Varie domande sui gestori di password

[BlackEagle12]

Salve a tutti,
siccome sto pensando di iniziare a usare un password manager, e sono molto indeciso tra KeePassXC (offline) e Bitwarden (cloud-based), vorrei un vostro parere su quale possa essere la scelta più sicura e sostenibile nel tempo per un uso personale.

In particolare, mi chiedo:

- Avere tutte le password offline, come nel caso di KeePassXC, è davvero un vantaggio in termini di sicurezza o rischia di diventare un punto debole (perdita del file, backup da gestire manualmente, ecc.)?

- Al contrario, usare un servizio cloud come Bitwarden (che ho iniziato a conoscere leggendo la guida ufficiale sul loro forum e guardando i video che sono stati proposti) offre più rischi o può considerarsi sufficientemente sicuro, a patto di attivare tutte le protezioni?

Inoltre, sempre su Bitwarden:

- Con 10 dollari all’anno, Bitwarden Premium permette di accedere al gestore password anche tramite l’autenticazione a due fattori. Confermate che è così?
- L’estensione per browser di Bitwarden è sicura quanto il programma desktop?
- Ho visto che è possibile sbloccare la master password con un PIN. È una scelta consigliabile oppure riduce la sicurezza in modo rilevante?

Vi ringrazio anticipatamente!

 

[Italicus Magnus]

Usa Bitwarden. Ma non hai bisogno della versione a pagamento.

Puoi usare il PIN se ti trovi meglio. Ma il PIN e' meno sicuro rispetto ad una master password.

L'estensione di Bitwarden e' sicura. Ma pero' anche il tuo pc deve essere sicuro. Quindi pigliati una chiave di Kaspersky Standard e installalo. Nel frattempo pero' fai una scansione, una alla volta con questi tools gratuiti per verificare se hai il pc pulito.

Kaspersky Virus Removal Tool https://www.kaspersky.it/downloads/free-virus-removal-tool
Malwarebyes (attiva l'antirootkit nelle opzioni) https://www.malwarebytes.com/it/
Hitman Pro https://www.hitmanpro.com/en-us/downloads
Norton Power Eraser https://support.norton.com/sp/it/it/home/current/solutions/kb20100824120155EN


Per proteggere il PC al meglio:

1. Kaspersky Standard installato. Le chiavi scontate si trovano in giro.
2. Bitwarden (gratuito) per proteggere tutte le password ed i documenti importanti. Qua la mia guida: Password Manager Bitwarden
3. Rimuovere al browser che usi la possibilita' di memorizzare e compilare passwords.
4. Come browser usare Brave per la sicurezza e privacy, E' basato su Chromium, puo' avere le stesse estensioni di Chrome ed include ottimi adblockers integrati che bloccano qualsiasi cosa.
5. Cloudflare 1.1.1.1 come dns settato sul router (se possibile) o in alternativa settato sulle connessioni di rete.
6. Ogni volta che chiudi il browser sarebbe meglio far in modo che i dati di navigazione si cancellino.
7. Tenere sempre aggiornato il software installato sul pc. Tenere sempre aggiornato Windows.
8. 2FA settato ovunque possibile, i codici generati esclusivamente tramite app smartphone (Authy, Google Auth, Aegis, 2FAS, Microsoft Auth)
9. Mai aprire link nelle email, mai scaricare allegati.
10. Mai aprire link o scaricare roba nei gruppi Discord e Whatsapp.
11. Mai scaricare giochi o programmi craccati.

 

[Rickard86]

Scusate l intromissione, eset come antivirus è buono comunque? Quello licenziato intendo..

 

[BlackEagle12]

Usa Bitwarden. Ma non hai bisogno della versione a pagamento.

Ciao! Prima di tutto ci tengo a ringraziarti di cuore per tutte le varie risposte e per i preziosi ulteriori consigli, che terrò ben a mente.

Però approfondendo un po’ Bitwarden, ho scoperto che permette sì di esportare il vault (in formato .json o .csv), ma il file esportato non è cifrato.
Questo significa che andrebbe protetto manualmente, ad esempio utilizzando software come 7-Zip con password, oppure VeraCrypt, altrimenti contiene tutte le credenziali in chiaro.

Mi è quindi venuto un dubbio: secondo te, ha senso esportare periodicamente il vault da Bitwarden e importarlo su KeePassXC, in modo da avere un backup offline cifrato automaticamente nel formato .kdbx?

So bene che Bitwarden salva tutto in cloud, quindi teoricamente non dovrebbero esserci problemi di perdita. Ma se (per assurdo) succedesse qualcosa di grave alla loro infrastruttura o ai server, per quanto improbabile, rischierei di perdere tutto, giusto?

Non so se sia una misura un po’ eccessiva, ma mi chiedevo se questa ulteriore precauzione possa avere senso oppure no.

Inoltre, non ti nascondo che sto anche rivalutando l’idea di usare direttamente solo KeePassXC, proprio per avere un controllo totale, anche se ovviamente si perderebbe la comodità della sincronizzazione automatica.

 

[Italicus Magnus]

Scusate l intromissione, eset come antivirus è buono comunque? Quello licenziato intendo..

E' buono, ma non ai livelli di Kaspersky o Bitdefender.

Però approfondendo un po’ Bitwarden, ho scoperto che permette sì di esportare il vault (in formato .json o .csv), ma il file esportato non è cifrato.
Questo significa che andrebbe protetto manualmente, ad esempio utilizzando software come 7-Zip con password, oppure VeraCrypt, altrimenti contiene tutte le credenziali in chiaro.

Quando esporti la cassaforte puoi tranquillamente scegliere il formato .json crittografato.



Ma comunque puoi tranquillamente tenerli nel cloud, anche li sono crittografati e protetti.

Mi è quindi venuto un dubbio: secondo te, ha senso esportare periodicamente il vault da Bitwarden e importarlo su KeePassXC, in modo da avere un backup offline cifrato automaticamente nel formato .kdbx?

Non ha senso esportare niente se non e' strettamente necessario.

Keepass non ti serve a niente perche' e' un' altro password manager. Di password manager ne devi usare solo uno non mille. O usi Keepass o usi Bitwarden. Non entrambi assieme.

So bene che Bitwarden salva tutto in cloud, quindi teoricamente non dovrebbero esserci problemi di perdita. Ma se (per assurdo) succedesse qualcosa di grave alla loro infrastruttura o ai server, per quanto improbabile, rischierei di perdere tutto, giusto?

Non perdi niente. La passwords sono salvate anche localmente nel tuo pc.

Non so se sia una misura un po’ eccessiva, ma mi chiedevo se questa ulteriore precauzione possa avere senso oppure no.

Inoltre, non ti nascondo che sto anche rivalutando l’idea di usare direttamente solo KeePassXC, proprio per avere un controllo totale, anche se ovviamente si perderebbe la comodità della sincronizzazione automatica.

Ti basta solo Bitwarden.