Raccomando regolarmente alle persone di usare una sorta di sistema di gestione delle password che permetta loro di impostare password difficili da craccare (sia brevi e complicate che lunghe e facili da ricordare) in modo univoco per ogni sito e servizio, e che permetta loro anche di compilare quelle password ovunque sia necessario.
Lowell Nelson mi ha inviato un’email qualche settimana fa chiedendomi perché sono così entusiasta delle opzioni di terze parti, come 1Password, Dashlane e LastPass, quando Apple ha una robusta soluzione multipiattaforma che include la sincronizzazione: Keychain. (Keychain descrive più specificamente la parte OS X, mentre iCloud Keychain permette la sincronizzazione tra i dispositivi e l’uso con iOS.)
È una domanda formidabile, e preferisco non dire alle persone di acquistare un servizio a pagamento (sia una tassa una tantum che un abbonamento) a meno che l’utilità di tale utilità sia così alta da superare il costo.
Esaminiamo i dettagli. Poiché ho testato e studiato 1Password e LastPass ampiamente, li uso come base di confronto. Dovresti essere in grado di trovare le risposte a ciascuno dei punti qui sotto nelle FAQ o nelle descrizioni delle caratteristiche di qualsiasi alternativa sufficientemente robusta.
Mentre Keychain di Apple, 1Password e LastPass possono tutti memorizzare altri tipi di dati in modo sicuro, le password sono l’elemento più affidabile che può essere utilizzato attraverso un intero ecosistema e attraverso le piattaforme.
Quanto sono sicuri i tuoi dati?
Una password “sicura” deve mantenere le password, beh, sicure, in tre aree principali:
-
Dati a riposo su un dispositivo. Le password dovrebbero essere sicure su un dispositivo contro chiunque, tranne il proprietario, possa accedervi.
-
Dati memorizzati su server. Dovrebbe essere difficile o impossibile per un attaccante accedere e decifrare le password memorizzate nel cloud.
-
Dati in transito durante la sincronizzazione o da e verso l’accesso basato sul web. Una crittografia forte dovrebbe impedire a un curioso di decodificare le nuove voci, i recuperi e gli aggiornamenti, così come le sessioni interattive.
Keychain e iCloud Keychain sono piuttosto robusti in questo senso. OS X e iOS devono essere sbloccati per riempire le voci di Keychain, e l’app Keychain Access di OS X richiede una password amministrativa o utente per sbloccare e visualizzare le password. Con Touch ID o un codice di accesso in iOS e FileVault 2 in OS X, le password sono altamente sicure anche quando si è spenti (OS X) o bloccati (iOS). iCloud Keychain utilizza la crittografia basata sul dispositivo che impedisce ad Apple di essere in grado di (o essere costretta a) decifrare le vostre password.
1Password e LastPass usano un metodo “costoso” di crittografia delle passphrase per i vostri database memorizzati localmente, in modo che anche se qualcuno ne entra in possesso, un cracker può solo brute-force i tentativi di password ad un ritmo molto, molto lento. LastPass ha testato questo involontariamente dopo un hacking: non sono emersi rapporti di sblocco dei caveau delle password.
LastPass sincronizza tutto attraverso i suoi server, ma cripta con chiavi note solo agli utenti. 1Password sincronizza tramite Dropbox e altri servizi basati su cloud (facendo affidamento sui loro metodi di sicurezza e crittografia a riposo), nonché attraverso i suoi abbonamenti aggiuntivi per la condivisione con la famiglia o i membri del team, ma blocca tutto con le chiavi di proprietà dell’utente.
LastPass e le opzioni di team o famiglia per 1Password ti danno anche l’accesso tramite un browser web, e utilizzano la decrittografia basata su browser invece di un software client nativo; le aziende non possiedono le tue chiavi. Tuttavia, c’è una debolezza nel fare affidamento sul browser. Malware e altri exploit basati sul browser rendono i browser molto più vulnerabili rispetto al livello di sicurezza disponibile attraverso app native e sincronizzazione cloud. Le falle di Safari in iOS e OS X vengono scoperte regolarmente (anche se pochissime sono viste in natura), e potresti essere tentato di accedere alle tue password da una macchina sconosciuta con un altro sistema operativo.
