DOMANDA Varie domande sui gestori di password

[BlackEagle12]

Salve a tutti,
siccome sto pensando di iniziare a usare un password manager, e sono molto indeciso tra KeePassXC (offline) e Bitwarden (cloud-based), vorrei un vostro parere su quale possa essere la scelta più sicura e sostenibile nel tempo per un uso personale.

In particolare, mi chiedo:

- Avere tutte le password offline, come nel caso di KeePassXC, è davvero un vantaggio in termini di sicurezza o rischia di diventare un punto debole (perdita del file, backup da gestire manualmente, ecc.)?

- Al contrario, usare un servizio cloud come Bitwarden (che ho iniziato a conoscere leggendo la guida ufficiale sul loro forum e guardando i video che sono stati proposti) offre più rischi o può considerarsi sufficientemente sicuro, a patto di attivare tutte le protezioni?

Inoltre, sempre su Bitwarden:

- Con 10 dollari all’anno, Bitwarden Premium permette di accedere al gestore password anche tramite l’autenticazione a due fattori. Confermate che è così?
- L’estensione per browser di Bitwarden è sicura quanto il programma desktop?
- Ho visto che è possibile sbloccare la master password con un PIN. È una scelta consigliabile oppure riduce la sicurezza in modo rilevante?

Vi ringrazio anticipatamente!

 

[Italicus Magnus]

Usa Bitwarden. Ma non hai bisogno della versione a pagamento.

Puoi usare il PIN se ti trovi meglio. Ma il PIN e' meno sicuro rispetto ad una master password.

L'estensione di Bitwarden e' sicura. Ma pero' anche il tuo pc deve essere sicuro. Quindi pigliati una chiave di Kaspersky Standard e installalo. Nel frattempo pero' fai una scansione, una alla volta con questi tools gratuiti per verificare se hai il pc pulito.

Kaspersky Virus Removal Tool https://www.kaspersky.it/downloads/free-virus-removal-tool
Malwarebyes (attiva l'antirootkit nelle opzioni) https://www.malwarebytes.com/it/
Hitman Pro https://www.hitmanpro.com/en-us/downloads
Norton Power Eraser https://support.norton.com/sp/it/it/home/current/solutions/kb20100824120155EN


Per proteggere il PC al meglio:

1. Kaspersky Standard installato. Le chiavi scontate si trovano in giro.
2. Bitwarden (gratuito) per proteggere tutte le password ed i documenti importanti. Qua la mia guida: Password Manager Bitwarden
3. Rimuovere al browser che usi la possibilita' di memorizzare e compilare passwords.
4. Come browser usare Brave per la sicurezza e privacy, E' basato su Chromium, puo' avere le stesse estensioni di Chrome ed include ottimi adblockers integrati che bloccano qualsiasi cosa.
5. Cloudflare 1.1.1.1 come dns settato sul router (se possibile) o in alternativa settato sulle connessioni di rete.
6. Ogni volta che chiudi il browser sarebbe meglio far in modo che i dati di navigazione si cancellino.
7. Tenere sempre aggiornato il software installato sul pc. Tenere sempre aggiornato Windows.
8. 2FA settato ovunque possibile, i codici generati esclusivamente tramite app smartphone (Authy, Google Auth, Aegis, 2FAS, Microsoft Auth)
9. Mai aprire link nelle email, mai scaricare allegati.
10. Mai aprire link o scaricare roba nei gruppi Discord e Whatsapp.
11. Mai scaricare giochi o programmi craccati.

 

[Rickard86]

Scusate l intromissione, eset come antivirus è buono comunque? Quello licenziato intendo..

 

[BlackEagle12]

Usa Bitwarden. Ma non hai bisogno della versione a pagamento.

Ciao! Prima di tutto ci tengo a ringraziarti di cuore per tutte le varie risposte e per i preziosi ulteriori consigli, che terrò ben a mente.

Però approfondendo un po’ Bitwarden, ho scoperto che permette sì di esportare il vault (in formato .json o .csv), ma il file esportato non è cifrato.
Questo significa che andrebbe protetto manualmente, ad esempio utilizzando software come 7-Zip con password, oppure VeraCrypt, altrimenti contiene tutte le credenziali in chiaro.

