documenti personali, ad esempio, scansioni di documenti d’identità, dati assicurativi, dati di carte bancarie e foto importanti.
Quando si ha bisogno di visitare un sito web, si apre la cassaforte e si può scegliere se copiare manualmente i dati di cui si ha bisogno nel modulo di login, oppure consentire al gestore di password di riempire automaticamente le credenziali di accesso salvate per il sito web. Dopodiché, è sufficiente chiudere il programma.
Vault digitale e autobloccante
Esaminiamo ora i meccanismi di protezione. Il file del password vault è criptato con un algoritmo a chiave simmetrica basato sull’Advanced Encryption Standard (AES-256), comunemente utilizzato in tutto il mondo per proteggere i dati sensibili. Per accedere al vault, si utilizza una chiave basata sulla password principale. Se la password è forte, gli hacker avrebbero bisogno di molto tempo per decifrare il codice senza la chiave.
Inoltre, in nostro Kaspersky Password Manager, blocca automaticamente la cassaforte non appena l’utente rimane inattivo per un certo periodo di tempo. Se un criminale entra in possesso del vostro dispositivo e riesce a bypassare la protezione del sistema operativo e a raggiungere il file della cassaforte, non sarà in grado di leggere il contenuto se non possiede la password principale.
Tuttavia, spetta all’utente configurare l’autoblocco. L’impostazione predefinita dell’app potrebbe bloccare la cassaforte solo dopo un periodo di inattività piuttosto lungo. Ma se avete l’abitudine di utilizzare un computer portatile o uno smartphone in un luogo che potrebbe non essere completamente sicuro, potete configurare l’autoblocco in modo che entri in funzione dopo un minuto.
C’è però un’altra potenziale falla: se un hacker ha inserito un Trojan o ha usato un altro metodo per installare un protocollo di accesso remoto sul vostro computer, potrebbe cercare di estrarre le password dal password vault mentre siete connessi. Nel 2015 è stato creato un tool di hacking di questo tipo per il gestore KeePassPassword. Decifrava e memorizzava come file separato un intero archivio di password in esecuzione su un computer con un’istanza aperta di KeePass.
Non preoccupatevi! Kaspersky Password Manager, viene solitamente utilizzato insieme alle Kaspersky Premium, il che rende molto meno probabile l’esecuzione di un password manager su un computer infetto.
Conoscenza zero
Il file crittografato con le password può essere salvato non solo sul dispositivo, ma anche sull’infrastruttura cloud di Kaspersky: ciò consente di utilizzare la cassaforte da diversi dispositivi, compresi computer di casa e telefoni cellulari. Una speciale opzione presente nelle impostazioni consente la sincronizzazione dei dati su tutti i dispositivi che abbiano Kaspersky Password Manager installato. È inoltre possibile utilizzare la versione web del password manager da qualsiasi dispositivo attraverso il sito web My Kaspersky.
Quanto è probabile una fuga di dati se si utilizza il cloud storage? Innanzitutto, è importante sottolineare che operiamo secondo il principio della “conoscenza zero”. Ciò significa che il vostro password vault è crittografato sia per Kaspersky che per chiunque altro. Gli sviluppatori di Kaspersky non saranno in grado di leggere i file: solo chi conosce la password principale potrà aprirli.
Molti (ma non tutti) dei servizi odierni che memorizzano password e altre informazioni confidenziali si attengono a un principio simile. Quindi, se leggete una notizia su una fuga di dati da un servizio di cloud storage, non fatevi prendere dal panico: non significa necessariamente che gli hacker siano riusciti a decriptare i dati rubati. Questo tipo di violazioni di dati sono comparabili a quando si ruba una cassaforte da una banca senza avere la combinazione per aprirla.
In questo caso, la combinazione è la vostra password principale. Ecco un altro importante principio di sicurezza: Kaspersky Password Manager non salva la password principale sui dispositivi o sul cloud. Anche se un hacker accede al vostro computer o al servizio di archiviazione cloud, non sarà in grado di rubare la vostra password principale dal prodotto stesso. Solo voi conoscete questa password.
Una password principale forte
Tuttavia, anche la fuga di un file crittografato con le password può creare problemi. Una volta che gli hacker hanno svaligiato una cassaforte, possono tentare di violarla.
Esistono due metodi di attacco principali. Il primo è un attacco brute force. In generale, questo metodo richiede molto tempo. Se la password è composta da una decina di caratteri casuali e comprende lettere minuscole e maiuscole, numeri e caratteri speciali, la forzatura di tutte le combinazioni richiede più di un sestilione di operazioni, ovvero… un numero intero con 21 cifre!
