Test dei Password Manager: 14 Provider a Confronto
Il numero di account online è in costante crescita, dalla posta elettronica alle varie piattaforme di acquisto e ai servizi di streaming. Per comodità, molti utenti utilizzano gli stessi dati di accesso per ogni servizio online: l'indirizzo e-mail e una password facile da ricordare. Questo semplifica la vita ai ladri di dati: violando un account hanno accesso a tutti gli altri gratuitamente. Con un gestore di password, puoi impedirlo utilizzando una password diversa per ogni servizio online. Abbiamo testato 14 fornitori.
Il numero di account online è in costante crescita, dalla posta elettronica alle varie piattaforme di shopping ai servizi di streaming. Per comodità, molti utenti utilizzano gli stessi dati di accesso per ogni servizio online: l'indirizzo e-mail e una password facile da ricordare. Questo semplifica la vita ai ladri di dati: violando un account hanno accesso a tutti gli altri gratuitamente. Con un gestore di password, puoi impedirlo utilizzando una password diversa per ogni servizio online.
È molto facile determinare se qualcuno dei servizi che utilizzi è già stato vittima di un simile attacco. Esistono numerosi siti web che gestiscono database di grandi dimensioni. Due dei più noti sono "Have I Been Pwned", gestito dall'esperto di sicurezza Troy Hunt, e Identity Leak Checker dell'Hasso Plattner Institute. Nei due database troverai rispettivamente 5,7 e 5,9 miliardi di account violati.
Se i dati del tuo account sono già stati rubati, lo puoi scoprire su piattaforme come "Have I Been Pwned" o con "Identity Leak Checker".
Con “Have I Been Pwned” puoi vedere direttamente sul sito se il tuo indirizzo e-mail compare nel database, con l'HPI riceverai direttamente un messaggio se il tuo account risulta nel database.
Cinque buone ragioni per usare un Password Manager
Ovviamente, neanche un gestore di password è in grado di impedire che gli account vengano hackerati, ma limita il rischio. Attraverso un uso mirato, puoi migliori la tua sicurezza online:
Ogni servizio online è associato con una propria password sicura
Le password possono essere modificate regolarmente con poco sforzo
Devi solo ricordare una password principale
Account e credenziali vengono archiviati centralmente e sono disponibili su tutti i dispositivi
I dati di login vengono inseriti automaticamente
Una volta impostato, il password manager si occupa della maggior parte delle attività in background.
Test dei Password Manager
La gamma di gestori di password è ampia e, sebbene il principio di base sia lo stesso per tutti, questi programmi differiscono notevolmente l'uno dall'altro. Per fornire una panoramica sul mercato, abbiamo esaminato più da vicino 14 fornitori. Di seguito ti presentiamo i nostri preferiti e il pacchetto con miglior rapporto qualità prezzo.
Vincitore del test: Dashlane
Eleggere Dashlane a vincitore del test non è stata una decisione difficile. Nella versione a pagamento, questo premium password manager fa semplicemente tutto un po' meglio della concorrenza. La configurazione è semplice, l'applicazione desktop è agile e intuitiva e le funzionalità abbondano. Dashlane si distingue dagli altri programmi soprattutto con il pratico password changer, che modifica automaticamente le password deboli. Il pacchetto ore include anche una VPN.
Quanto a riempimento automatico Dashlane non è perfetto, ma nessuno dei programmi testati finora lo è, di norma però è estremamente affidabile. C'è anche un'ottima estensione per il browser che completa meravigliosamente il client principale.
Il prezzo premium di Dashlane è leggermente superiore alla media, ma è ragionevole considerate le caratteristiche. Esiste anche una versione gratuita, che tuttavia è adatta solo come prova in quanto limita a 50 il numero di password salvate e non consente la sincronizzazione.
Nella versione a pagamento, Dashlane offre il miglior pacchetto d'insieme nella confezione più bella ed è quindi la nostra prima scelta.
Miglior rapporto qualità-prezzo: Sticky Password
Sticky Password non è un granché esteticamente, soprattutto in confronto al nostro brillante vincitore del test, ma coloro che non si lasciano scoraggiare dall'interfaccia un po' antiquata saranno ricompensati con un password manager estremamente efficiente. Sebbene nel solido pacchetto di funzioni non ci sia un password changer, si può comunque contare su tutto ciò che è essenziale, dal riempimento automatico al generatore di password.
