Immagine 1 di 6
Quando un servizio online subisce una violazione dei dati, come recentemente accaduto a eHarmony, LinkedIn e Yahoo, c'è il rischio che un intruso scopra la tua password e ottenga l'accesso al tuo account. Tale pericolo si moltiplica se la password compromessa è stata utilizzata su più siti.
Le password presentano un dilemma online; apparentemente ogni servizio che utilizzi online richiede una password e, affinché tali password siano sicure, devono essere complesse. Tuttavia, a meno che tu non sia benedetto da livelli di memoria savant, è impossibile ricordare una mezza dozzina di casi misti, chiavi alfanumeriche, caratteri speciali inclusi, lunghe casuali, quindi non sorprende che le persone ricorrano al riutilizzo Le password.
È qui che entrano in gioco i gestori di password: fanno il ricordo per te. Ma come scegliere quello giusto? Quali domande dovresti porre a tali applicazioni e un tale approccio è effettivamente sicuro?
Quanto sono sicuri i depositi di password?
È stato sostenuto che l'utilizzo di un gestore di password significhi "mettere tutte le tue uova di sicurezza nello stesso paniere" - e con una buona ragione: se tu tieni tutti i tuoi dati di accesso in un unico posto, quindi qualsiasi hacker riuscito a comprometterli riceverà le chiavi del tuo accesso online regno. A prima vista, questo può sembrare un rompicapo istantaneo. Dal punto di vista del rischio, è necessaria una violazione di un solo servizio per avere un effetto domino su ogni altro servizio utilizzato.
Tuttavia, il rischio effettivo di compromissione è di gran lunga inferiore rispetto al riutilizzo di una password su più siti. In questo scenario, fai affidamento su dozzine di siti per proteggere i tuoi dati. Ne basta uno solo per subire una violazione e tutti gli altri vengono compromessi di conseguenza. Lettori abituali di PC professionista sarà fin troppo consapevole di quanti servizi Internet popolari hanno subito violazioni negli ultimi due anni, con i database delle password in cima alla lista.
Nel frattempo, i principali attori nel settore dei gestori di password non hanno subito alcuna violazione, con una notevole eccezione. Certamente, non c'è stata alcuna compromissione riuscita degli hash delle password crittografate. Anche l'unica eccezione, quando la sicurezza di LastPass è stata probabilmente violata all'inizio del 2011, sembra non aver causato danni catastrofici. LastPass ha notato un'anomalia del traffico, piuttosto che il furto di qualsiasi dato, e ha reagito immediatamente costringendo tutti gli utenti a cambiare le password principali prima che fosse possibile accedere alle informazioni memorizzate. Per maggiore sicurezza, la modifica doveva provenire da un indirizzo IP noto o confermata con la convalida dell'e-mail. Anche se i file hash delle password sono stati scaricati (e non è chiaro se fosse così), purché quegli utenti lo avessero fatto hanno seguito i consigli consigliati in merito alla sicurezza e alla complessità della password principale, i loro depositi di password sono rimasti sicuro.
Password nel cloud
Se sei un tipico PC professionista reader, probabilmente utilizzi diversi dispositivi che eseguono vari sistemi operativi nel corso della giornata. Se il tuo deposito password si trova sul tuo laptop Windows, ma al momento hai accesso solo a un dispositivo iOS, allora sei nei guai. Un gestore di password che mantiene le tue password "nel cloud" ti offre la comodità di accedere al tuo password da qualsiasi dispositivo, ovunque, in qualsiasi momento, ma significa che il file del database effettivo non è sotto la tua diretta controllo. Un archivio locale sul tuo laptop o un'unità USB rimovibile è meno un bersaglio per gli hacker rispetto a un archivio di password cloud centralizzato.
