Come memorizzare le password in modo sicuro

Meglio salvare le credenziali nel browser o archiviarle in un gestore di password? Scopri perché è preferibile utilizzare un gestore di password.

Salvando le password in un browser eviti di doverle reinserire ogni volta e risparmi tempo. Ma è sicuro? In questo articolo vediamo i tre motivi per cui si dovrebbe evitare di memorizzare le password nel browser e perché è preferibile utilizzare un metodo di archiviazione più sicuro: un gestore di password.

1. Password stealer

Il problema principale dell’archiviazione delle password nei browser è che sacrificano la sicurezza a favore dell’usabilità. Questo vale almeno per i tre browser più diffusi, Google Chrome, Mozilla Firefox e Microsoft Edge, che memorizzano le password degli utenti in modo pericolosamente non sicuro.

Il motivo è che tutti i browser salvano le password in una posizione prevedibile: una cartella il cui percorso è noto a tutti. Inoltre, anche se le password stesse vengono criptate, la chiave di criptaggio viene salvata in una posizione non distante e risulta facilmente accessibile. Armato di questa chiave, un malintenzionato può decodificare e rubare le password. È come chiudere a chiave la porta e far sapere a tutti che la chiave è sotto lo zerbino.

Di fatto, questo è un aspetto su cui i browser puntano per farsi concorrenza: per facilitare il passaggio degli utenti al proprio prodotto, spesso offrono di importare dal browser precedente tutti i dati salvati, comprese le password.

È facile immaginare come questa funzionalità possa essere sfruttata per scopi non propriamente corretti. Noti anche come PSW (Password Stealing Ware), i password stealer (in italiano, “ladro di password”) sono un tipo di malware specializzato nel furto di credenziali. Questo malware setaccia le cartelle in cui normalmente si trovano le password salvate nei browser, trova la chiave “sotto lo zerbino”, la utilizza per decodificare le password e carica il suo bottino sul server dei cybercriminali a cui appartiene. In seguito, queste password vengono in genere memorizzate in un database e vendute in blocco nel Dark Web ad altri truffatori che le utilizzano per dirottare gli account (il settore del crimine informatico è da sempre caratterizzato da elevati livelli di specializzazione).

Per comprendere quanto sia facile rubare le password salvate in un browser, può essere utile guardare questa demo video che spiega come estrarre rapidamente le password da Chrome, Firefox ed Edge utilizzando un semplice script Python.

Estrazione delle password da Google Chrome, Mozilla Firefox e Microsoft Edge

Dimostrazione di come estrarre le password salvate in Google Chrome, Mozilla Firefox e Microsoft Edge.

Accesso fisico al computer

Il furto delle password può essere opera dei malware appositamente addestrati, ma anche di chiunque abbia accesso fisico al computer. Non è necessario essere hacker esperti: gli script per l’esfiltrazione delle password memorizzate nei browser sono facilmente reperibili online e possono essere eseguiti con altrettanta facilità.

Se lasci il computer sbloccato, potrebbe farlo anche un familiare o un collega di lavoro eccessivamente curioso… o magari un hacker in visita nel tuo ufficio in missione esplorativa. Insomma, chiunque. Il punto è che tutte le password che salvi nel browser possono finire nelle mani di soggetti potenzialmente ostili.

Inoltre, anche se l’intruso non disponesse dello script giusto per estrarre le password dal file salvato nel browser, potrebbe comunque esaminare le impostazioni relative all’elenco dei siti per cui hai memorizzato le password e quindi accedere a uno di questi, ad esempio per leggere la tua corrispondenza o scoprire altri segreti che ti riguardano.

Il browser più diffuso al mondo (Google Chrome) non include nemmeno un meccanismo di base per impedire azioni di questo genere. D’altra parte, gli sviluppatori di Firefox sono stati abbastanza previdenti da consentire agli utenti di proteggere le password salvate con una password principale, ma hanno lasciato questa opzione disabilitata per impostazione predefinita. La password principale deve essere esplicitamente abilitata e configurata, ma è probabile che molti utenti di Firefox non ne siano a conoscenza.

3. Dirottamento dell’account del browser

Ora passiamo a un problema che è comune a tutti i browser che per praticità consentono agli utenti di creare un account per sincronizzare i browser su dispositivi diversi. Ciò significa che tutti i segnalibri, le sessioni del browser, le estensioni, le impostazioni e le password memorizzate vengono sincronizzati e salvati nel cloud. Per un hacker questo significa che una volta entrato nel tuo account del browser, potrà accedere a un altro computer semplicemente utilizzando lo stesso account. Pertanto, tutti i tuoi account (dai social network alle banche online) di cui hai memorizzato le password nel browser sono a portata di mano.

Perché è consigliabile utilizzare un gestore di password anziché un browser

Come i browser, Kaspersky Password Manager ricorda le tue credenziali e ti consente di immetterle automaticamente quando accedi ai siti Web. A differenza degli sviluppatori di browser, tuttavia, quando è in gioco la sicurezza noi non scendiamo a compromessi. Nel nostro gestore di password, la password principale viene utilizzata per impostazione predefinita e non può essere disabilitata: tutte le password salvate sono sempre protette. Pertanto, anche se qualcuno riesce ad accedere fisicamente al tuo computer, non sarà in grado di accedere ai siti semplicemente utilizzando le credenziali memorizzate nel gestore. Per farlo, avrebbe bisogno della password principale, che nessuno conosce tranne te (a meno che tu non l’abbia incollata sullo schermo con un post-it).

Un altro vantaggio di Kaspersky Password Manager è, ovviamente, che tutte le password sono archiviate solo in forma criptata. E, cosa estremamente importante, noi non teniamo la chiave di decriptaggio “sotto lo zerbino”. La chiave di criptaggio viene generata al momento sulla base della password principale utilizzando l’algoritmo AES-256, pertanto non è necessario salvarla in nessun posto. Mai. Pertanto, anche se uno di questi password stealer riuscisse a intrufolarsi nel tuo computer, non potrà rubare nulla perché tutte le tue password sono criptate in modo sicuro. Per inciso, se utilizzi Kaspersky Password Managercome parte della soluzione Kaspersky Premium, il malware non riuscirà nemmeno a entrare nel tuo computer.

Un’ultima cosa. La sincronizzazione delle password nei dispositivi avviene nel cloud: tutte le tue password sono collegate al tuo account My Kaspersky. Anche se un intruso dovesse in qualche modo accedere a questo account, le password memorizzate in Kaspersky Password Manager saranno comunque al sicuro. Questo perché nel cloud sono archiviati esclusivamente in forma criptata e la chiave di decriptaggio viene generata sulla base della password principale, che solo tu conosci e senza la quale gli i criminali non possono danneggiarti.

Inoltre, di recente Kaspersky Password Manager è stato aggiornato per supportare i browser Opera e Opera GX, che continuano a conquistare nuovi utenti. Grazie a questo aggiornamento, ora il nostro prodotto supporta tutti i browser più diffusi: Chrome (e i browser basati su Chromium), Safari, Firefox, Edge e Opera.

Consigli