Siamo rimasti sorpresi dalla "versione portatile" con la quale puoi trasferire i dati del tuo Sticky Password su un dispositivo di memoria USB esterno e trasformarlo in una mini cassaforte di password.
Un po' meno ci è piaciuta l'estensione per browser che rimanda le attività più complesse al client principale. In linea di principio, non è affatto male, ma la creazione di password, ad esempio, potrebbe avvenire anche nell'estensione, e anche in maniera user-friendly, come dimostrano molti altri programmi. In compenso Sticky Password supporta più browser di praticamente qualsiasi altro programma, cosa che renderà felici gli utenti di Comodo Dragon o Yandex.
Sticky Password non è perfetto, ma convince con un solido pacchetto di funzionalità e l'utilizzo user-friendly a un prezzo premium relativamente basso.
Risultato del test
I vincitori del nostro test fanno alcune cose molto bene e si distinguono dalla massa nelle loro categorie. Tuttavia, ciò non significa che siano necessariamente i migliori programmi per le tue esigenze individuali. La tabella seguente offre una panoramica dei risultati del test per tutti i password manager presi in esame.
Come funziona un Password Manager
Ogni password manager funziona con un database crittografato e centralizzato, su un dispositivo o sul cloud. Utilizzando una master password, puoi aprire il database e avere accesso a tutte le voci.
A seconda della soluzione, esistono estensioni del browser o app mobili che si occupano di creare nuovi account, aggiornare le voci e accedere al servizio per te.
L'estensione del browser - qui da LastPass - rappresenta la connessione tra il tuo password manager e il sito web.
Nelle sezioni seguenti troverete maggiori informazioni sulle singole funzioni che sono disponibili con i vari password manager.
Il tuo database centrale viene protetto con una sola password. I servizi basati su cloud offrono un'interfaccia web attraverso la quale è possibile gestire i dati. Per questo è particolarmente importante scegliere una password sicura. L'Ufficio Federale Tedesco per la Sicurezza dell'Informazione (Bundesamt für Sicherheit in der Informationstechnik) ha pubblicato una buona guida al riguardo. Di seguito abbiamo riassunto i punti più importanti:
La password dovrebbe essere facile da ricordare.
La lunghezza della password dovrebbe essere di almeno otto caratteri. In generale, più lunga è, meglio è.
Dovrebbe essere costituita da una combinazione di numeri, lettere maiuscole e minuscole e caratteri speciali.
La password non dovrebbe essere una parola che si trova nel dizionario.
Evita cifre o caratteri speciali prima o dopo una parola.
Le password più importanti dovrebbero essere modificate periodicamente.
Ulteriori informazioni possono essere trovate nella nostra guida "Password sicura". Per controllare la tua password, puoi utilizzare il nostro Password Check. Se prendi in considerazione questi consigli quando crei la tua master password, il tuo database sarà protetto al meglio.
Importazione di password
Se stai già utilizzando un password manager ma non sei soddisfatto, i dati possono essere importati con la maggior parte dei programmi senza problemi. LastPass, ad esempio, ti offre un comoda funzione di importazione. Quest'ultimo ti offre la possibilità di importare nomi utente e password in quasi 40 formati diversi. Ciò significa che è possibile apportare una modifica rapidamente e senza problemi.
La maggior parte delle piattaforme offrono una funzione di importazione che permette di importare facilmente e velocemente le password.
Integrazione nel browser
Dopo aver acquisito i vecchi dati, il passaggio successivo consiste nell'integrare il password manager. Cosa che può essere facilmente fatta con tramite un'estensione per browser. Non appena si apre una pagina di login, il password manager invierà una notifica e i dati di login verranno automaticamente inseriti negli appositi campi.
Il password manager identifica automaticamente il sito Web e riempie automaticamente i campi con i relativi dati di login, se disponibili.
Molti provider, come LastPass, riconoscono anche quando hai creato un nuovo account o hai cambiato la password per uno già esistente. In questo caso riceverai un messaggio e potrai trasferire automaticamente il nuovo account nel tuo database.
