Luca Annunziata

Cambia tutte le password in un colpo solo

Oltreoceano si moltiplicano i servizi che promettono di eliminare il fastidio di dover cambiare e ricordare tutte le credenziali d'accesso. La soluzione potrebbe anche risiedere in un dispositivo hardware

Roma - Cambiare una password soltanto, ricordare solo quella, vivere felici e sicuri. Con un tempismo proverbiale, nelle stesse ore due servizi di password management hanno annunciato un nuovo sistema per il cambio automatico e periodico delle proprie credenziali d'accesso su un gran numero di siti in contemporanea. Dashlane e LastPass sono due startup che, con due metodi differenti, promettono di semplificare la vita al navigatore: anche automatizzando quello che in realtà è di solito un compito lungo e tedioso.

Ciò che hanno annunciato entrambi i servizi è un meccanismo per aggiornare automaticamente le password di tutta una serie di siti con un singolo clic. Di base tutti questi password manager funzionano sull'assunto che la vera chiave della propria sicurezza risieda nella password per accedere al proprio account su di essi, grazie alla quale si sblocca il software presente su molte piattaforme desktop e mobile (Windows, OS X, Android, iOS ecc). Una volta aperto quel lucchetto non resta che lasciar fare al software: a ogni accesso a un nuovo sito chiederà se si desidera memorizzare la password per poi richiamarla in seguito, a ogni nuova iscrizione si può anche chiedere consiglio per generare una password complessa formata da caratteri speciali e non facilmente memorizzabile (o prevedibile).

La vera novità di queste ore è l'introduzione di un singolo pulsante per modificare tutte le password senza dover visitare ciascun sito: si clicca e sarà il cloud abbinato a questi servizi a prendersi la briga di collegarsi ai siti interessati, effettuare il login (in taluni casi sarà possibile addirittura gestire la autenticazione doppio fattore senza intervento umano), cambiare la password, infine memorizzare la nuova nel proprio elenco protetto. Dashlane in più promette anche che prossimamente sarà possibile ruotare le password a scadenze fissate: ogni 30 giorni, per esempio, tutte saranno aggiornate senza che nessuno se ne debba neppure ricordare, in maniera tale che anche nel caso in qualche modo le vecchie credenziale vengano intercettate le nuove le soppiantino. I siti su cui Password Changer è attivo sono quasi tutti per il pubblico USA, segno che per i domini europei e di altre nazionalità occorrerà attendere del tempo: si tratta comunque, a detta di Dashlane, di una lista provvisoria e in continuo aggiornamento.
Il risultato identico è stato ottenuto in modo diverso: Dashlane ha appena completato l'acquisizione di un altra startup (PassOmatic) la cui tecnologia aveva la peculiarità di consentire proprio il cambio delle password in automatico. LastPass di fatto ha annunciato proprio la stessa tecnologia, messa in piedi però da sola negli scorsi mesi (e anche il numero di siti compresi coincide, segno che si tratta di un protocollo che sta venendo messo in piedi per essere compatibile con tutti i servizi di questo tipo), dovendo però (per ora) fare i conti con la mancanza delle scadenze fissate per il cambio automatico. Nel caso di Dashlane, infine, Password Changer è compreso solo nell'abbonamento premium da 40 dollari l'anno, mentre LastPass dovrebbe consentire di effettuare il cambio automatico con 1 clic anche nella variante gratuita del servizio.

L'alternativa ai password manager è la presenza di una verifica fisica: Google, Samsung, PayPal, Qualcomm, Blackberry e altre aziende si sono riunite in un consorzio denominato FIDO, che ha appena rilasciato come open standard la release 1.0 del proprio protocollo di autenticazione. Grazie a a queste specifiche sarà possibile utilizzare anche dispositivi già in circolazione, come ad esempio il lettore di impronte su iPhone e iPad, per approfittare delle chiavi biometriche come secondo livello di sicurezza dei propri account, oppure si potrà optare per chiavi fisiche da tenere con sé e inserire di volta in volta nel device in uso (tramite per esempio la porta USB) per validare le proprie credenziali. Come nel caso precedente, l'obiettivo finale è ridurre al minimo il numero dei casi nei quali sarà necessario digitare una password: senza che però questo influisca sulla complessità generale e la sicurezza dei servizi utilizzati.