Mi è quindi venuto un dubbio: secondo te, ha senso esportare periodicamente il vault da Bitwarden e importarlo su KeePassXC, in modo da avere un backup offline cifrato automaticamente nel formato .kdbx?

So bene che Bitwarden salva tutto in cloud, quindi teoricamente non dovrebbero esserci problemi di perdita. Ma se (per assurdo) succedesse qualcosa di grave alla loro infrastruttura o ai server, per quanto improbabile, rischierei di perdere tutto, giusto?

Non so se sia una misura un po’ eccessiva, ma mi chiedevo se questa ulteriore precauzione possa avere senso oppure no.

Inoltre, non ti nascondo che sto anche rivalutando l’idea di usare direttamente solo KeePassXC, proprio per avere un controllo totale, anche se ovviamente si perderebbe la comodità della sincronizzazione automatica.

 

[Italicus Magnus]

Scusate l intromissione, eset come antivirus è buono comunque? Quello licenziato intendo..

E' buono, ma non ai livelli di Kaspersky o Bitdefender.

Però approfondendo un po’ Bitwarden, ho scoperto che permette sì di esportare il vault (in formato .json o .csv), ma il file esportato non è cifrato.
Questo significa che andrebbe protetto manualmente, ad esempio utilizzando software come 7-Zip con password, oppure VeraCrypt, altrimenti contiene tutte le credenziali in chiaro.

Quando esporti la cassaforte puoi tranquillamente scegliere il formato .json crittografato.



Ma comunque puoi tranquillamente tenerli nel cloud, anche li sono crittografati e protetti.

Mi è quindi venuto un dubbio: secondo te, ha senso esportare periodicamente il vault da Bitwarden e importarlo su KeePassXC, in modo da avere un backup offline cifrato automaticamente nel formato .kdbx?

Non ha senso esportare niente se non e' strettamente necessario.

Keepass non ti serve a niente perche' e' un' altro password manager. Di password manager ne devi usare solo uno non mille. O usi Keepass o usi Bitwarden. Non entrambi assieme.

So bene che Bitwarden salva tutto in cloud, quindi teoricamente non dovrebbero esserci problemi di perdita. Ma se (per assurdo) succedesse qualcosa di grave alla loro infrastruttura o ai server, per quanto improbabile, rischierei di perdere tutto, giusto?

Non perdi niente. La passwords sono salvate anche localmente nel tuo pc.

Non so se sia una misura un po’ eccessiva, ma mi chiedevo se questa ulteriore precauzione possa avere senso oppure no.

Inoltre, non ti nascondo che sto anche rivalutando l’idea di usare direttamente solo KeePassXC, proprio per avere un controllo totale, anche se ovviamente si perderebbe la comodità della sincronizzazione automatica.

Ti basta solo Bitwarden.

 

[MarcoPau]

Scusate se mi accodo, ma nel momento in cui uno ha Kaspersky licenziato, non è più intelligente usare il suo password manager anziché un altro strumento come Bitwarden?

Questi PWD manager, sostituiscono integralmente il salvataggio delle PWD da parte di Google/Chrome? Si può poi avere il tutto disponibile anche su Android (intendo, le PWD salvate)?

 

[crimescene]

Scusate se mi accodo, ma nel momento in cui uno ha Kaspersky licenziato, non è più intelligente usare il suo password manager anziché un altro strumento come Bitwarden?

dipende se ti trovi bene per il passweord m3enager di karspersky va bene ma è legato alla sua licenza

Questi PWD manager, sostituiscono integralmente il salvataggio delle PWD da parte di Google/Chrome? Si può poi avere il tutto disponibile anche su Android (intendo, le PWD salvate)?

Si
Per andrioid devi usare ovviamente lo stesso applicativo

 

[MarcoPau]

Grazie! La transizione (esportazione/importazione immagino) da google a Bitwarden o Kaspersky si può fare?

Inoltre, leggo che Bitwarden avrebbe comunque una licenza da 10 dollari l'anno... E' superflua? Nel momento in cui uno si stabilizza su Kaspersky, con vale a quel punto la pena usare il proprio PWD manager? Ho comprato Kaspesky quest'anno su un sito con licenze molto economiche, su consiglio recuperato qui nel forum, abbandonando windows defender...

 

[Italicus Magnus]

Grazie! La transizione (esportazione/importazione immagino) da google a Bitwarden o Kaspersky si può fare?