Se nonostante tutto il password manager non riesce a trovare i dati corretti, hai comunque la possibilità di cercarli manualmente. I vari programmi offrono una funzionalità di ricerca, che permette di cercare con il nome del sito web, l'URL o il nome utente. Il risultato sarà un elenco di piattaforme: i password manager come LastPass creano un collegamento dopo l'assegnazione manuale e lo ricordano per la prossima volta.
Utilizzo su dispositivi mobili
Almeno tanto importante quanto l'utilizzo del password manager su browser è l'utilizzo su smartphone e tablet. La maggior parte dei password manager supporta le due piattaforme principali, Android e iOS.
Su Android, le app vengono eseguite in modo permanente in background e si aprono non appena accedi a un'app mostrando gli account disponibili. A questo punto puoi selezionare l'account con il quale desideri accedere e il password manager compilerà automaticamente i campi. Per completare l'accesso non ti resta che fare clic sul pulsante di login.
Anche su Andorid e iOS i password manager ti assistono nella gestione dei login inserendo automaticamente i dati dell'account nelle app.
Anche con iOS i password manager funzionano senza problemi a partire dalla versione iOS 12. Non appena si arriva a inserire i dati di login, vedrai i nomi utenti e password salvati per l'app sopra la tastiera. Ti basterà selezionare quello con cui desideri accedere. Affinché funzioni, è necessario prima impostare il password manager utilizzato in iOS 12 nelle impostazioni alla voce "Password e account / Riempimento automatico".
Apple ha notevolmente migliorato il supporto per i password manager in iOS 12, infatti ora è possibile specificare il database da cui devono essere selezionati i dati di accesso.
Autenticazione a due fattori
L'accesso al database delle password è attualmente protetto da una password (si spera sicura). Se un hacker ottiene questa password, ha accesso a tutti i tuoi account. Per questa ragione consigliamo di proteggere sempre il tuo database con una seconda password. Non preoccuparti, non dovrai ricordarla.
In caso di autenticazione a due fattori (2FA), accedi come al solito con il tuo nome utente e password. Successivamente, però, è richiesto un codice valido solo temporaneamente, che viene generato da un'app come Google Authenticator ed è valido per un breve periodo, di solito 30 secondi.
L'attivazione della 2FA e il collegamento del proprio account con l'app avviene nelle impostazioni della piattaforma che si sta usando. Puoi vedere quale piattaforma supporta questa importante funzione di sicurezza selezionando nel campo di scelta l'opzione “Autenticazione a 2 fattori”.
È meglio proteggere l'accesso al tuo password manager con l'autenticazione a due fattori, in questo modo per l'accesso sarà necessario un codice monouso aggiuntivo.
Riempimento automatico
Quando ti registri per un servizio su Internet, vengono richieste sempre le stesse informazioni: nome, indirizzo, email e ogni volta bisogna inserire tutti i dati.
Per questo ti viene in aiuto la funzione di riempimento automatico che salva tutti i dati rilevanti di un profilo nel password manager.
Con la funzione di riempimento automatico, la registrazione successiva a un servizio online richiede solo pochi secondi.
Al successivo login basta selezionare il profilo che hai creato in precedenza e la funzione di riempimento automatico inserirà automaticamente tutti i dati negli appositi campi.
Su molte piattaforme è possibile memorizzare diversi indirizzi, ad esempio l'indirizzo privato e quello aziendale. In casi come questi, la funzione di riempimento automatico mostra diversi profili tra cui scegliere quando si immettono i dati.
Puoi anche utilizzare diversi profili, ad esempio uno privato e uno aziendale, e memorizzare dati diversi.
Gestione di altri dati
Oltre a memorizzare le password e compilare automaticamente i moduli, la maggior parte dei password manager offre anche la possibilità di memorizzare altri dati strutturati.
Oltre a memorizzare le password, molti servizi offrono la possibilità di memorizzare altre informazioni di accesso a database o server.
LastPass ad esempio permette di memorizzare degli appunti. Sono disponibili vari moduli, come quello per i dati d'accesso ai database, per i server o i dati del passaporto.
I dati memorizzati non possono essere inseriti automaticamente nei moduli, ma si può effettuare una ricerca nel contenuto degli appunti.
Cambiare le password
Se modifichi una password per un sito, il plug-in del browser generalmente la riconosce automaticamente. Dopo aver inserito la nuova password, riceverai un messaggio dal password manager che chiede se deve aggiornare la password modificata. Dopo aver confermato, la nuova voce verrà salvata nel database.