Quanto è facile usare il sistema?
Un sistema di password deve essere facilmente invocabile. Se non lo è, non lo userete con costanza, perché questa è la natura umana. Peggio ancora, se lo stai installando per qualcun altro per migliorare la sua sicurezza, potrebbe essere improbabile che lo usi del tutto se non è un promemoria costante e superbamente semplice.
È più probabile che le applicazioni iOS supportino le estensioni di LastPass e 1Password rispetto a iCloud Keychain.
Keychain è usato in gran parte da Apple come un modo per ricordare le password per campi specifici sulle pagine web, e per memorizzare le password per un recupero automatico e un bypass nel suo software (come AirPort Admin in OS) o con software di terze parti che utilizzano gli hook di Apple Keychain. In Safari mobile e desktop, Keychain funziona molto bene, dal suggerire una password forte, al memorizzarla, al rendere possibile il suo recupero o utilizzare altre alternative memorizzate.
Ma mentre è ampiamente utile in OS X, dato che più sviluppatori lo hanno adottato e c’è Keychain Access per la ricerca e il recupero diretto, in iOS devi andare in Impostazioni > Safari > Passwords per vedere, modificare o (strisciando fino in fondo) aggiungere le password. Inoltre, non è possibile invocare Keychain nelle finestre di dialogo di login non web di Apple, rendendolo inutile per scopi comuni. E mentre si può inventare una password quando se ne ha bisogno, è scomoda da raggiungere e può essere recuperata facilmente solo su una pagina web corrispondente.
L’aggiunta di estensioni da parte di Apple a partire da iOS 8 permette a 1Password, LastPass, e altri strumenti di essere invocati in Safari e altre app. Molte app iOS che uso sono legate direttamente all’API di 1Password che permette l’invocazione diretta. Nel peggiore dei casi, posso passare a LastPass o 1Password per trovare la password, copiarla, e poi tornare all’app e incollarla.
È anche possibile utilizzare l’app per creare password forti che vengono conservate alla creazione, sincronizzate automaticamente, e copiate negli appunti da utilizzare in altre app.
1Password può anche mettere le tue password sul tuo Apple Watch, se sei un utente Pro, e anche LastPass ha un’app Apple Watch.
La situazione cross-platform è molto peggio. Apple non rende disponibile iCloud Keychain al di fuori dei suoi sistemi operativi. 1Password e LastPass (e altre applicazioni) sono disponibili su un’ampia varietà di piattaforme principali, in più hanno un accesso basato su browser (di default con LastPass e come opzione di abbonamento con 1Password).
iCloud Keychain non ha alcun meccanismo di condivisione con altre persone – parte della storia in corso che ho discusso per anni su come Apple non progetta i suoi sistemi da zero per riconoscere che le persone lavorano in gruppo e in famiglia. (Non cominciamo a parlare dei problemi con Family Sharing.)
La maggior parte dei sistemi di password hanno qualche meccanismo per condividere i segreti con altri che hanno un account. 1Password permette la trasmissione diretta senza un abbonamento o, più recentemente, l’accesso selettivamente condiviso tra i membri di gruppi aziendali e familiari. LastPass, perché gli elementi sono memorizzati centralmente, ha offerto questo per anni.
Scegliere tra loro
Se stai usando quasi interamente le password solo sui siti web, utilizzando solo iOS e OS X, e non ti dispiace memorizzare e digitare le password richieste da Apple per i suoi servizi, Keychain con iCloud Keychain si adatta al conto. Se non tutte queste condizioni corrispondono, un sistema di gestione delle password vale l’investimento.
Aggiornamento: Una versione precedente di questa storia diceva che iOS non forniva accesso alle password memorizzate o un modo per crearne di nuove. Lo fa; è solo sepolto in Impostazioni.