«Il password manager è un programma all'interno del quale vengono salvate le password. Si può dire che equivale a un quaderno, con le proprie password, all'interno di una cassaforte che va poi su un cloud - ovvero un server da qualche parte nel mondo - e che non è apribile da altri». Sono questi, descrittici dal dottorando USI Giovanni Torrisi, i password manager che sono stati analizzati in uno studio coordinato tra il politecnico di Zurigo e l’Università della Svizzera italiana, che ha sollevato interrogativi importanti sulla loro sicurezza. Tra gli autori, oltre a Torrisi, la professoressa-assistente all'USI Matilda Backendal, da cui è partita l’idea di scoprire quanto fossero davvero sicuri questi sistemi. Quali i risultati? «Purtroppo è emerso che non erano all’altezza dei loro obiettivi di sicurezza», spiega Backendal a Ticinonews Sera. «In molti casi siamo riusciti, fingendo che il server fosse compromesso, a esfiltrare le password degli utenti. Chiaramente in un ambiente simulato». «La cosa divertente», aggiunge Torrisi, «è che inizialmente si pensava fosse sicurissimo e che non saremmo riusciti a bucare questa cassaforte. Invece, ne è poi uscito questo studio».

Risultati che la stessa ricercatrice vede come piuttosto preoccupanti: «Gli utenti si aspettano che i loro dati siano mantenuti sicuri. I nostri risultati mostrano che ciò non sarebbe garantito se l’infrastruttura dei fornitori venisse compromessa». Seppur Apple e Google dominino oggi il mercato dei gestori di password, la mancata disponibilità del codice sorgente ne ha impedito l’analisi. I programmi presi in esame rappresentano però gli attori successivi sul mercato (con oltre 60 milioni di utenti). I problemi emersi – che ricordiamo non mettono in discussione la crittografia, bensì scelte di progettazione – sono stati comunicati ai provider insieme a delle raccomandazioni, e questi ultimi hanno subito deciso di intervenire dove possibile. Non su tutto, perché alcuni aspetti sono infatti complessi e vanno chiariti ulteriormente. Il consiglio di Backendal è comunque quello di continuare a utilizzare queste «casseforti». «Capisco la preoccupazione, è una domanda che ci viene posta spesso, ma direi di sì: è una buona idea usare i gestori di password, anche quelli basati su cloud. Consiglierei però a tutti di verificare che sia utilizzata la crittografia end-to-end e, idealmente, che il programma sia stato revisionato riguardo agli obiettivi in materia di sicurezza».

Ecco che il Ticino ha contribuito quindi alla sicurezza digitale, ma in generale cosa bisogna sempre tenere a mente, quando si devono scegliere e conservare delle password? «È buona prassi non riutilizzare le stesse e pensarle lunghe e complesse«, conclude l'esperta». I password manager sono una buona soluzione, perché consentono di archiviarle in modo sicuro. «Esiste poi una nuova tecnologia chiamata passkey, che permette di memorizzare chiavi crittografiche al posto delle password. Consiglierei entrambe le soluzioni».