La sicurezza degli account che si possiedono e la tutela della propria identità digitale passa per l’attenzione che si dedica alla gestione delle credenziali di accesso e alla loro corretta conservazione. Scegliere una password sicura è certamente buona cosa ma l’utilizzo di una forma di autenticazione a due fattori affidabile e semplice da usare permette oggi di avere maggiori garanzie.
La gestione delle password Google aiuta gli utenti di Chrome e dei servizi dell’azienda a servirsi di credenziali di autenticazione sicure e affidabili.
Le credenziali d’accesso possono essere sottratte non soltanto in seguito a errori, imperizia o disattenzione da parte dei singoli utenti ma possono talvolta essere estrapolate dai criminali informatici sui server dei fornitori dei servizi online. Ecco perché è fondamentale non usare mai le stesse password per proteggere servizi diversi.
Google password ovvero la ricetta per controllare le proprie credenziali senza alcuno sforzo
C’era una volta un servizio come Have I been pwned che ancora oggi aiuta gli utenti a capire se le loro credenziali di accesso personali siano state sottratte dai cybercriminali in seguito a un attacco informatico subito da provider e gestori di servizi.
Have I been pwned tiene traccia del contenuto degli archivi contenenti liste di nomi utente e password apparsi in rete nel corso del tempo, anche nel dark web: digitando il proprio indirizzo email nella casella di ricerca si può sapere se le credenziali personali si trovassero già nelle mani dei criminali informatici.
Gli utenti più volenterosi possono addirittura scaricare gli elenchi delle password violate o insicure e verificare la presenza delle proprie.
Have I been pwned gestisce e aggiorna periodicamente un secondo database contenente le password degli utenti sotto forma di hash: per motivi di sicurezza non vengono ovviamente poste in correlazione né con i corrispondenti username né con i servizi online sulle quali risultavano in uso.
Cercare password proprie all’interno di questo database consente l’ottenimento di informazioni interessanti senza trasmettere alcun dato verso server remoti gestiti da soggetti terzi.
Una funzione hash non è invertibile: utilizzando un apposito algoritmo viene creata una stringa di lunghezza predefinita a partire da una stringa di lunghezza arbitraria. L’hashing della password non permette di risalire alla password in chiaro, almeno usando gli algoritmi più sicuri. L’hash può quindi può essere trasmesso in sicurezza a servizi come Have I been pwned.
Ispirandosi evidentemente al funzionamento di Have I been pwned, Google ha dapprima lanciato un’estensione per Chrome che analizzava le credenziali conservate nel password manager integrato nel browser e avvisava gli utenti nel caso in cui qualcuna di esse fosse nota ai criminali informatici.
Successivamente Google ha presentato il servizio Controllo password (Password Checkup in inglese): accessibile da Web e quindi svincolato dal browser, il servizio permette di verificare se una o più credenziali d’accesso fossero state violate.
Lo strumento di Google controlla anche se l’utente avesse riutilizzato la medesima password su più servizi online nonché la robustezza di ciascuna di esse.
Controllo password verifica la sicurezza delle credenziali conservate in forma crittografata sui server dell’azienda di Mountain View e sincronizzate via browser sui sistemi desktop oppure da browser o app sui dispositivi mobili.
Le password vengono memorizzate sul cloud quando si attiva la sincronizzazione di Chrome, sia su desktop che sui dispositivi mobili.
Quella che in passato si chiamava Smart Lock for Passwords è infatti una funzionalità che consente agli utenti di memorizzare sui server Google le credenziali di accesso per le varie applicazioni installate sui dispositivi mobili.
La lista dei servizi le cui password risultano salvate sui server Google è riportata nella parte inferiore della pagina Gestore delle password.
Come avviare il controllo delle password in Chrome
Anche chi non avesse attivato la sincronizzazione delle password Google può comunque beneficiare del controllo sull’integrità, sulla sicurezza e robustezza di ciascuna password.
Il browser Chrome permette di controllare la sicurezza delle password conservate nel suo password manager semplicemente digitando chrome://settings/passwords
nella barra degli indirizzi quindi cliccando sul pulsante Controlla password.