Luca Annunziata
21 Commenti alla Notizia Cambia tutte le password in un colpo solo
Ordina
  • Ecco quello che sappiamo fare meglio in Italia: criticare.
    Lamentarci delle innovazioni, sospettare che ci sia lo zampino di qualche spione. Meglio andare avanti con le password scritte sul post-it, o usare la stessa password ovunque, vero? Ma perché non la smettete di lamentarvi e non vi informate su dati scientifici prima di sparare cavolate? Questi servizi criptano le password, e la chiave per decrittarli la conservate voi, e la inviate a loro, via https, e solo così si decrittano le password. Se un servizio mi permette di avere password diverse sui vari siti, questo mi fa guadagnare una sicurezza non misurabile, perché anche se un hacker ne viola uno, non può entrare a nome mio negli altri, e questo non potrei mai farlo ricordandole tutte a memoria, e se posso cambiare le password dei siti senza doverci entrare, è tutto tempo guadagnato.
    Ok, adesso cambiate a mano le vostre 100 password e poi scrivetele tutte su degli affidabilissimi post-it.
  • Quasi... non è esattamente così (per i criticoni... prendetevi la briga di andare a leggere le specifiche, prima di criticare). Semplificando un po', il sistema prevede semplicemente la generazione durante la registrazione IN LOCALE di una coppia di chiavi pubblica-privata; la chiave pubblica viene poi inviata e memorizzata nel cloud. All'atto dell'autenticazione, dopo l'eventuale login con classica coppia user-password, il sito invia un token casuale che verrà crittato IN LOCALE con la propria chiave privata e restituito. A questo punto il sito potrà verificare il token restituito usando la chiave pubblica associata allo user e, se corretto, consentire l'accesso. Classico meccanismo a chiave pubblica...
    non+autenticato
  • - Scritto da: SirJo
    > Quasi... non è esattamente così (per i
    > criticoni... prendetevi la briga di andare a
    > leggere le specifiche, prima di criticare).
    > ...

    Scusate... non mi riferivo a tutto l'articolo, ma solamente all'ultimo paragrafo, ovvero a quanto previsto dal consorzio FIDO (Google, Samsung, PayPal, Qualcomm, Blackberry e altre aziende); spero di questo si stesse parlando, altrimenti... come non detto. Sorride
    non+autenticato
  • - Scritto da: webguide

    > Ok, adesso cambiate a mano le vostre 100 password
    > e poi scrivetele tutte su degli affidabilissimi
    > post-it.

    La sicurezza è da sempre inversamente proporzionale alla comodità, lo sanno anche i tordi.
    Ovviamente nessuno ti può impedire di fare la tua scelta comoda e fare la figura dell'uccelletto di cui sopra.
    non+autenticato
  • - Scritto da: webguide

    > Ok, adesso cambiate a mano le vostre 100 password
    > e poi scrivetele tutte su degli affidabilissimi
    > post-it.

    Antiquato, la gente oggi usa i file excel, guarda:
    https://www.google.it/search?q=filetype:xls+passwo...
    non+autenticato
  • - Scritto da: webguide
    > Ecco quello che sappiamo fare meglio in Italia:
    > criticare.
    > Lamentarci delle innovazioni, sospettare che ci
    > sia lo zampino di qualche spione. Meglio andare
    > avanti con le password scritte sul post-it, o
    > usare la stessa password ovunque, vero? Ma perché
    > non la smettete di lamentarvi e non vi informate
    > su dati scientifici prima di sparare cavolate?
    > Questi servizi criptano le password, e la chiave
    > per decrittarli la conservate voi, e la inviate a
    > loro, via https, e solo così si decrittano le
    > password. Se un servizio mi permette di avere
    > password diverse sui vari siti, questo mi fa
    > guadagnare una sicurezza non misurabile, perché
    > anche se un hacker ne viola uno, non può entrare
    > a nome mio negli altri, e questo non potrei mai
    > farlo ricordandole tutte a memoria, e se posso
    > cambiare le password dei siti senza doverci
    > entrare, è tutto tempo
    > guadagnato.
    > Ok, adesso cambiate a mano le vostre 100 password
    > e poi scrivetele tutte su degli affidabilissimi
    > post-it.

