Salvare le password sul browser è, prima di tutto, molto comodo: non dover ogni volta ricordare e inserire le credenziali di login fa risparmiare memoria e tempo. Ma che cosa comporta, in termini di sicurezza, lasciare che il browser custodisca le nostre password? E soprattutto, comodità e sicurezza vanno di pari passo?
- Troppe password… come fare a ricordale tutte?
- Password manager integrati al browser
- Dove (e quali) sono le password salvate?
- Sicurezza: punti di forza e punti deboli
Troppe password… come fare a ricordale tutte?
E siccome i due imperativi categorici della sicurezza digitale raccomandano di scegliere una password complessa, il senso di frustrazione che ne deriva è ovvio: come fare a ricordarle tutte? Proprio qui entra in gioco la comodità di salvare le password sul browser.
Password manager integrati al browser
Non è un caso che oggi tutti i principali browser – Google Chrome, Safari, Modzilla Firefox, Internet Explorer, Microsoft Edge e molti altri – ci vengano in aiuto con un password manager integrato.
Il meccanismo, lato utente, è molto semplice: ogni volta che si devono inserire nome utente e password per accedere all’account di posta (o al proprio profilo social, a un sito di e-commerce ecc.), si apre una finestra con la domanda “Vuoi salvare la password?” (o “Vuoi salvare le credenziali di login?” o varianti analoghe).
Se l’utente risponde “Salva”, il browser registrerà le credenziali, inclusa la password, e le salverà nel cloud, in modo da poterle automaticamente inserire quando l’utente tornerà a visitare lo stesso account (o profilo social, sito ecc.).
Dove (e quali) sono le password salvate?
Molti utenti, comprensibilmente, scelgono questa opzione. Di conseguenza, affidano al browser la custodia di tutte le credenziali di volta in volta salvate.
Per vedere quali sono (perché, a questo punto, possiamo non ricordarle), basta avviare il browser (supponiamo che sia Modzilla Firefox), andare su “Impostazioni”, cercare la sezione “Privacy e sicurezza” e soffermarsi su “Credenziali e password”.
Qui, cliccando su “Credenziali salvate”, vedremo scorrere la lista di account e siti per i quali abbiamo appunto salvato le credenziali. Il nome utente è in chiaro, mentre la chiave d’accesso lo diventa cliccando sull’icona dell’occhio posta accanto.
Fatte salve possibili variazioni di nomenclatura, il percorso è analogo in tutti i browser.
La lista è più lunga di quanto ci si aspettasse? Molto probabile. Chi non accede spesso a questa sezione del browser, scoprirà una collezione di siti visitati anni prima con informazioni o servizi mai più utilizzati. Questo è il momento giusto per fare un po’ di pulizia, rimuovendo i dati ormai inutili.
Password e Sicurezza: punti di forza e punti deboli
Il dubbio sulla sicurezza di questa agevole pratica è legittimo. Il “cloud” non dà l’idea di essere una vera e propria “cassaforte”, soprattutto, probabilmente, ai non nativi digitali o in generale a chi non abbia grande dimestichezza con il mondo informatico.
Negli ultimi anni i browser principali hanno tendenzialmente migliorato le prestazioni di sicurezza dei propri password manager, ma per inquadrare correttamente il discorso bisogna partire da questo presupposto: non esiste browser esente da vulnerabilità.
Punti di Forza e Debolezza a confronto
I punti di forza, che elenchiamo qui di seguito, devono quindi essere valutati con cautela.
Alcuni gestori di password integrati possono suggerire credenziali complesse, consentire l’autenticazione a due fattori, disporre di alert relativi alle credenziali potenzialmente esposte a violazioni dei dati, e permettere di scegliere una Master Password, ovvero una sola password che sarà posta “a custodia” di tutte le altre (e che, a differenza delle altre, l’utente dovrà ricordare).
Inoltre, proteggono le credenziali memorizzate nel cloud tramite crittografia, e cioè convertono i dati in un formato non leggibile, appunto criptato, così che tali dati non siano a immediata disposizione di terze parti indesiderate.
Ma i sistemi di crittografia impiegati variano a seconda del browser. Alcuni sistemi sono più sicuri (più difficili da violare, per esempio l’AES-256), altri meno.
Un utente medio, al quale i gold standard crittografici possono essere ignoti, deve comunque sapere che i browser vanno regolarmente aggiornati, e che occorre farlo anche per consentire eventuali implementazioni sul fronte della sicurezza. Per non dimenticarsene, impostare sempre l’aggiornamento automatico.
Detto questo, torniamo all’assunto di partenza: siccome non esiste browser esente da vulnerabilità, la sicurezza del salvataggio delle credenziali sul browser non può prescindere dalle buone pratiche di cyber security di base.
Passowrd e sicurezza: La Master Password.
Abbiamo prima descritto il percorso che conduce alle credenziali salvate. Ebbene, questo percorso può effettuarlo chiunque abbia accesso al computer, e così vedere in chiaro tutte le nostre credenziali.
Affinché un computer condiviso – o peggio, smarrito o rubato – non sia un “libro aperto”, è indispensabile predisporre una password complessa per il login di avvio e, se consentito dal password manager integrato, una Master Password.
Siccome in genere i password manager integrati consentono di sincronizzare le credenziali d’accesso salvate su ogni altro device in uso, le stesse precauzioni andranno prese anche per smartphone e tablet sincronizzati.
In conclusione, i password manager integrati al browser rappresentano una scelta comoda, ma non priva di rischi, per salvare il numero crescente di password che nella quotidianità dobbiamo utilizzare.
Anche se oggi il livello medio di protezione che offrono è ritenuto migliore rispetto a qualche anno fa, l’utente che vi si affidi deve applicare tutte le buone pratiche di sicurezza necessarie, con la consapevolezza di poter ridurre il rischio senza tuttavia azzerarlo.
Seguici su: