Un gestore di password è un programma o un servizio che consente di registrare informazioni di accesso come nome utente, password, collegamento di accesso e altri dati. Il database delle password è archiviato in un formato crittografato. Ulteriori misure di sicurezza variano da servizio a servizio.

L'unica cosa più importante che puoi fare per proteggere i tuoi account è utilizzare password complesse e univoche che non vengono riutilizzate da nessuna parte. Nella sezione Comprensione delle violazioni dei dati ho discusso di come le password crittografate possono essere rubate dal database di un servizio e quindi decrittografate in un secondo momento. L'utilizzo di una password forte e univoca renderà la tua password praticamente impossibile da decifrare, mantenendo così i tuoi account al sicuro anche in quella situazione. Una password complessa deve essere composta da sedici o più caratteri costituiti da lettere maiuscole e minuscole, numeri e caratteri speciali e non deve essere riutilizzata su altri account. Ovviamente, ciò significa che una buona password è impossibile da ricordare, quindi la soluzione è utilizzare un gestore di password. Utilizzando un gestore di password, devi sempre ricordare una sola password: la password principale per accedere.

La cosa più importante è cercare un servizio che sia "conoscenza zero" . Possono anche utilizzare termini come "accesso zero" o "crittografato end-to-end". (Nota: questa è diversa dalla normale crittografia .) Ciò significa che nessun dipendente dell'azienda può vedere le tue password e informazioni. Ricorda: se possono vederlo, può farlo anche un criminale che ottiene l'accesso. Dovresti anche considerare se i servizi basati su cloud sono adatti a te.I servizi basati su cloud offrono comodità come la sincronizzazione tra dispositivi, ma corri anche il rischio che un criminale di successo scarichi il tuo database e quindi abbia tutto il tempo del mondo per trovare punti deboli nella crittografia. Al contrario, i database archiviati localmente sono più al sicuro da una violazione dei dati, ma corrono il rischio di essere eliminati, persi o danneggiati se non si conservano backup affidabili.

Prodotto/servizio	Pro	contro
Elencati in ordine alfabetico, non in ordine di raccomandazione
Bitwarden	Controllato Disponibile su Debian, Mac, Windows, Android e iOS Può essere ospitato autonomamente	Basato su cloud Con sede negli Stati Uniti Utilizza Microsoft Azure per l'infrastruttura.
KeePass	Alcuni clienti vengono controllati Disponibile su Debian, Mac, Windows, Android e iOS Ha una funzione per ricordare agli utenti di modificare le password a intervalli di scelta dell'utente I client popolari includono KeePass XC , KeePassDX (Android) e Strongbox (iOS)	Non tutti i client sono controllati Non basato su cloud

Ti suggerisco di interrompere immediatamente quello che stai facendo e di adottare password sicure per i tuoi account più critici . Conti bancari, e-mail e altri conti senza i quali non puoi permetterti di vivere. Fallo subito prima di fare qualsiasi altra cosa.

Per il resto dei tuoi account, ti consiglio di aggiornare le tue password in qualcosa di sicuro "mentre vai". Ciò significa che cambi le password mentre le usi. Ad esempio, la prossima volta che accedi a eBay, cambia la password. Quindi, la prossima volta che ordini la pizza, cambia la password. Col tempo ogni account avrà una password unica e sicura.

Per la tua password di accesso principale, usa una passphrase. Una passphrase è una serie di parole anziché una singola parola. Una buona passphrase dovrebbe essere composta da almeno cinque parole casuali, quindi cerca di evitare citazioni famose o parole ovvie come un elenco di nomi dei tuoi figli. Una buona passphrase può richiedere fino a centinaia di anni per la forza bruta o per indovinare.

I gestori di password in genere includono una sezione per prendere appunti. Questo è un ottimo posto per prendere appunti come codici di backup MFA, risposte a domande di sicurezza o altri dettagli specifici dell'account che vuoi ricordare. Tuttavia, fai attenzione che questo crea un singolo punto di errore, quindi assicurati di applicare la massima protezione al tuo gestore di password in questo caso.

Una strategia comune per una maggiore sicurezza dell'account consiste nel fornire false risposte alle domande di sicurezza. Ad esempio, una domanda di sicurezza comune è "qual è il secondo nome di tuo padre?" Questo tipo di informazioni è facile da trovare online per la maggior parte delle persone in questi giorni a causa della natura sempre più digitale dei registri pubblici. Un criminale potrebbe chiamare la banca spacciandosi per te, rispondere alla domanda e trasferire tutti i tuoi fondi dal tuo conto. Invece della risposta vera, rispondi con una parola generata casualmente e registrala nella sezione delle note.