Da asporto chiave
- Google ha aggiornato il gestore password integrato nel browser Web Chrome e nel sistema operativo Android.
- L'azienda afferma che le nuove funzionalità lo avvicinano ai gestori di password di terze parti.
- Gli esperti di sicurezza, tuttavia, avvertono di non memorizzare le credenziali all'interno di un browser web.
Come spesso accade con la tecnologia, la comodità va a scapito della sicurezza.
Google ha aggiunto utili funzionalità al gestore di password integrato in Chrome e Android che lo rendono una vera alternativa ai gestori di password dedicati. Tuttavia, questo non è sufficiente per convincere gli esperti di sicurezza a fidarsi dei browser per memorizzare le password.
"Non sono un fan della memorizzazione delle password in nessun browser web", ha detto a Lifewire via e-mail Chris Hauk, campione della privacy dei consumatori di Pixel Privacy. "Tuttavia, questo è particolarmente vero per un browser come Chrome, che in passato ha subito numerose violazioni della sicurezza e della privacy."
Strumento sbagliato per il lavoro
In uno scambio di e-mail con Lifewire, Dahvid Schloss, Managing Lead, Offensive Security, presso Echelon Risk + Cyber, ha affermato che il lancio del gestore di password di Google sembra creare un'applicazione molto semplice da condividere tra i dispositivi di un utente. "Ma alla fine, l'applicazione è sicura solo quanto il suo dispositivo meno sicuro che la utilizza."
Stephanie Benoit-Kurtz, Lead Faculty per il College of Information Systems and Technology presso l'Università di Phoenix, è d'accordo. In un'e-mail, ha detto a Lifewire che, sebbene i browser abbiano fatto molta strada nel fornire agli utenti un'esperienza semplificata durante la memorizzazione di accessi e password sui siti Web, utilizzarli per archiviare le password è un pendio scivoloso.
Benoit-Kurtz ha specificamente sottolineato due problemi con la memorizzazione delle password nei browser. Il primo è la crittografia, poiché i browser Web dipendono dalla configurazione del dispositivo per le impostazioni di crittografia. Ha affermato che gli utenti generici non apprezzano appieno l'importanza della crittografia nella protezione dei propri dispositivi.
"La seconda sfida è che se un dispositivo con le impostazioni del browser viene rubato o cade nelle mani di qualcun altro attraverso l'hacking, il malintenzionato potrebbe avere accesso a tutti i dati di accesso e password ai sistemi", ha affermato Benoit-Kurtz.
Ha anche riconosciuto che mentre i browser hanno fatto molta strada con la sicurezza, le persone hanno ancora bisogno di stare al passo con tutte le patch e la manutenzione necessaria per mantenerle sicure. Anche in questo caso esistono minacce zero-day che possono rendere vulnerabili anche i browser completamente aggiornati.
Schloss ha riconosciuto che, sebbene non abbia ancora armeggiato con il gestore di password aggiornato di Chrome, non sembra essere un modulo aggiuntivo per Chrome.
"Ciò significa che è molto probabile che questo non risolva il problema di archiviazione del testo normale che è stato e viene abusato dagli attori delle minacce", ha spiegato Schloss, "portando alla violazione di tutte le tue password se un l'attore delle minacce era già sul tuo dispositivo."
… l'applicazione è sicura solo quanto il dispositivo meno sicuro che la utilizza.
Chiama uno specialista
Invece di utilizzare i browser per memorizzare le credenziali, i nostri esperti consigliano di utilizzare strumenti specializzati creati esplicitamente per la memorizzazione delle password.
"Per un'opzione più sicura, valuta tecnologie più avanzate come i depositi di password per mantenere gli accessi e le password protetti", ha suggerito Benoit-Kurtz. "Questi strumenti sono generalmente venduti come abbonamento e forniscono crittografia, autenticazione a più fattori (MFA) e altre tecnologie necessarie per proteggere accessi e password."
Hauk si affida al gestore di password 1Password, che, secondo lui, funziona sulla maggior parte delle piattaforme e app popolari e archivia in modo sicuro le credenziali in un database ben crittografato.
"I gestori di password ti consentono di creare password complesse e complesse senza avere la memoria di un elefante", ha affermato Schloss, "e la maggior parte di esse fornisce un certo livello di monitoraggio delle violazioni per farti sapere quando devi cambiare un sito password."
Schloss utilizza Keeper e Last Pass per i suoi dispositivi domestici e di lavoro, ma suggerisce che, sebbene entrambi abbiano i loro vantaggi, la maggior parte delle persone non ha bisogno di utilizzare due gestori di password.
Ha affermato che la maggior parte di quelli popolari ha il supporto cross-device che li rende comodi da usare. Sebbene molti archivino le tue credenziali su un server di terze parti, i dati vengono crittografati end-to-end, il che significa che le tue password sono al sicuro anche se gli hacker violano i server del tuo gestore di password.
"Detto questo, qualsiasi gestore di password è meglio di nessun gestore di password", ha consigliato Schloss. Ha sottolineato che il riutilizzo delle password è molto più pericoloso e una pratica terribile a cui prendere l'abitudine.
"Ad esempio, nel caso in cui un sito venga violato e gli attori delle minacce ottengano l'accesso alla tua password, potrebbero utilizzare la stessa password per accedere agli altri tuoi account", ha avvertito Schloss. "A quel punto hai dato loro le chiavi del tuo castello."
