Password manager Firefox Lockbox: perché non ci ha convinto

La gestione delle password è diventata un’attività estremamente complessa: se da un lato le tecnologie per l’autenticazione a due fattori offrono un valido supporto mettendo a disposizione degli utenti una seconda linea di difesa, la corretta conservazione delle credenziali d’accesso è un problema tutt’altro che banale.

Chi sostiene di riuscire a tenere a mente le password mente o non si rende conto del problema o sta usando parole chiave uguali, molto simili e comunque davvero semplici: per essere sicura una password deve essere sufficientemente lunga e composta da una sequenza di caratteri alfanumerici (preferibilmente anche simboli), non deve inoltre contenere termini riconducibili all’utente o presenti in un dizionario: vedere Creare password sicura: oggi ricorre il World Password Day e No, le password complesse non sono facili da violare: che confusione!.

Scrivere le proprie credenziali su un foglio di carta o su un’agendina è sconsigliato perché tale supporto potrebbe essere perso, facilmente sottratto da parte di terzi oppure fotografato con tutte le conseguenze del caso (furti di identità in primis).

Si può ricorrere al password manager integrato nel browser per salvare le credenziali, recuperarle al bisogno e compilare automaticamente i form online ma c’è un problema di fondo: le misure di sicurezza implementate a protezione dei password manager utilizzati dai browser web sono facilmente aggirabili: Password manager di Firefox: master password indovinabile in pochi minuti.
Chi utilizza il password manager del browser web preferito dovrebbe quanto meno crittografare l’intera unità disco (agendo peraltro in ottica GDPR) e accertarsi che il sistema in uso venga bloccato – manualmente o automaticamente – quando non più in uso: Bloccare Windows quando il sistema non è utilizzato.

Sia Chrome che Firefox, inoltre, permettono la sincronizzazione delle password e in generale delle credenziali di accesso attivando uno scambio di dati via cloud. I dati degli utenti (password comprese) vengono salvati su server remoti, seppur in forma crittografata, rendendoli illeggibili a Google, Mozilla e ad altri soggetti.

Mentre siamo apertissimi all’utilizzo del cloud, abbiamo qualche riserva nell’acconsentire al backup e alla sincronizzazione delle credenziali personali appoggiandosi a server remoti gestiti da terzi. Come abbiamo più volte evidenziato, se si volessero creare backup su server amministrati da altri soggetti è bene crearvi unità crittografate protette utilizzando solidi algoritmi di cifratura e con la passphrase generata precedentemente in locale: Proteggere i file su Google Drive, OneDrive e Dropbox con la crittografia.

Firefox Lockbox non è un vero e proprio password manager quanto piuttosto un’applicazione che fa da ponte tra i server Mozilla, la funzionalità Firefox Sync e il dispositivo dell’utente.
L’applicazione, già lanciata nel 2018 nella versione per Apple iOS, debutta oggi in versione finale sui device Android (è scaricabile gratuitamente a questo indirizzo).

Chi non ha un account utente Firefox non potrà utilizzare Lockbox perché l’app si appoggia alle informazioni precedentemente caricate sui server Mozilla. Le credenziali non sono insomma gestite in ambito locale ma si fa riferimento sempre alle informazioni oggetto di backup tramite Firefox Sync.
Inoltre, Firefox Lockbox è utilizzabile solo da coloro che abbiano già effettuato o decidano di effettuare il login nel browser di Mozilla autorizzando il trasferimento dei dati in forma cifrata sui server della fondazione.

Firefox Lockbox è di fatto una sorta di clone del password manager del browser Mozilla (accede alle stesse informazioni personali) con la differenza che l’applicazione appena lanciata può integrarsi con il sistema operativo e consentire il login veloce – grazie al completamento automatico – anche nelle app installate sul dispositivo mobile.
Il completamento automatico si attiva in Android portandosi nelle impostazioni del sistema operativo, toccando la voce Sistema, Lingue e immissione, Avanzate quindi Compilazione automatica scegliendo infine Lockbox.

Non è possibile aggiungere nuove credenziali oppure modificare quelle già presenti da Firefox Lockbox: bisognerà necessariamente attendere che siano sincronizzate sul cloud dal browser Firefox.
Lockbox non è insomma altro che un “intermediario” tra i server Mozilla e i device mobili dell’utente.

A questo punto non è forse meglio attrezzarsi con soluzioni come Keepass e Keepass2Android come spiegato nell’articolo Gestione password: come farlo in sicurezza al paragrafo Gestire le password sui dispositivi Android?
Keepass permette all’utente di scegliere la passphrase da usare per proteggere gli archivi contenenti password e credenziali d’accesso; tutti i dati vengono conservati in locale e caricati sui principali servizi cloud solo su esplicita richiesta dell’utente. In quest’ultimo caso, però, gli archivi resteranno sempre crittografati e protetti con la password principale scelta in locale dall’utente.

Keepass, tra l’altro, è il software che è uscito meglio da una serie di verifiche sulla sicurezza dei password manager più utilizzati: Password manager, quanto sono davvero sicuri.

Ulteriori informazioni su Firefox Lockbox sono reperibili sul sito ufficiale e nelle FAQ.

Suggeriamo infine la lettura dell’articolo Come proteggere i propri dati ed evitare di subire attacchi.