Si puo' fare facilmente. Mentre da Kaspersky e' un po' piu' complicato.

Inoltre, leggo che Bitwarden avrebbe comunque una licenza da 10 dollari l'anno... E' superflua?

La versione gratuita di Bitwarden basta e avanza al 95% delle persone.

Nel momento in cui uno si stabilizza su Kaspersky, con vale a quel punto la pena usare il proprio PWD manager? Ho comprato Kaspesky quest'anno su un sito con licenze molto economiche, su consiglio recuperato qui nel forum, abbandonando windows defender...

Vedi la risposta sotto.

Scusate se mi accodo, ma nel momento in cui uno ha Kaspersky licenziato, non è più intelligente usare il suo password manager anziché un altro strumento come Bitwarden?

Il password manager di Kaspersky ti vincola all'abbonamento annuale di Kaspersky. Se non rinnovi il piano annuale non puoi piu' usare il password manager e sei tagliato fuori finche' il piano non lo rinnovi. Mentre Bitwarden e' gratuito e non ti lega a nessun piano a pagamento.

Poi ci sono altre tre differenze principali:

1. Bitwarden e' open source mentre Kaspersky ovviamente no.
2. Kaspersky ha features piu' limitate rispetto a Bitwarden.
3. Kaspersky e' stato bandito dal Play Store. Se vuoi sincronizzare le passwords sul telefono dovrai scaricare l'apk oppure scaricarlo dagli store alternativi come Galaxy Store nei Samsung, Xiaomi Store negli Xiaomi ecccetera.

Kaspersky Password manager l'ho testato per diverso tempo ed e' un ottimo prodotto. Pero' appunto e' legato esclusivamente all'acquisto di Kaspersky Plus ed al rinnovo annuale. Inoltre all'utente normale non serve il piano Kaspersky Plus perche' basta e avanza quello Standard meno costoso. Per quello si tende sempre a consigliare la combo Kaspersky Standard + Bitwarden.

Se te hai Kaspersky Plus e lo rinnovi ogni anno allora puo' avere qualche senso utilizzare il password manager di Kaspersky.

Questi PWD manager, sostituiscono integralmente il salvataggio delle PWD da parte di Google/Chrome? Si può poi avere il tutto disponibile anche su Android (intendo, le PWD salvate)?

I passwords manager come Bitwarden sono molto piu' sicuri rispetto al browser, perche' il password manager di Bitwarden e' protetto e le passwords al suo interno sono crittografate. L'unico modo per uno sconosciuto di accedere alle tue passwords e' che sappia la tua master password per sbloccare la cassaforte. Le passwords salvate all'interno del browser al contrario sono molto vulnerabili perche':

1. Non sono protette adeguatamente.
2. Rischio elevato di data breaches.
3. Sono vulnerabili ai malware.
4. Sono vulnerabili ai phishing.
5. Se qualcuno ti clona la sessione del browser ti frega anche le passwords.
6. Se qualcuno maneggia col tuo pc mentre te non ci sei, poi ha il controllo totale di tutte le tue passwords.
7. Se qualcuno ti prende in mano il telefono (e hai le passwords sincronizzate pure li) poi ha il controllo totale di tutte le tue passwords.
8. Il browser ha poche (se non nessuna) feature di sicurezza rispetto ad un password manager serio.
9. Molti browser rendono volutamente complicato il passaggio ad altri password managers.

I passwords managers seri sono cross piattaforma (inclusa la sincronizzazione delle passwords).

 

[MarcoPau]

Grazie mille per l'integrazione! Procedo alla conversione del PWS manager allora :-)

PS: non ho modificato alcuna risposta in realtà...

 

[Italicus Magnus]

Questo vale sia per Bitwarden che Kaspersky:

1. Una volta migrate tutte le passwords dal browser al password manager, ogni singola password va modificata manualmente e resa iper complessa. Per creare le passwords si usa il generatore di passwords incorporato nel prodotto.

2. La lunghezza minima consigliata di una password complessa e' generalmente dai 14 ai 16 caratteri, ma io personalmente vado con 30 e suggerisco un po' a tutti 30. O in alternativa (se un sito non concede passwords cosi' lunghe) almeno una cifra dai 20 in su.

2. Le passwords create devono tutte includere maiuscole, minuscole, numeri e simboli.

3. La master password per aprire la cassaforte non va mai salvata o trascritta sul PC. E non va mai dimenticata o scordata perche' senno' poi non potrai mai piu' accedere alle tue passwords.

