E’ innegabile che oggi un qualsiasi dispositivo tecnologico, specie informatico, che non sia connesso ad Internet risulterebbe quanto meno strano. Eppure anche solo 15 anni fa si poteva dire il contrario. L’evoluzione della specie.
E con essa evolvono e cambiano tanti aspetti. Alcuni, pensati in origine in un determinato modo, non riescono ad adattarsi alla perfezione a questi cambiamenti. Si può dire che le password oggi siano un problema, certo ci vengono in aiuto i vari sistemi biometrici, ma non coprono tutte le aree.
Infatti se passiamo ai vari servizi che vengono erogati in internet la situazione diventa davvero ingestibile. Il livello di sicurezza scende in modo preoccupante. Il motivo è piuttosto semplice.
A livello cognitivo nel momento in cui dobbiamo scegliere una password ci troviamo chiaramente a pensare a qualcosa che sia facile da ricordare. Ergo la password sarà un nome, un oggetto, qualcosa che ricordiamo. E che sia anche facile da scrivere, poiché molto probabilmente lo dovremo fare più e più volte. Siccome i sistemi di validazione in genere chiedono almeno una maiuscola, un segno extra come un uguale, un punto ed un numero ecco che ci troviamo a “realizzare mentalmente” una password che poi viene ritenuta “forte” dal validatore online di turno.
Fino qui potrebbe andare bene, ma finiremo per utilizzare la medesima sequenza per moltissimi servizi, anzi è probabile che proprio in virtù del lavoro, di tutte le scocciature della vita moderna, quella diventerà la nostra password per ogni cosa. E molto probabilmente, scocciati di scriverla all’ennesima volta che il browser ti chiede “la vuoi salvare questa password?” cederemo affinché la volta successiva sia lui a digitarla per noi.
A questo punto è solo questione di probabilità, e nemmeno su nostra diretta responsabilità, cioè noi possiamo anche essere ligi ed attenti, ma il danno lo potrebbe fare qualcun’altro. Basta infatti che uno dei servizi sui cui ci siamo registrati venga hackerato e le password, tra cui la nostra, rubate. Ecco che ci vedremo potenzialmente esposti su tutti gli altri servizi poiché avremo usato la stessa password.
E se per assurdo non abbiamo usato la stessa password ma le salviamo sul browser, d’altronde come detto poco sopra questo ci invita regolarmente a salvarle, la situazione è persino peggiore. Infatti ancora oggi il problema del furto delle sessioni del browser non è stato ancora risolto. Infatti con il furto della sessione di un browser l’attaccante diventa in tutto e per tutto voi, e quindi se ha accesso ai servizi online dove sono memorizzate le password ha fatto bingo senza neanche aver sparato un colpo.
Quindi quale è lo scenario migliore? Quello in cui abbiamo password lunghissime, generate da caratteri del tutto casuali e diverse per ogni account. Inoltre queste non devono essere memorizzate sul browser. Tecnicamente non impossibile, praticamente, cioè nell’uso quotidiano, lo diventa. Magari non al giorno uno, ma dopo un po’ si.
Esistono dei software che ovviano a questo problema e personalmente ne ho provati uno sproposito, ne citerò due. Uno perché è totalmente gratuito e giustamente famoso, ovvero Keepass. L’altro è meno famoso ed è a pagamento e si chiama Dashlane.
Al momento li sto usando tutti e due, nel senso che il primo oramai è un vecchio archivio, dato che usavo Keepass oltre 10 anni fa, quando le cose erano ancora gestibili. Oggi uso Dashlane perché è un ottimo prodotto, ma chiaramente non è gratuito. Di fatto se uno avesse costanza e impegno, potrebbe benissimo usare Keepass (o nella sua derivazione MacOS MacPass) tuttavia specie in un ambito di un uso minimamente più moderno, il costo annuale di Dashlane (40 euro) risulta giustificato.
Vediamo i punti in comune; di fatto questi software permettono di utilizzare la famosa password di cui sopra una sola volta e solo per poter accedere al loro interno. Si tratta in genere di un database con un livello di criptazione dei dati elevatissimo e difficilissimo da compromettere. Successivamente per ogni account di servizi su internet andremo a genere delle password totalmente intelligibili poiché non avremo necessità di ricordarle, ma sarà il sistema a farlo per noi. Ecco qui nascono già la prime differenze tra il sistema gratuito e quello a pagamento. Dashlane infatti permette di auto-generare una password complessa e di registrare l’account prelevando i dati dal browser mentre li compiliamo sul sito. Cioè una volta completata la registrazione ad un servizio non dovremo ricordarci di riscriverla su Keepass, ma sarà automaticamente compilata in Dashlane. Infatti una popup sul browser ci porrà la domanda se intendiamo salvare i dati che abbiamo appena immesso su quella pagina di registrazione.
