Usare la stessa password per tutto non è un’opzione: le fughe di password e i cyber-attacchi sono all’ordine del giorno, e l’uso di password troppo semplici o uguali per più siti ci espone a rischi elevati. Inventare e ricordare password complesse e sicure, però, è un’impresa non da poco. Ci vengono in soccorso i password manager. Sono software che archiviano e ricordano tutte le nostre password e ci aiutano a generarne di nuove e sicure a ogni nuova iscrizione. I browser più popolari (come Chrome, Firefox e Safari) hanno di default un password manager capace di aiutarci nell’arduo compito di gestire in sicurezza i nostri account online: oltre alle password possono memorizzare i nostri dati per riempire i form di iscrizione (nome, cognome, indirizzo, numero di telefono) rendendo i vari passaggi rapidi e indolori.

In più possono sincronizzarli su vari device, ma non senza qualche limitazione. Keychain di Apple funziona solo su iOS, Password Manager di Google è esclusivo per Android. Un po’ di flessibilità in più la dà Lockwise, basato su Firefox, per cui si può scaricare una mobile app che supporta entrambi o i sistemi operativi. Esistono poi delle app di terze parti, che lavorano su piattaforme multiple, come Dashlane, 1Password e LastPass, gratuite o con piani di abbonamento. Scegliere non è semplice, e le preoccupazioni per la sicurezza ci sono in entrambi i casi. Sul suo blog Tavis Ormandy, che si occupa di vulnerabilità dei sistemi per Google, ha messo in evidenza un problema non da poco dei password manager di terze parti. Questi software infatti si appoggiano alle estensioni dei browser per auto completare dati e password, e queste estensioni possono essere vulnerabili agli attacchi. Con la premessa che “forse solo la politica e la religione incendiano gli animi più del dibattito sulle password”, ha analizzato i rischi dei password manager di terze parti punto per punto, arrivando alla conclusione che quelli integrati nel browser sono intrinsecamente più sicuri, in quanto non vanno a rompere il meccanismo di sicurezza delle sandbox. Non è la prima volta che Ormandy porta alla luce difetti in queste app, ed era successo sia nel 2016 con 1Password che nel 2017 con LastPass, che subito sono corse ai ripari.

Questa volta gli hanno risposto il Chief Technology Officer di Dashlane Frederic Rivain, che ha commentato “Nessuno può assicurare un rischio zero, ma quello che importa dalla nostra prospettiva è che affidiamo alle best practice del settore per minimizzare i rischi” e Rick van Galen, esperto di sicurezza di 1Password, che, più interlocutorio, ha apprezzato l’intervento di Ormandy ma ha rassicurato gli utenti che 1Password è a conoscenza delle sfide e dei problemi sollevati e lavora costantemente per affrontarli. È vero però che i password manager di terze parti hanno una serie di vantaggi, tra cui una maggiore protezione all’accesso, la possibilità di essere usati su più piattaforme, e quella di ricordare non solo i login e le password ma tutta una serie di altri dati utili. Quelli integrati, d’altra parte, sono più comodi - e senza costi extra - se non si cambia ecosistema. Apple KeyChain, in particolare, lavora senza intoppi in tutto l’universo Apple e utilizza sistemi di riconoscimento facciale o autenticazione a più fattori ogni volta che si desidera usare una password memorizzata. Per Google Password Manager, invece, l’accesso ai device vuol dire automaticamente l’accesso alle password - fondamentale quindi proteggere i device, ovviamente con una password sicura, non a riempimento automatico e ricordandosi di fare logout ogni volta.