Secondo me, c'è una lunga risposta a questa domanda, e ce n'è una breve. Quello corto è simile a questo:
La maggior parte delle esposizioni (di nomi utente e password) che vediamo non sono attacchi mirati contro un individuo, ma possono far sì che le credenziali di un individuo vengano esposte. Un gestore di password aiuta a limitare l'impatto su un utente singolo consentendo loro di utilizzare password diverse su tutti i siti web che accedono, riducendo al minimo il rischio che li dimenticheranno.
Dalla mia esperienza, le persone che si oppongono all'uso di un gestore di password hanno paura di un attacco mirato contro se stessi, piuttosto che gli attacchi opportunistici che ho descritto - ma sono corretti: se qualcuno accede al loro repository di password, è game over .
Ora, c'è un modo "giusto" e un "sbagliato" per usare i gestori di password. Ecco alcuni suggerimenti:
- Assicurati di fare la tua ricerca prima di scegliere quale gestore di password vuoi usare: vuoi assicurarti sapere dove vengono archiviati i tuoi dati e come viene crittografato. Inoltre, assicurati di utilizzare un prodotto affidabile.
- Assicurati che la tua password principale sia sufficientemente complessa. Sia che tu scelga di utilizzare una passphrase sicura o una password complessa, vuoi assicurarti che sia abbastanza strong da proteggere il tuo database. Se qualcuno indovina la tua password (o riesce a decifrarla), tutte le tue password sono esposte.
- Non accedere mai al database delle password da un computer pubblico. E, se è necessario, cambiare la password principale (da un computer privato) in seguito. I computer pubblici possono avere keylogger e tutti i tipi di altre cose divertenti che possono esporre la tua password principale. Ancora peggio, se il tuo database è un database offline (ad esempio KeePass) in realtà non lo stai eliminando dal disco quando lo invii al cestino.
- Assicurati che il tuo computer privato disponga di un'adeguata protezione antivirus / antimalware. La stessa logica del numero tre: non si vuole dare alle persone l'accesso alla propria password principale in nessun caso.
- Utilizza l'autenticazione a più fasi ogni volta che è possibile. La maggior parte dei provider di posta elettronica più diffusi lo offre ora ed è un ottimo modo per ridurre al minimo la probabilità che il tuo account venga visitato, anche se qualcuno rileva la tua password di 128 caratteri.
Infine, la mia preferenza personale è quella di evitare qualsiasi gestore di password online "pubblico" (ad esempio LastPass ). Non mi dispiace che i database delle password siano online (ad esempio, inserendo il tuo database KeePass in Dropbox - non che io lo faccia), perché questo richiederebbe un attacco mirato affinché qualcuno possa trovare le tue password. Ma sono sicuro che gli aggressori amano mettere le mani sul database di uno di questi fornitori di servizi - per nessun altro motivo che dire che lo hanno fatto. Da lì, è solo una questione di un individuo opportunista che diventa fortunato, e tutte le tue password diventano le loro.