    Tutto risiede nella fiducia che quel servizio non contenga backdoor per la NSA.
    Se il servizio risiede negli USA si ha la *certezza* che, alla bisogna, potrà essere obbligato dalla NSA a fornire l'accesso.

    tutte le altre considerazioni decadono.

    Unica soluzione se vuoi un servizio simile: fattelo da te con software open source, sviluppato fuori dagli USA e hardware casalingo.
    Funz
    12995
  • - Scritto da: Funz
    > - Scritto da: webguide
    > > Ecco quello che sappiamo fare meglio in
    > Italia:
    > > criticare.
    > > Lamentarci delle innovazioni, sospettare che
    > ci
    > > sia lo zampino di qualche spione. Meglio
    > andare
    > > avanti con le password scritte sul post-it, o
    > > usare la stessa password ovunque, vero? Ma
    > perché
    > > non la smettete di lamentarvi e non vi
    > informate
    > > su dati scientifici prima di sparare
    > cavolate?
    > > Questi servizi criptano le password, e la
    > chiave
    > > per decrittarli la conservate voi, e la
    > inviate
    > a
    > > loro, via https, e solo così si decrittano le
    > > password. Se un servizio mi permette di avere
    > > password diverse sui vari siti, questo mi fa
    > > guadagnare una sicurezza non misurabile,
    > perché
    > > anche se un hacker ne viola uno, non può
    > entrare
    > > a nome mio negli altri, e questo non potrei
    > mai
    > > farlo ricordandole tutte a memoria, e se
    > posso
    > > cambiare le password dei siti senza doverci
    > > entrare, è tutto tempo
    > > guadagnato.
    > > Ok, adesso cambiate a mano le vostre 100
    > password
    > > e poi scrivetele tutte su degli
    > affidabilissimi
    > > post-it.
    >
    > Tutto risiede nella fiducia che quel servizio non
    > contenga backdoor per la
    > NSA.
    > Se il servizio risiede negli USA si ha la
    > *certezza* che, alla bisogna, potrà essere
    > obbligato dalla NSA a fornire
    > l'accesso.
    >
    > tutte le altre considerazioni decadono.
    >
    > Unica soluzione se vuoi un servizio simile:
    > fattelo da te con software open source,
    > sviluppato fuori dagli USA e hardware
    > casalingo

    Hardware casalingo? E cioè fatto in casa? Sai costruire un microprocessore in casa tu? Rotola dal ridere
    non+autenticato
  • ...per carpire le password della gente. Questi poi fanno le cose in grande, per carpirle tutte in colpo solo.
    E i tonti ci cascano, basta la parola magica: "gratis".
    ruppolo
    33147
  • - Scritto da: ruppolo
    > ...per carpire le password della gente. Questi
    > poi fanno le cose in grande, per carpirle tutte
    > in colpo
    > solo.
    > E i tonti ci cascano, basta la parola magica:
    > "gratis".

    Pensa invece a tutti quegli altri fessi che hanno fatto altrettanto, pagando pure di tasca loro.
  • Dimostralo o é la solita balla.
  • - Scritto da: ruppolo
    > ...per carpire le password della gente. Questi
    > poi fanno le cose in grande, per carpirle tutte
    > in colpo
    > solo.
    > E i tonti ci cascano, basta la parola magica:
    > "gratis".

    E pensa che c'è pure chi crede che gli enormi interessi che esistono per violare la privacy si possano colmare pagando qualche euro Rotola dal ridere
    non+autenticato
  • - Scritto da: ruppolo
    > ...per carpire le password della gente. Questi
    > poi fanno le cose in grande, per carpirle tutte
    > in colpo
    > solo.
    > E i tonti ci cascano, basta la parola magica:
    > "gratis".