Se invece avete deciso di semplificarvi la vita e avete usato una password debole, come una singola parola o una semplice combinazione di numeri come “123456”, lo scanner automatico la individuerà in meno di un secondo, perché in questo caso il brute forcing non si basa su singoli simboli ma su un dizionario di combinazioni popolari. Nonostante ciò, ancora oggi molti utenti scelgono password da dizionario (combinazioni di simboli che da tempo sono presenti nei dizionari degli scanner degli hacker).
Gli utenti del password manager LastPass sono stati avvertiti di questo potenziale problema nel dicembre 2022. Quando l’account di uno sviluppatore di LastPass è stato violato, gli hacker hanno avuto accesso al cloud-hosting utilizzato dall’azienda. Tra gli altri dati, i criminali sono entrati in possesso dei backup delle password del vault degli utenti. L’azienda ha comunicato agli utenti che se avessero seguito tutte le raccomandazioni per creare una password principale forte e unica, non avrebbero avuto nulla di cui preoccuparsi perché “ci sarebbero voluti milioni di anni” per forzare una password di questo tipo. A chi utilizzava password più deboli è stato consigliato di cambiarle immediatamente.
Per fortuna, molti password manager, tra cui Kaspersky Password Manager, controllano automaticamente la forza della password principale. Se è debole o di forza media, il programma vi avvisa per fare in modo che possiate tenerne conto.
Password principale unica
Il secondo metodo di hacking si basa sul fatto che spesso le persone utilizzano le stesse credenziali di accesso per diversi servizi Internet. Se uno dei servizi viene violato, gli hacker forzeranno automaticamente le combinazioni di nome utente e password negli altri servizi in un attacco noto come credential stuffing. Questo tipo di attacco va spesso a buon fine.
Gli utenti di Norton Password Manager sono stati avvertiti di questo tipo di attacco nelle prime settimane di quest’anno. L’azienda NortonLifeLock (precedentemente nota come Symantec) ha annunciato che non ci sono state violazioni della sua infrastruttura. Ma all’inizio di dicembre 2022 sono stati documentati tentativi massicci di accedere agli account di Norton Password Manager utilizzando password che gli hacker avevano rubato a causa di una violazione di un altro servizio. Dalle indagini condotte da NortonLifeLock è emerso che gli hacker sono riusciti a sfruttare questo attacco per accedere agli account di alcuni clienti.
La lezione più ovvia che si può trarre da questa storia è che non si dovrebbe usare la stessa password per diversi account. Per quanto riguarda i metodi per proteggersi da questo tipo di attacchi, Kaspersky Password Manager può eseguire due importanti controlli sul vostro database di password…
In primo luogo, controlla la sua unicità: l’applicazione avvisa l’utente se una delle password salvate viene utilizzata su più account.
In secondo luogo, il nostro password manager controlla se le vostre password sono presenti in un database di violazioni. Per eseguire questo controllo delle password in modo sicuro, utilizza l’algoritmo crittografico SHA-256. Ciò significa che l’applicazione non invia le password stesse per la verifica, ma calcola una somma di controllo per ogni password e confronta questi hash con le somme di controllo nel database delle password compromesse. Se le somme di controllo corrispondono, l’applicazione avverte che la password è stat compromessa e che è necessario cambiarla.
Tuttavia, ricordate che questi controlli vengono eseguiti solo con le password che state salvando nella cassaforte. Sta a voi assicurarvi che la password principale sia unica: siete gli unici a conoscerla e deve essere diversa dalle altre password.
Password principale facile da ricordare
Ci sono altri modi per sottrarre le password principali, ed è qui che entra in gioco il temuto fattore umano. Ad esempio, alcuni annotano la propria password principale in un luogo in cui può essere rubata, ad esempio, in un file non criptato sul desktop o su un post-it attaccato alla parete dell’ufficio.
Invece di scriverla, cercate di ricordarla. È vero che le regole di sicurezza dicono che una password deve essere lunga e complicata, a volte ci viene persino chiesto di generare una combinazione casuale di 12-16 caratteri. È difficile ricordare una password del genere. Per questo motivo molte persone cercano di utilizzare password più semplici, ma poi si trasformano in vittime di hacking.
Dunque, come si fa a rendere la password principale forte e facile da ricordare? Una buona strategia consiste nell’ideare una password basata su tre o quattro parole segrete. Ad esempio, potete prendere il nome della città in cui avete trascorso le migliori vacanze della vostra vita, aggiungere il nome del miglior bar in cui siete stati in vacanza e poi aggiungere il nome e il numero di cocktail che avete bevuto. Una password di questo tipo sarà lunga e unica, oltre che facile da ricordare… sempre che non abbiate bevuto troppi drink riusciate a memorizzare tutti questi dati separatamente.