Sicurezza: algoritmi di codifica
Un punto importante per quanto riguarda la sicurezza dei dati memorizzati è l'algoritmo di codifica e il modo in cui viene implementata la crittografia.
Solitamente viene utilizzata l'AES a 256 bit. Questa è attualmente la lunghezza della chiave massima ed è considerata sicura. AES-192 e AES-256 sono approvati negli Stati Uniti per la crittografia di documenti governativi con il massimo livello di sicurezza.
Al momento della registrazione, viene generata una chiave individuale a partire dal tuo indirizzo e-mail e dalla tua master password. Questa viene quindi utilizzata, in alcuni casi in combinazione con la chiave monouso del 2FA, per criptare e decriptare il database delle password.
Oltre all'algoritmo di codifica, è importante anche dove vengono criptati i dati.
Crittografia a conoscenza zero: cosa sa il provider?
Questo tipo di crittografia avviene localmente sul tuo dispositivo tramite la tua master password. Ciò significa che nessuno tranne te può controllare le tue password. Ciò vale anche per il provider.
Per garantire ciò, ovviamente la master password non deve essere inviata al server del provider.
Con questa procedura, nota anche come crittografia a conoscenza zero, i provider garantiscono la sicurezza dei tuoi dati. Ciò significa che nessuno ha la possibilità di decriptare i dati memorizzati, anche se ha accesso al server del provider.
Per te però, questo significa anche che perdendo la master password, i tuoi dati non possono essere ripristinati. Tuttavia la maggior parte dei provider prevede a tal proposito uno o più piani di emergenza: un promemoria per la password, un indirizzo o un numero di telefono per reimpostare la password o un accesso di emergenza per persone fidate.
Puoi vedere quali servizi supportano le due funzioni Zero-Knowledge Encryption e Contatti di emergenza tramite l'elenco delle funzionalità nella nostra ampia comparazione di vari password manager.
Archiviazione locale o su cloud
Nonostante tutte le misure di sicurezza, molti utenti sono ancora diffidenti nei confronti dei servizi cloud. Alla fine, consegni i tuoi dati e nella maggior parte dei casi li salvi su server esteri che seguono normative estere sulla protezione dei dati.
Ti consigliamo quindi di selezionare solo un servizio cloud che ti garantisca la crittografia a conoscenza zero.
Se un password manager supporta la crittografia a conoscenza zero, solo tu con la master password hai accesso ai dati.
Se, nonostante tutto, non sei convinto della sicurezza dei tuoi dati sul cloud, abbiamo compilato per te una lista di password manager che ti permettono di gestire tu stesso il database e salvarlo in locale. Con questi, ovviamente, non è possibile per più dispositivi avere accesso completo a un database centrale, poiché si trova su uno dei tuoi dispositivi: computer, tablet o smartphone.
Nella nostra panoramica dei provider troverai anche servizi come RoboForm, che memorizzano e crittografano i tuoi dati solo in un database locale.
Condividere le password con altri
Se archivi i tuoi dati nel cloud, avrai a tua diposizione altre utili funzioni. Oltre a sincronizzare i dati su tutti i tuoi dispositivi, puoi anche condividere password con altri o persino lavorare in team con password condivise.
Per condividere le password, va creata una cartella e resa accessibile a più persone. Con LastPass, puoi farlo utilizzando la funzione "Cartelle condivise" e quindi aggiungendo le password e le relative autorizzazioni.
Molti servizi offrono anche la possibilità di condividere i dati di accesso, ad esempio per l'accesso ai servizi di streaming.
Con questa funzione puoi, ad esempio, gestire l'account famiglia dei tuoi servizi di streaming oppure gestire l'account condiviso delle piattaforme online su cui fai acquisti.
Se stai cercando specificamente un servizio del genere, attiva l'opzione "Condivisione password" all'interno delle funzionalità.
Numerosi fornitori offrono la propria versione per team da utilizzare nelle attività aziendali. In molti reparti informatici, i dati di accesso per server, switch e firewall sono ancora salvati in un file Excel. Questo metodo non è sicuro e non permette di regolamentare le autorizzazioni per accedervi. Le versioni team consentono di controllare chi ha accesso alle singole password. Inoltre, è possibile impostare controlli di sicurezza per controllare l'uso delle password.