Usando lo stesso schema di Have I been pwned, nomi utente e password vengono trasmesse in modo sicuro – mai in chiaro – e soprattutto usando una funzione di hashing. In questo modo neppure Google può risalire alle password dei singoli utenti.
Google ha più volte rimarcato che nessuno degli strumenti presentati in precedenza trasferisce informazioni su account, nomi utente, password e dispositivi utilizzati al fine di identificare univocamente gli utenti e i loro device.
La società di Mountain View ha comunque confermato di raccogliere e registrare dati anonimi sui nomi a dominio ai quali si riferiscono le segnalazioni eventualmente mostrate agli utenti. In altre parole, se l’utente utilizzasse credenziali non sicure, questi verrebbe informato e il nome a dominio del sito corrispondente viene passato in chiaro a Google.
Una volta effettuato il controllo password, lo strumento integrato in Chrome indica le eventuali password certamente oggetto di violazione e quali invece sono insicure perché, ad esempio, non rispettano i requisiti minimi di sicurezza (password vulnerabili ad attacchi basati sul dizionario, password semplici e facilmente “indovinabili”, password corte,…). In entrambi i casi si deve valutare la modifica delle password andando alla ricerca di eventuali segni di compromissione dei vari account alle quali le credenziali si riferiscono.
Google segnala come inefficaci anche le password utilizzate per accedere ai dispositivi collegati in rete locale (router, switch, access point,…): tali password vengono infatti scelte perché siano semplici e facilitare l’accesso ai vari dispositivi connessi in LAN.
In questo caso non si tratta di un errore grave: a patto che la rete locale sia adeguatamente protetta e l’accesso ai dispositivi da amministrare limitato a un numero ridotto di host.
Come regola generale, tuttavia, sarebbe sempre preferibile scegliere password complesse anche per i dispositivi collegati in LAN.
Cliccando sui tre puntini a destra delle password segnalate quindi su Mostra password è possibile verificare come si presenta ciascuna password.
Digitando chrome://settings/security
nella barra degli indirizzi di Chrome e selezionando l’opzione Protezione avanzata il browser di Google controlla automaticamente, su base periodica, la sicurezza delle credenziali in uso.
In caso di compromissione delle password o dell’utilizzo di password inefficaci Chrome mostra una finestra a comparsa per richiamare l’attenzione dell’utente.
Diversamente, scegliendo Protezione standard il controllo può essere eventualmente richiesto in modo manuale dall’utente.
Come recuperare una password che non si riesce a ricordare
Se non si ricordasse più una password per l’accesso a uno specifico servizio, è possibile fare riferimento al password manager di Chrome semplicemente digitando chrome://settings/passwords
nella barra degli indirizzi e cliccando sull’icona Mostra password.
Per visualizzarla, basta digitare la password dell’account utente in uso (ad esempio la password dell’account Windows) oppure il PIN usato per accedere al sistema operativo ove configurato.
Il password manager di un browser web dovrebbe comunque essere considerato a prescindere come intrinsecamente insicuro, almeno nei confronti di chi avesse la disponibilità fisica del dispositivo dell’utente (notebook, smartphone, tablet,…). In un altro articolo abbiamo visto quanto è semplice trovare password salvate in un PC Windows.
Per recuperare una password conservata nel password manager di Chrome senza neppure inserire quella usata a protezione dell’account utente in uso, basta cliccare con il tasto destro sul campo Password (quello che mostra i “puntini”), scegliere Ispeziona quindi modificare il tag HTML input
: sostituendo text
a password
nell’attributo Type
si può leggere la password in chiaro senza pallini.
Nel caso dei sistemi Windows è fondamentale proteggere l’accesso con BitLocker e una password/PIN da inserire in fase di avvio (e al rientro dall’ibernazione o dalla sospensione).
Alcune chiavette YubiKey consentono anche di gestire dei token insieme con le relative password “una tantum” che vengono memorizzate nella chiavetta. Con YubiKey si può collegare la chiavetta a un qualunque dispositivo e autorizzare l’accesso ai soli utenti aventi titolo.