4. Al browser che usi va tolta nelle opzioni la possibilita' di memorizzare e compilare passwords. Il come si fa nei browser principali lo trovi qui nella mia guida: Password Manager Bitwarden

5. I password manager su Android hanno la comoda funzione di poter essere sbloccati tramite impronta digitale. Utilizzala.


Inoltre:

1. Per proteggere gli account devi attivare il 2FA ovunque possibile. Come app sullo smartphone per i codici suggerisco Ente Auth perche' e' open source, orientata sulla privacy (ha la modalita' offline) e ha pure la comodissima versione desktop dove puoi sincronizzare i codici. Piu' ottime features extra come ad esempio la crittografia end-to-end nel cloud ed il fatto che ti mostra subito a schermo i codici successivi.

2. Mai accedere a servizi tramite le credenziali di altri servizi. Quindi ad esempio niente "accedi tramite l'account Google" in siti o servizi che non c'entrano niente con Google. Ogni servizio va tenuto separato dagli altri.

3. I servizi Meta come Facebook ed Instagram vanno tenuti separati. Devi togliere ad Instagram la possibilita' di accedere tramite credenziali di Facebook e viceversa. Questo perche' se ti hackerano Facebook poi ti ciulano pure Instagram bypassando qualsiasi 2FA ci possa essere.

4. DNS settato sul router o in alternativa sulle connessioni di rete. Cloudflare, Quad9, NextDNS eccetera.

5. Per evitare che ti clonino le sessioni del browser, sarebbe meglio fare in modo che ogni volta che chiudi il browser tutti i dati di navigazione vengano cancellati automaticamente. Questo pero' implica perdere qualche secondo per rinserire le credenziali tramite password manager ed i codici 2FA dei siti dove sei registrato.

 

[MarcoPau]

Wow, grazie ancora! Guida stupenda per chi si affaccia a queste soluzioni e vuole fare un mini upgrade in sicurezza...

Da quando sono più o meno stabilmente su Windows, per certi aspetti ho cominciato ad alzare le antenne. Su Linux mi sento più sicuro (ma magari sbaglio).

 

[Italicus Magnus]

Come browser puoi utilizzare BRAVE (basato su Chromium) che e' focalizzato sulla privacy e sulla sicurezza della navigazione. Include pure un eccellente adblocker al proprio interno che blocca tutto (incluse le pubblicita' su YouTube). Di contro pero' ci sta qualche bloatware ma che e' facilmente ignorabile o nascondibile. Come search engine predefinito utilizza Brave Engine ma puoi pure settare altro (come Google Search).

Se vuoi un'alternativa privacy oriented, ma pero' basata su Firefox hai LIBREWOLF. Interfaccia molto spartana e senza bloatware. Utilizza Ublock Origin come adblocker predefinito. Di contro pero' non e' beginner friendly, andrebbe configurato e certi siti non potrebbero caricare correttamente perche' e' molto meno permissivo rispetto a Brave. Come search engine predefinito utilizza Duck Duck Go, puoi sceglierne altri privacy oriented ma non Google Search.

Altra alternativa hai pure MULLVAD creato in collaborazione con quelli di TOR, anch'esso privacy oriented, senza bloatware e basato su Firefox. Come search engine predefinito utilizza Duck Duck Go, puoi sceglierne altri privacy oriented ma non Google Search.

 

[MarcoPau]

Grazie mille anche per questo! Questo thread è una bellissima guida :-)

Avevo letto qualcosina ma devo dire che per quanto riguarda Chrome/Chromium vorrei fare un passo indietro verso Chrome perché mi piacerebbe avere le cronologie condivise tra vari computer e forse anche smartphone (mi ero letto alcune soluzioni, dipendenti però da Chrome)... questo perché mi ritrovo con decine di schede aperte nei vari terminali (+ smartphone) e faccio più fatica a completare le "task" e chiudere/archiviare (segnalibri o i nuovi gruppi di schede).

Con la sincronia tra dispositivi, potenzialmente dovrei riuscire a portarmi dietro meno casino...

 

[Italicus Magnus]

Con Brave puoi farlo https://support.brave.app/hc/en-us/articles/360021218111-How-do-I-set-up-Sync