PrivaPass
Nozioni essenziali sulla sicurezza delle password
Come vengono rubate davvero le password
La maggior parte delle violazioni di account non comporta affatto la decifrazione di una password. Miliardi di coppie e-mail/password provenienti da violazioni di dati passate vengono scambiate online e gli aggressori si limitano a riutilizzarle su altri siti: una tecnica chiamata credential stuffing, che funziona perché le persone riutilizzano la stessa password ovunque. Anche le password deboli o comuni cadono rapidamente di fronte agli strumenti automatizzati di attacco a dizionario e a forza bruta, mentre le pagine di phishing catturano tutto ciò che digiti. Il riutilizzo è di gran lunga il rischio maggiore: un solo sito violato può esporre tutti gli account che condividono quella password.
Cosa rende una password davvero robusta
La lunghezza conta più dei simboli. Una passphrase casuale di 16 caratteri resiste per secoli agli attacchi a forza bruta, mentre una breve "P@ssw0rd!" cade in pochi secondi nonostante l'aspetto complesso. Ogni account dovrebbe avere la propria password univoca, in modo che una singola violazione non si propaghi a cascata su tutti i tuoi accessi. Evita nomi, date di nascita e parole del dizionario: tutto ciò che si può indovinare dalla tua vita pubblica. Un generatore elimina la prevedibilità umana producendo stringhe ad alta entropia che a nessuno verrebbe in mente di scegliere.
Perché una cassaforte sul dispositivo batte il cloud
I gestori di password nel cloud conservano una copia cifrata della tua cassaforte sui loro server, rendendoli un bersaglio di grande valore, e devi affidarti alla loro sicurezza, al loro personale e alla loro disponibilità. PrivaPass mantiene la tua cassaforte cifrata con AES-256-GCM all'interno della memoria del tuo stesso browser, quindi non esiste alcun server centrale da violare, nessun account da colpire con il phishing e nessun abbonamento che possa scadere. La tua password principale non lascia mai il tuo dispositivo e i controlli sulle violazioni usano la k-anonymity, così nemmeno una ricerca rivela alcunché.
Cos'è PrivaPass?
PrivaPass è un gestore di password gratuito e completamente basato sul browser, che genera, archivia e gestisce tutte le tue password con crittografia AES-256-GCM — lo stesso standard su cui fanno affidamento banche e governi. Il generatore integrato crea password casuali e crittograficamente forti con lunghezza personalizzabile (oltre 64 caratteri) e la combinazione che preferisci di maiuscole, minuscole, numeri e caratteri speciali, così non dovrai mai più inventare una password debole o riutilizzata. Le persone lo usano per dare a ogni account una password univoca, conservare gli accessi di banca, e-mail e social dietro un'unica master password, verificare se una password è comparsa in una violazione di dati nota e portare un backup cifrato dal portatile allo smartphone. L'intero vault risiede nell'IndexedDB del tuo browser e viene cifrato ancora prima di essere scritto su disco — nulla viene trasmesso ad alcun server, nemmeno durante i controlli sulle violazioni. Non c'è installazione, non c'è registrazione e non c'è abbonamento. Poiché tutta la crittografia gira come JavaScript direttamente nel tuo browser, PrivaPass funziona completamente offline non appena la pagina è stata caricata, e il tuo vault e le password generate non lasciano mai il tuo dispositivo.
Come usare PrivaPass
- 1
1. Genera una password
Usa il generatore integrato per creare password casuali crittograficamente forti con parametri personalizzabili: lunghezza, uso di maiuscole, numeri, simboli e caratteri speciali.
- 2
2. Salva nel caveau
Archivia le password in modo sicuro nel vault cifrato, protetto dalla tua master password. Le credenziali vengono cifrate prima di essere salvate nell'IndexedDB del browser — nessun dato sensibile è mai leggibile senza la chiave.
- 3
3. Esporta e backup
Scarica backup cifrati per trasferire il vault delle password su altri dispositivi o per conservare una copia di sicurezza offline. Il file di backup è protetto dalla tua master password e non può essere letto senza di essa.
Perché PrivaPass è sicuro?
I gestori di password nel cloud conservano una copia cifrata del tuo vault sui propri server, rendendoli un bersaglio di grande valore — e ti costringono a fidarti della loro sicurezza, del loro personale e della loro disponibilità. PrivaPass fa l'opposto: genera e cifra tutto nel tuo browser con AES-256-GCM, e il tuo vault non lascia mai il dispositivo. Non esiste alcun server centrale da violare, nessun account da colpire con il phishing e nessun abbonamento che possa scadere. La tua master password non viene mai salvata né trasmessa da nessuna parte — né su un server, né in memoria oltre l'istante necessario a decifrare il vault — quindi il recupero è impossibile per design, il che significa anche che nessuno tranne te potrà mai aprirlo. Poiché tutto gira interamente lato client, non devi crederci sulla fiducia: apri la scheda «Rete» (Network) degli strumenti di sviluppo (DevTools) del browser mentre generi una password o salvi una voce e vedrai che non viene mai effettuata alcuna richiesta di upload. Per una prova ancora più chiara, spegni il Wi-Fi dopo che la pagina si è caricata: generare, salvare, cercare ed esportare continuano a funzionare, perché non c'era mai nulla destinato a un server. L'unica funzione che tocca Internet è il controllo facoltativo sulle violazioni, e anch'esso usa il metodo k-anonymity, inviando solo i primi cinque caratteri dell'hash della password, così la tua password resta privata durante la ricerca.