A cosa serve un Password Manager?

A cosa serve un Password Manager?

  • Gli Hackers sono degli individui che cercano di accedere alla tua rete e ai tuoi file senza autorizzazione. Essi possono usare tre differenti metodi per accedervi: forza bruta, attacchi dizionario e social engineering.  La forza bruta è il metodo che impiega più tempo. In pratica consiste in un programma che prova tutte le combinazioni di lettere, numeri e caratteri speciali per scoprire la tua password. Inizia provando ogni singolo carattere, successivamente prova combinazioni di due caratteri e così via. Più lunga è la password, più la difficoltà nel riuscire a scoprirla cresce esponenzialmente.
    Una password lunga 8 caratteri che utilizza lettere minuscole e maiuscole, numeri e caratteri speciali potrebbe essere crakkata mediamente in due anni. Ciò sottolinea l'importanza di scegliere una password il più casuale possibile. Un altro metodo di attacco può avvenire mediante l'uso di dizionari. Questi dizionari contengono parole, nomi ma anche numeri e combinazioni di lettere come 11111 e abc123. Password semplici come "paperino" o "ioamoilmiocane" potrebbero essere facilmente scoperte. Il terzo e il più efficace metodo di attacco è il social engineering. Implica che qualche maleintenzionato estorca la password direttamente all'utente. Molte persone divulgano la propria password a colleghi ed estranei senza pensarci: per esempio, in quelle piccole aziende che non hanno uno staff tecnico dedicato all'IT. Un hacker potrebbe ad esempio fare le veci della vostro  ISP e richiedere la password ad un impiegato semplicemente dicendo che sta "testando il servizio". Richiedendo la username e password dell'impiegato, l'hacker può accedere alla vostra rete con le sue credenziali e se tale impiegato possiede abbastanza autorizzazioni, la sicurezza della vostra rete potrebbe essere compromessa. Un altro tipico attacco di social engineering è il phishing: esso consiste nel "truccare" un sito fasullo e renderlo del tutto identico ad un altro sito, per esempio un sito di accesso alla vostra banca on line. Il sito "fasullo" ha lo scopo di immagazzinare i vostri dati di accesso che si immettono inconsapevolmente, "rubandovi" l'identità e forse non solo quella! :-)

  • Se c'è un significante numero di dipendenti in un'organizzazione, l'amministratore di sistema ha due opzioni disponibili per indurre all'uso di buone password per gli account degli utenti. Possono creare le password per gli utenti oppure possono lasciare all'utente il compito di creare le proprie password, verificando che tali password siano di qualità accettabile. Creando le password per l'utente si assicura che tali siano buone, ma diventerebbe un compito noioso gestire tali password con la crescita dell'organizzazione. Inoltre questo accresce la probabilità che gli utenti scrivano le loro password da qualche parte. Per queste ragioni, gli amministratori di rete, preferiscono che siano gli utenti stessi a creare le proprie password, ma verificano attivamente che tali password siano buone ed, in alcuni casi, ricordano agli utenti di cambiarle periodicamente.

  • La cosa più importante che un utente deve fare per proteggere i propri account è quella di creare delle password di qualità, che rendono meno vulnerabile l'account ad attacchi da parte di hacker. Si dovrebbero creare differenti password per ciascun login ad una data applicazione e tutte queste password dovrebbero essere difficili da crakkare e facili da ricordare: questo ovviamente può essere un problema se un utente ha numerosi account.

  • Un password manager è un software che aiuta l'utente o l'impiegato ad immagazzinare ed organizzare le proprie password. Il software tipicamente ha un database locale che salva i dati criptandoli. L'utente deve ricordare un unica password sicura (passphrase - frase di accesso) per accedere all'intero database.

  • Alcuni password managers come PassLocker possono inoltre generare password casuali sicure, calcolarne la qualità e monitorarne la scadenza. PassLocker permette inoltre ad un utente di bloccare il database con un file criptato che dipende dall'hardware in cui viene aperto (passkey) insieme con la passphrase.

  • PassLocker può inoltre funzionare come form filler, riempendo automaticamente i campi delle form nei vostri account web. Questo, oltre ad essere comodo (accedi ai tuoi login web tramite un solo click), può notevolmente ridurre il rischio di attacchi tramite phishing, poichè PassLocker prima di riempire i campi verificherà che effettivamente il sito sia quello corretto.