PrivaPass

Nozioni essenziali sulla sicurezza delle password

Come vengono rubate davvero le password

La maggior parte delle violazioni di account non comporta affatto la decifrazione di una password. Miliardi di coppie e-mail/password provenienti da violazioni di dati passate vengono scambiate online e gli aggressori si limitano a riutilizzarle su altri siti: una tecnica chiamata credential stuffing, che funziona perché le persone riutilizzano la stessa password ovunque. Anche le password deboli o comuni cadono rapidamente di fronte agli strumenti automatizzati di attacco a dizionario e a forza bruta, mentre le pagine di phishing catturano tutto ciò che digiti. Il riutilizzo è di gran lunga il rischio maggiore: un solo sito violato può esporre tutti gli account che condividono quella password.

Cosa rende una password davvero robusta

La lunghezza conta più dei simboli. Una passphrase casuale di 16 caratteri resiste per secoli agli attacchi a forza bruta, mentre una breve "P@ssw0rd!" cade in pochi secondi nonostante l'aspetto complesso. Ogni account dovrebbe avere la propria password univoca, in modo che una singola violazione non si propaghi a cascata su tutti i tuoi accessi. Evita nomi, date di nascita e parole del dizionario: tutto ciò che si può indovinare dalla tua vita pubblica. Un generatore elimina la prevedibilità umana producendo stringhe ad alta entropia che a nessuno verrebbe in mente di scegliere.

Perché una cassaforte sul dispositivo batte il cloud

I gestori di password nel cloud conservano una copia cifrata della tua cassaforte sui loro server, rendendoli un bersaglio di grande valore, e devi affidarti alla loro sicurezza, al loro personale e alla loro disponibilità. PrivaPass mantiene la tua cassaforte cifrata con AES-256-GCM all'interno della memoria del tuo stesso browser, quindi non esiste alcun server centrale da violare, nessun account da colpire con il phishing e nessun abbonamento che possa scadere. La tua password principale non lascia mai il tuo dispositivo e i controlli sulle violazioni usano la k-anonymity, così nemmeno una ricerca rivela alcunché.

Cos'è PrivaPass?

PrivaPass è un gestore di password gratuito e completamente basato sul browser, che genera, archivia e gestisce tutte le tue password con crittografia AES-256-GCM — lo stesso standard su cui fanno affidamento banche e governi. Il generatore integrato crea password casuali e crittograficamente forti con lunghezza personalizzabile (oltre 64 caratteri) e la combinazione che preferisci di maiuscole, minuscole, numeri e caratteri speciali, così non dovrai mai più inventare una password debole o riutilizzata. Le persone lo usano per dare a ogni account una password univoca, conservare gli accessi di banca, e-mail e social dietro un'unica master password, verificare se una password è comparsa in una violazione di dati nota e portare un backup cifrato dal portatile allo smartphone. L'intero vault risiede nell'IndexedDB del tuo browser e viene cifrato ancora prima di essere scritto su disco — nulla viene trasmesso ad alcun server, nemmeno durante i controlli sulle violazioni. Non c'è installazione, non c'è registrazione e non c'è abbonamento. Poiché tutta la crittografia gira come JavaScript direttamente nel tuo browser, PrivaPass funziona completamente offline non appena la pagina è stata caricata, e il tuo vault e le password generate non lasciano mai il tuo dispositivo.

Come usare PrivaPass

  1. 1

    1. Genera una password

    Usa il generatore integrato per creare password casuali crittograficamente forti con parametri personalizzabili: lunghezza, uso di maiuscole, numeri, simboli e caratteri speciali.

  2. 2

    2. Salva nel caveau

    Archivia le password in modo sicuro nel vault cifrato, protetto dalla tua master password. Le credenziali vengono cifrate prima di essere salvate nell'IndexedDB del browser — nessun dato sensibile è mai leggibile senza la chiave.

  3. 3

    3. Esporta e backup

    Scarica backup cifrati per trasferire il vault delle password su altri dispositivi o per conservare una copia di sicurezza offline. Il file di backup è protetto dalla tua master password e non può essere letto senza di essa.

Perché PrivaPass è sicuro?

