PrivaPass

Nozioni essenziali sulla sicurezza delle password

Come vengono rubate davvero le password

La maggior parte delle violazioni di account non comporta affatto la decifrazione di una password. Miliardi di coppie e-mail/password provenienti da violazioni di dati passate vengono scambiate online e gli aggressori si limitano a riutilizzarle su altri siti: una tecnica chiamata credential stuffing, che funziona perché le persone riutilizzano la stessa password ovunque. Anche le password deboli o comuni cadono rapidamente di fronte agli strumenti automatizzati di attacco a dizionario e a forza bruta, mentre le pagine di phishing catturano tutto ciò che digiti. Il riutilizzo è di gran lunga il rischio maggiore: un solo sito violato può esporre tutti gli account che condividono quella password.

Cosa rende una password davvero robusta

La lunghezza conta più dei simboli. Una passphrase casuale di 16 caratteri resiste per secoli agli attacchi a forza bruta, mentre una breve "P@ssw0rd!" cade in pochi secondi nonostante l'aspetto complesso. Ogni account dovrebbe avere la propria password univoca, in modo che una singola violazione non si propaghi a cascata su tutti i tuoi accessi. Evita nomi, date di nascita e parole del dizionario: tutto ciò che si può indovinare dalla tua vita pubblica. Un generatore elimina la prevedibilità umana producendo stringhe ad alta entropia che a nessuno verrebbe in mente di scegliere.

Perché una cassaforte sul dispositivo batte il cloud

I gestori di password nel cloud conservano una copia cifrata della tua cassaforte sui loro server, rendendoli un bersaglio di grande valore, e devi affidarti alla loro sicurezza, al loro personale e alla loro disponibilità. PrivaPass mantiene la tua cassaforte cifrata con AES-256-GCM all'interno della memoria del tuo stesso browser, quindi non esiste alcun server centrale da violare, nessun account da colpire con il phishing e nessun abbonamento che possa scadere. La tua password principale non lascia mai il tuo dispositivo e i controlli sulle violazioni usano la k-anonymity, così nemmeno una ricerca rivela alcunché.

Cos'è PrivaPass?

PrivaPass è un gestore di password gratuito e completamente basato sul browser. Genera, archivia e gestisce le credenziali con crittografia robusta direttamente nel browser. Tutti i dati rimangono nell'IndexedDB del tuo browser e non vengono mai trasmessi a server esterni — architettura zero-knowledge per design.

Come usare PrivaPass

  1. 1

    1. Genera una password

    Usa il generatore integrato per creare password casuali crittograficamente forti con parametri personalizzabili: lunghezza, uso di maiuscole, numeri, simboli e caratteri speciali.

  2. 2

    2. Salva nel caveau

    Archivia le password in modo sicuro nel vault cifrato, protetto dalla tua master password. Le credenziali vengono cifrate prima di essere salvate nell'IndexedDB del browser — nessun dato sensibile è mai leggibile senza la chiave.

  3. 3

    3. Esporta e backup

    Scarica backup cifrati per trasferire il vault delle password su altri dispositivi o per conservare una copia di sicurezza offline. Il file di backup è protetto dalla tua master password e non può essere letto senza di essa.

Perché PrivaPass è sicuro?

PrivaPass elabora tutto nel browser con crittografia forte. La master password non viene mai salvata in alcuna forma né trasmessa a server di alcun tipo. L'architettura zero-knowledge garantisce che nemmeno gli sviluppatori di PrivaPass possano accedere alle tue credenziali — tecnicamente impossibile per design.

Domande frequenti

No. PrivaPass archivia tutti i dati nell'IndexedDB del tuo browser con crittografia forte. Anche la master password non viene salvata in alcuna forma — viene usata solo per derivare la chiave di cifratura al momento dell'accesso e poi scartata dalla memoria.
La master password non viene salvata da nessuna parte nel sistema — né localmente né su server — e non può essere recuperata in alcun modo. È fondamentale conservarla in un luogo sicuro, ad esempio scritta su carta in un posto protetto. Questa è la conseguenza necessaria della privacy totale: zero trasmissione significa zero possibilità di recupero esterno.
Sì. Puoi scaricare un file di backup cifrato tramite la funzione di esportazione e importarlo su un altro dispositivo. Il backup è protetto dalla stessa master password, quindi è sicuro da trasportare anche su supporti non cifrati.
PrivaPass utilizza un sistema di verifica delle password compromesse che invia solo un frammento parziale dell'impronta digitale della password — non la password stessa né i suoi dati riconoscibili — al servizio di verifica. In questo modo la tua password effettiva non viene mai rivelata al servizio esterno durante il controllo.
Sì. Poiché i dati sono archiviati nell'IndexedDB del browser, verranno eliminati se cancelli i dati di navigazione o usi la modalità di navigazione privata. Si consiglia di creare regolarmente backup cifrati tramite la funzione di esportazione per evitare la perdita delle password in caso di pulizia del browser.

Letture correlate

Sicurezza delle password: costruire la sua difesa digitale