Successivamente quando torneremo su quel sito, Dashlane sarà in grado di comprendere che stiamo ritornando e se trova i campi dove poter fare il login li compila e preme pure il tasto accedi per noi. Questo ovviamente accade perché oltre al software di Dashlane che va installato sul computer (funziona sia su Windows che su MacOS) si può installare anche una estensione del browser (disponibili per Chrome, Edge, Firefox o Safari) che appunto facilitano e semplificano la vita. Va detto per cronaca che anche Keepass ha delle estensioni di terze parti simili. Ma dopo varie prove fatte non sono minimamente paragonabili. Inoltre essendo di terzi parti ci si deve fidare.
Sia Keepass che Dashlane hanno la possibilità di mantenere uno storico delle password di quel specifico account, ma Dashlane ha in più anche lo storico delle password auto-generate e non salvate in nessun account. Una comodità che posso dirvi mi sia servita in una occasione.
E si arriva all’aspetto su dove possiamo salvare questo prezioso archivio. Keepass permette di salvare per vie traverse su cloud di vario tipo, ma già il versionamento, cioè uno storico delle varie copie diventa complicato. Dashlane offre l’esportazione, ma di fatto invita a salvare sul cloud proprietario che è compreso nell’abbonamento. Questa scelta praticamente obbligata ci porta al capitolo successivo.
In questi anni l’accesso ai servizi oramai si è diversificato, non esiste solo il computer, ma ci ritroviamo a dover fruirne attraverso smartphone e tablet, spesso in una sorta di continuità indefinita. Cioè si inizia un lavoro sul laptop per poi metterci mano poi sul tablet. Dashlane rispetto a Keepass ha un ottimo supporto lato Android e iOS / ipadOS, per cui il cloud proprietario citato in precedenza diventa vitale in questo contesto di utilizzo.
Prima sopra ho citato in modo sbrigativo che l’accesso a questi sistemi avviene via password. In realtà la cosa è un po’ più complessa. Keepass ad esempio offre anche una chiave di accesso da abbinare alla password. Dashlane offre altri due livelli, uno di tipo biometrico dove possibile (sui dispositivi mobile sicuramente si) e un secondo intrinseco. Infatti una volta ottenuto accesso al software sul computer, questo al primo accesso del browser vi pone una domanda. Viene generato un codice usa e getta che viene mostrato dentro Dashlane e dentro il browser. In questo modo si scongiura il furto di sessione, non solo, se questo poi avvenisse ci renderemo conto molto velocemente che c’è in atto un attacco perché ci troveremo davanti ad una richiesta che chiaramente negheremo. In tal senso è molto utile istruire il browser affinché cancelli tutti i cookie alla sua chiusura, tanto gli accessi saranno compilati da Dashlane ma allo stesso tempo aumentiamo il livello di sicurezza in modo esponenziale.
Ultimo ma non meno importante, nel servizio a pagamento è compresa una VPN che si attiva dal software di Dashlane, sia per Desktop che per Mobile. Si tratta di un servizio che non ho trovato nella concorrenza ed ha un perfetto senso. Immaginiamo di collegarci in un Hotel, aereoporto ad una rete wi-fi che di fatto non conosciamo. Pur se fosse protetta da PWA non ne conosciamo, e quindi non possiamo fidarci, di come è strutturata. Potrebbe benissimo esserci un servizio di spoofing dei dati (cioè di copia e analisi dei dati scambiati tra il nostro dispositivo e l’access-point) sconosciuto ai gestori e che potrebbe intercettare dati importanti. Ecco che questo rischio viene neutralizzato con una VPN, per altro di discreta qualità.
Se devo cercare dei difetti, quelli relativi a Keepass sono di fatto relativi alla sua natura gratuita, è chiaro che lo sviluppo di servizi accessori, tipo l’estensione del browser, non essendoci per ovvi motivi azzoppano la facilità di utilizzo. Dashlane ha difetti minori e trascurabili, ad esempio la gestione delle categorie poteva essere fatta meglio, manca si un servizio di scadenza della password come in Keepass.
Non ultimo il capitolo prezzo. Uno è gratuito, l’altro costa 40 euro l’anno. Chiaramente in relazione alle disponibilità economiche di ognuno il costo può essere trascurabile o “fastidioso”, diciamo che in linea di massima la cifra mi pare equa, considerando anche il supporto costante del servizio che vede regolari aggiornamenti non solo in ambito Desktop, ma anche quello mobile.