Gestori di password proprietari e open source

Al giorno d'oggi, abbiamo tutti un numero enorme di abbonamenti ad account e servizi online. Perché questi account siano sicuri, ognuno di essi deve avere una password unica e affidabile. Inoltre, le password veramente forti devono essere complicate, il che significa che sono estremamente difficili da ricordare.

Blocco gestore password

La migliore soluzione è un gestore di password progettato specificamente per ricordare tutte le password per tuo conto. Usando un gestore di password, puoi impostare password univoche forti per ogni account online senza la difficoltà di doverle ricordare tutte.

Tuttavia, non tutti i gestori password sono stati creati uguali e ci sono alcune cose importanti da considerare quando si tratta di scegliere un servizio.

Gestori di password - possono essere affidabili?

Quando si tratta di selezionare un gestore di password, ci sono alcune considerazioni principali che rendono tali servizi più o meno desiderabili l'uno rispetto all'altro. Uno dei più importanti è se il software è chiuso o open source.

Il software a sorgente chiuso è proprietario ed è concesso in licenza (protetto da copyright) in modo tale che nessuno è autorizzato a utilizzarlo, modificarlo o distribuirlo. Inoltre, il software a codice chiuso è bloccato in modo tale che è impossibile analizzare il codice (senza che gli sviluppatori possano accedere direttamente).

Se il codice per un gestore di password è di origine chiusa, non può essere eseguito alcun controllo di terze parti ed è impossibile verificare eventuali affermazioni fatte dal suo sviluppatore. Ciò significa che devi fidarti dello sviluppatore del gestore delle password quando ti dice come i dati vengono archiviati o trasmessi dal gestore delle password.

Ogni volta che un gestore di password è chiuso, semplicemente non sai se il servizio è sicuro come sostiene lo sviluppatore e potrebbe mettere a rischio la tua privacy e sicurezza.

Dai un'occhiata ai nostri gestori di password preferiti.

Open source - il gold standard

Sebbene sia possibile pubblicare il codice sorgente per qualsiasi programma online (su Github, per esempio), questo rende il codice disponibile ma non necessariamente "open source". Il software open source non deve solo essere disponibile per il controllo, ma deve anche disporre di una licenza open source conforme alla definizione Open Source.

Il software conforme a tali rigorosi standard deve essere libero di ridistribuire, deve fornire un accesso illimitato al codice sorgente e deve aderire a tutte e dieci le definizioni che caratterizzano il codice sorgente come "open source". Software che aderisce a tali standard e per che il creatore ha vacillato tutti i loro diritti con una licenza Creative Commons (CCL) è veramente open source.

Il software open source può essere verificato da qualsiasi terza parte. Questo è vitale per la privacy e la sicurezza perché significa che gli esperti di sicurezza (o chiunque voglia) possono analizzare il codice e verificare che non vi siano errori, vulnerabilità o backdoor intenzionali. Significa anche che qualsiasi affermazione relativa agli standard di crittografia, alla gestione delle chiavi, al modo in cui i dati vengono trasmessi ai server aziendali o al modo in cui i dati vengono sincronizzati tra i dispositivi - è effettivamente verificabile.

Vale anche la pena notare che mentre il codice disponibile al pubblico non è necessariamente "open source" nella definizione più rigorosa del termine, è comunque soddisfacente per motivi di sicurezza e privacy. Questo perché consente ai professionisti della sicurezza di analizzare e verificare il codice sorgente per il servizio.

Altre considerazioni importanti

Come puoi vedere, vs. open source la fonte chiusa è una considerazione importante quando si tratta di selezionare qualsiasi software per la privacy. Tuttavia, quando si tratta di gestori di password, c'è probabilmente qualcos'altro che è altrettanto importante (ed è indissolubilmente legato al dibattito chiuso / open source).

I gestori di password sono disponibili in due varietà; servizi in cui crittografate le vostre password e solo voi potete decrittografarle. E servizi ai quali affidate a terzi di crittografare le password per voi (e per le quali la terza parte detiene la chiave utilizzata per decrittografare le password per vostro conto).

La memorizzazione delle password online è considerata eccellente in termini di esperienza utente, poiché consente alle password di essere accessibili da qualsiasi dispositivo. E, se quelle password sono archiviate con la crittografia end-to-end, questa implementazione è considerata sicura perché solo l'utente ha il potere di decrittografare le password.

Naturalmente, se le tue password sono archiviate sui server aziendali, ciò aumenta leggermente il rischio che possano essere violate (ad esempio, un hacker potrebbe semplicemente indovinare la tua password principale). Tuttavia, questo rischio è estremamente ridotto, purché la password principale sia unica e complessa e / o si utilizzi un file chiave o un'altra forma di autenticazione a due fattori (2FA).

Vale la pena notare che se un gestore di password fornisce una vera crittografia end-to-end (E2EE), il tuo account non sarà mai recuperabile. Questo perché solo tu hai il potere di accedere alle tue password con la chiave principale. Se perdi la chiave principale, sarai bloccato fuori dalle tue password per sempre. Questo potrebbe riguardare alcuni utenti, che temono di perdere o dimenticare la password principale. Tuttavia, in realtà è un segno di un migliore gestore di password.

Chiunque desideri un gestore di password veramente sicuro sta meglio optando per un servizio che non può mai essere recuperato e per il quale solo loro possiedono la chiave principale. Inoltre, per essere veramente affidabile, il software di un gestore di password dovrebbe essere open source.

Come spiegato in precedenza, è impossibile verificare se un gestore di password è uno dei tipi menzionati in precedenza se è di origine chiusa. Di conseguenza, è impossibile verificare che un gestore di password di origine chiusa non condivida segretamente la chiave principale con una terza parte.

Qualsiasi gestore di password di origine chiusa che afferma di avere E2EE potrebbe teoricamente compilando la raccolta di password di ogni utente per conto della NSA. Anche se questo potrebbe sembrare improbabile - è una possibilità - se il gestore delle password è di tipo chiuso.

Gestori di password open source VS open source

Di seguito abbiamo compilato un elenco di popolari gestori di password in modo da poter vedere se sono chiusi o open source. Molti gestori di password di origine chiusa in questo elenco hanno un'ottima reputazione e alcuni potrebbero essere una buona opzione per te a seconda del modello di minaccia.

Tuttavia, raccomandiamo comunque gestori open source irrecuperabili a chiunque desideri i migliori livelli di sicurezza disponibili.

  • Password adesiva - Fonte chiusa
  • KeePass - Open source
  • LastPass: sorgente chiusa
  • Enpass: sorgente chiusa
  • 1Password: sorgente chiusa
  • Dashlane: fonte chiusa
  • Custode - Fonte chiusa
  • Password sicura - Open source
  • SafeInCloud - Fonte chiusa
  • Portachiavi - Open source
  • Roboform - Fonte chiusa
  • Myki - Fonte chiusa
  • Bitwarden - Open source
  • Pass - Open source
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me