I gestori di password nel cloud conservano una copia cifrata del tuo vault sui propri server, rendendoli un bersaglio di grande valore — e ti costringono a fidarti della loro sicurezza, del loro personale e della loro disponibilità. PrivaPass fa l'opposto: genera e cifra tutto nel tuo browser con AES-256-GCM, e il tuo vault non lascia mai il dispositivo. Non esiste alcun server centrale da violare, nessun account da colpire con il phishing e nessun abbonamento che possa scadere. La tua master password non viene mai salvata né trasmessa da nessuna parte — né su un server, né in memoria oltre l'istante necessario a decifrare il vault — quindi il recupero è impossibile per design, il che significa anche che nessuno tranne te potrà mai aprirlo. Poiché tutto gira interamente lato client, non devi crederci sulla fiducia: apri la scheda «Rete» (Network) degli strumenti di sviluppo (DevTools) del browser mentre generi una password o salvi una voce e vedrai che non viene mai effettuata alcuna richiesta di upload. Per una prova ancora più chiara, spegni il Wi-Fi dopo che la pagina si è caricata: generare, salvare, cercare ed esportare continuano a funzionare, perché non c'era mai nulla destinato a un server. L'unica funzione che tocca Internet è il controllo facoltativo sulle violazioni, e anch'esso usa il metodo k-anonymity, inviando solo i primi cinque caratteri dell'hash della password, così la tua password resta privata durante la ricerca.

Domande frequenti

No. PrivaPass archivia tutti i dati nell'IndexedDB del tuo browser con crittografia forte. Anche la master password non viene salvata in alcuna forma — viene usata solo per derivare la chiave di cifratura al momento dell'accesso e poi scartata dalla memoria.
La master password non viene salvata da nessuna parte nel sistema — né localmente né su server — e non può essere recuperata in alcun modo. È fondamentale conservarla in un luogo sicuro, ad esempio scritta su carta in un posto protetto. Questa è la conseguenza necessaria della privacy totale: zero trasmissione significa zero possibilità di recupero esterno.
Sì. Puoi scaricare un file di backup cifrato tramite la funzione di esportazione e importarlo su un altro dispositivo. Il backup è protetto dalla stessa master password, quindi è sicuro da trasportare anche su supporti non cifrati.
PrivaPass utilizza un sistema di verifica delle password compromesse che invia solo un frammento parziale dell'impronta digitale della password — non la password stessa né i suoi dati riconoscibili — al servizio di verifica. In questo modo la tua password effettiva non viene mai rivelata al servizio esterno durante il controllo.
Sì. Poiché i dati sono archiviati nell'IndexedDB del browser, verranno eliminati se cancelli i dati di navigazione o usi la modalità di navigazione privata. Si consiglia di creare regolarmente backup cifrati tramite la funzione di esportazione per evitare la perdita delle password in caso di pulizia del browser.
Sì all'offline, e no agli upload. Generare password, salvare e cercare le voci ed esportare il backup cifrato avvengono interamente sul tuo dispositivo senza alcuna connessione di rete, così puoi usare PrivaPass in aereo o con il Wi-Fi spento non appena la pagina è stata caricata. Le tue password e il tuo vault non vengono mai trasmessi da nessuna parte — puoi confermarlo aprendo la scheda «Rete» (Network) degli strumenti di sviluppo (DevTools) del browser mentre lavori, oppure semplicemente disconnettendoti da Internet e vedendo che tutto continua a funzionare. L'unica eccezione è il controllo facoltativo sulle violazioni, che per design invia solo i primi cinque caratteri dell'hash della password, mai la password stessa.
Molto robuste. PrivaPass usa il generatore di numeri casuali crittograficamente sicuro integrato nel tuo browser (la Web Crypto API) — non una scorciatoia software prevedibile — per produrre password ad alta entropia che nessuna persona o strumento basato su pattern potrebbe indovinare. Sei tu a controllare la lunghezza (oltre 64 caratteri) e quali set di caratteri includere: maiuscole, minuscole, numeri e simboli speciali. Poiché la lunghezza contribuisce alla robustezza molto più della sola complessità, una password casuale di 16 caratteri resiste già per secoli agli attacchi a forza bruta. Le password vengono generate localmente e salvate nel vault solo se scegli di salvarle.