Se stai cercando un password manager con questa versione specifica, attiva la funzione "Team" nella ricerca.
Altre caratteristiche distintive
Ormai conosci le proprietà più importanti di un moderno password manager. Quando si tratta di licenze, i provider prendono strade diverse. Molti password manager possono essere installati e utilizzati su un numero a scelta di dispositivi. Tuttavia, alcuni limitano il numero di dispositivi. Abbiamo aggiunto una panoramica delle funzionalità disponibili in ciascun tipo di contratto.
Un altro criterio è il numero di password che puoi gestire con il password manager. Nella maggior parte dei casi è illimitato. Tuttavia, ci sono alcune restrizioni, soprattutto con le versioni gratuite. Ecco perché abbiamo aggiunto una voce nella panoramica delle funzionalità in cui è specificato il numero di password che possono essere gestite.
Conclusioni
Riteniamo che un password manager sia essenziale per l'archiviazione sicura dei tuoi account online. Anche se un hacker riuscisse a violare uno dei tuoi account, non avrà automaticamente accesso anche agli altri.
Grazie alle password generate automaticamente, inoltre, non è un problema assegnare rapidamente e facilmente una password complessa a ciascun servizio.
Dato che alla fine devi ricordare solo la master password, la complessità delle altre password non ha più importanza e può essere facilmente impostata su 20 caratteri: integrando naturalmente caratteri speciali e lettere maiuscole e minuscole.
Puoi capire quale servizio è quello giusto per te utilizzando il nostro calcolatore per il confronto. Poiché la maggior parte dei password manager offre un periodo di prova gratuito, alla fine non corri alcun rischio. Se non lo trovi pratico, puoi provarne un altro.
FAQ
Un password manager memorizza e gestisce tutte le tue password in forma crittografata e ti dà accesso a tutti gli account che salvi con un'unica master password. Genera automaticamente nuove password per renderle il più sicure possibile. Inoltre, i password manager di solito hanno funzioni di sicurezza aggiuntive e consentono anche di salvare altri dati e informazioni, dalle carte di credito, ai documenti, ai certificati.
L'utilizzo di un password manager ha senso perché combina comodità e sicurezza. Assicura che ciascuno dei tuoi account sia protetto con una password separata generata automaticamente. Se anche qualcuno dovesse impossessarsi di una password, non c'è pericolo per gli altri account. Inoltre, utilizzando un password manager devi ricordare una sola password.
Di solito le password vengono crittografate e salvate sui server dei provider. Tuttavia solo gli utenti conoscono la propria master password, che solitamente è criptata in base al principio di "conoscenza zero" e il codice di crittografia è salvato in locale. Per garantire ciò, i fornitori a volte si sottopongono a controlli indipendenti. Alcuni password manager consentono inoltre agli utenti di salvare le proprie password in locale sui propri dispositivi.
I password manager sono considerati estremamente sicuri e, soprattutto, più sicuri rispetto all'alternativa di utilizzare la stessa password per ogni sito. Tuttavia, per evitare rischi per la sicurezza, ci sono alcune cose da tenere a mente. Dovresti scegliere con accortezza la tua master password in modo che non sia facile da indovinare. Dovresti inoltre impostare l'autenticazione a due fattori per proteggerti anche se qualcuno ruba la tua master password. Tuttavia la sicurezza dei dati una volta che li trasmetti al provider sfugge al tuo controllo. In generale, comunque, è raro che la sicurezza venga compromessa e la maggior parte dei provider è considerata sicura.
Quando si sceglie un password manager, entrano in gioco diversi fattori: sicurezza, prezzo, funzionalità, interfaccia e altro. Le caratteristiche di base sono le stesse per la maggior parte dei programmi, ma la qualità può variare notevolmente. Il buon funzionamento del riempimento automatico o delle estensioni per browser varia da programma a programma. Alcuni programmi coprono solo le funzioni di base, mentre altri si distinguono per sofisticate funzionalità di sicurezza. Ci sono grandi differenze anche nel prezzo e nelle limitazioni delle versioni gratuite.
Nel nostro test dei migliori password manager, entriamo nei dettagli di ciascun provider e scegliamo un vincitore assoluto del test e un vincitore per miglior rapporto qualità/prezzo.