Salvare le password sul browser è comodo: non avrai più bisogno di reinserirle nuovamente, non dovrai ricordarle tutte a memoria. Il problema è che questa modalità non è affatto sicura. Vediamo i rischi e perchè è di gran lunga preferibile adottare un gestore di password.
Troppe password, poca memoria e quella tentazione di usare “strade semplici”
Ognuno di noi possiede ormai diversi account ai quali accede più o meno assiduamente: account social, Amazon, Netflix, login di vari siti web, ma anche a dati più sensibili come le carte di credito o debito per pagare online. Tanti, troppi forse: sicuramente troppe le password che dobbiamo tenere a mente. Se poi ci aggiungiamo gli account lavorativi, la nostra testa finisce invasa da password. Insomma il problema è ormai di tutti.
C’è chi, contravvenendo ad ogni buona norma informatica, utilizza una sola password per tutti gli account. Così “bucato” un account avrà il piacere di scoprire che anche tutti gli alti sono stati violati. C’è chi invece utilizza password semplici (la data di nascita? Il nome dell’animale domestico?): ecco tutti dati che poi magari sono facilmente rintracciabili sui nostri profili social, che noi stessi pubblichiamo senza prestare molta attenzione. Non solo: con un attacco di brute forcing, un attaccante può violare anche password che non conosce. E più saranno brevi e semplici e più sarà veloce scoprirle.
Ecco quindi che i browser più popolari presentano, ormai, funzionalità volte proprio a intervenire su questo problema. La maggior parte infatti dispone sia di generatori di password capaci di generare password complesse che di funzionalità per il salvataggio delle stesse. Si tratta sicuramente di strumenti molto pratici da utilizzare (basta cliccare sul tasto “sì” nella finestra che compare una volta inserita la password) ma sono tutt’altro che sicuri. Vediamo insieme in quali rischi si può incorrere.
Tutti i rischi di salvare le password nei browser
1. Infostealer
Come testimonia il report annuale del CERT, nel 2023 sono state individuate un totale di 54 famiglie di malware. Tra queste, il 78% rientrante nella categoria Infostealer (AgentTesla è il primo della lista, a seguito da FormBook e Ursnif). Gli Infostealer sono un tipo di malware progettato per rubare password e altre informazioni dagli account. I cyber attaccanti estraggonopassword memorizzate sui browser sia analizzando i file di cache e sia trafugando i cookie. I dati raccolti dai trojan sono solitamente inviati al server di comando.
Gli Infostealer rappresentano il rischio più preoccupante quando si salvano le password sul browser. Infatti, il problema dei browser principali (come Google Chrome, Mozilla Firefox e Microsoft Edge) è che spesso salvano le password in una cartella il cui percorso può essere noto a tutti. Anche se queste password vengono criptate, la chiave di criptazione può essere memorizzata in una posizione non troppo distante, facilitando l’accesso non autorizzato e la decodifica da parte di malintenzionati.
- Per saperne di più > Anatomia di Agent Tesla, lo spyware più diffuso in Italia nel 2023
- Per saperne di più > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia
2. Chiunque si siederà al tuo PC potrà accedere alle tue password
Se lasci il computer sbloccato, un famigliare o collega di lavoro potrebbe entrare in tutti i tuoi account in cui hai memorizzato la password. Inoltre, chiunque abbia accesso al computer potrebbe decidere di reperire uno script per l’esfiltrazione delle password memorizzate per trasferire i dati dal tuo computer a un altro dispositivo. Non serve essere un hacker esperto: lo script si trova facilmente online ed è accessibile a chiunque.
3. Tutti i browser sono vulnerabili
Va sottolineato che salvare le password sui browser non è mai sicuro, qualunque questo sia. Questo perché, nonostante siano continuamente soggetti a patch e aggiornamenti, presentano comunque vulnerabilità che potrebbero essere sfruttate da attaccanti per ottenere accesso alle informazioni, inclusi i dati delle password.
In un report del 2022, AtlasVPN ha stilato una classifica dei report più vulnerabili. Secondo il report, Chrome risulta essere il più vulnerabile. Da gennaio a ottobre 2022 sono state individuate ben 303 vulnerabilità. Seguono Firefox e Edge, con 117 e 103 vulnerabilità rispettivamente. Tra i browser più virtuosi troviamo invece Safari e soprattutto Opera.
Per approfondire > Web Browser: la classifica dei più vulnerabili
Non solo: lo scorso anno i ricercatori di sicurezza hanno lanciato un allarme che, per i più, risuonerà piuttosto strano. Una vulnerabilità di sicurezza ha messo a repentaglio le password salvate sui propri browser dagli utenti di Chrome e Edge. Come? A causa del correttore ortografico!
Tenere le password al sicuro: qualche consiglio (pratico!)
Insomma, salvare le password nei propri browser è indubbiamente comodo, ma non sicuro! Ecco qui qualche consiglio per la sicurezza delle password!
- Non salvare le password in un file: un malware che violi il tuo dispositivo, avrà facilmente accesso a quel file, soprattutto nel caso di keylogger o Remote Access trojan.
- Usa password uniche: riutilizzare la stessa password per più account è una pessima idea! Basta che un cyber attaccante violi uno degli account con password “riciclata” perché possa avere accesso a tutti gli altri!
- Non condividere le password: né via chat né via email. Se un cyber attaccante riesce ad avere accesso ad un dispositivo, è molto probabile che vada subito a cercare email e il uso contenuto.
- Usa password complesse: si è faticoso, ma è un dato di fatto; le password sicure sono lunghe almeno 8 caratteri casuali, contengono numeri, lettere e caratteri speciali. Solo così si può rendere complessa la vita ad un cyber attaccante: avrà difficoltà sia ad eseguire attacchi di brute force sia a ricostruirle magari sfruttando informazioni pubbliche.
- Utilizza un password manager: questa è la soluzione definitiva! Un password manager è capace di creare e memorizzare password complesse (quindi sicure) e di inserirle per te sui siti e account: non dovrai ricordare tutte le password, ma una sola! Non solo: i password manager salvano le password in forma criptata, quindi più sicura!
Sticky Password: una sola password, zero pensieri
Qualche tempo fa abbiamo annunciato la distribuzione di una nuova soluzione per la gestione e sicurezza delle password: infatti, nel vasto panorama dei password manager, abbiamo scelto Sticky Password perché offre un servizio semplice, alla portata di tutti, comodo, sicuro e molto conveniente.
Con la stessa comodità dei gestori dei browser, Sticky Password ricorda tutte le tue password. A differenza dei browser, però, Sticky Password mette la sicurezza al primo posto.
Ti basterà ricordare un’unica password (Password Master, che non sarà salvata da nessuna parte e che saprai solo tu) per controllarle tutte! Sticky Password si occuperà di inserire tutte le chiavi nei tuoi account. Le password sono estremamente sicure perché utilizzano l’algoritmo AES-256, lo standard di criptazione più avanzato.
Grazie a ciò, anche se qualche hacker riuscisse ad infiltrarsi nel computer, non potrà rubare nulla.
Un altro vantaggio del gestore di password Sticky Password è che, grazie alla funzionalità di sincronizzazione sicura potrai sincronizzare i dati su tutti i browser e dispositivi, mentre salvando le password sul browser, queste funzioneranno solo su quel browser specifico.
Vuoi saperne di più?