    Io uso per molte password il servizio Portachiavi iCloud http://support.apple.com/it-it/HT5813 e presenta lo stesso problema. Per altre password uso sistemi più sicuri ma più scomodi.
    L’importante è essere consapevoli del compromesso comodità - sicurezza se si sceglie di usare queste modalità.
    Teo_
    2645
  • - Scritto da: Teo_
    > - Scritto da: ruppolo
    > > ...per carpire le password della gente.
    > Questi
    > > poi fanno le cose in grande, per carpirle
    > tutte
    > > in colpo
    > > solo.
    > > E i tonti ci cascano, basta la parola magica:
    > > "gratis".
    >
    > Io uso per molte password il servizio Portachiavi
    > iCloud http://support.apple.com/it-it/HT5813 e
    > presenta lo stesso problema. Per altre password
    > uso sistemi più sicuri ma più
    > scomodi.
    > L’importante è essere consapevoli del compromesso
    > comodità - sicurezza se si sceglie di usare
    > queste
    > modalità.

    Certo che siamo consapevoli.
    Con questa modalita' la sicurezza e' zero.
    E' quasi piu' sicuro usare account senza password che mettere la password li' dentro ed immensamente piu' comodo.
  • - Scritto da: panda rossa
    > - Scritto da: Teo_
    > > - Scritto da: ruppolo
    > > > ...per carpire le password della gente.
    > > Questi
    > > > poi fanno le cose in grande, per
    > carpirle
    > > tutte
    > > > in colpo
    > > > solo.
    > > > E i tonti ci cascano, basta la parola
    > magica:
    > > > "gratis".
    > >
    > > Io uso per molte password il servizio
    > Portachiavi
    > > iCloud http://support.apple.com/it-it/HT5813
    > e
    > > presenta lo stesso problema. Per altre
    > password
    > > uso sistemi più sicuri ma più
    > > scomodi.
    > > L’importante è essere consapevoli del
    > compromesso
    > > comodità - sicurezza se si sceglie di usare
    > > queste
    > > modalità.
    >
    > Certo che siamo consapevoli.
    > Con questa modalita' la sicurezza e' zero.
    > E' quasi piu' sicuro usare account senza password
    > che mettere la password li' dentro ed
    > immensamente piu'
    > comodo.

    No.
    Teo_
    2645
  • per la nsa. Così ha tutte le coppie account/password degli iscritti comodamente nello stesso posto.
    non+autenticato
  • - Scritto da: o0k
    > per la nsa. Così ha tutte le coppie
    > account/password degli iscritti comodamente nello
    > stesso
    > posto.


    Eh si, l'nsa é proprio dappertutto.

    Clicca per vedere le dimensioni originali
    non+autenticato
  • - Scritto da: gombloddo

    > Eh si, l'nsa é proprio dappertutto.


    dappertutto no, ma dove si concentrano dati di quel genere sicuramente.
    non+autenticato
  • - Scritto da: gombloddo
    > - Scritto da: o0k
    > > per la nsa. Così ha tutte le coppie
    > > account/password degli iscritti comodamente
    > nello
    > > stesso
    > > posto.
    >
    >
    > Eh si, l'nsa é proprio dappertutto.

    lì dentro si, è poco ma sicuro.
    Funz
    12995
  • già c'è un nuovo algoritmo il HWDA.
    "HotWaterDiscoveryAlgoritm" software patent nr. xxxyyyzzzzzzz.
    Rotola dal ridereRotola dal ridere
  • WOW il cloud che gestisce le mie password un idea geniale...
    aspetta che la scrivo subito tra i servizi da non usare -.-
  • bisogna vedere se e quanto puoi "non usare" alcune cose.
    Secondo te lo SPID (a parte nome e acronimo) che cosa è?

    http://punto-informatico.it/4202309/PI/News/identi...

    aka "DECRETO CM 24 ottobre 2014"
    A volte non è il nome ma la sostanza che bisognerebbe guardare che la "credenziale" si chiami "SPID" e il "cloud" sia la PA fa davvero grande differenza?
    Mah....
    ai posteri l'ardua sentenza....