Firefox Lockwise da oggi segnala possibili furti delle password

Si chiama Lockwise il password manager integrato nelle ultime versioni del browser Firefox sul quale ha deciso di scommettere Mozilla.
La sua principale peculiarità è quella di facilitare la sincronizzazione delle credenziali di accesso su tutti i dispositivi: desktop, notebook ma anche tablet e smartphone (sui device mobili previa installazione dell’omonima applicazione).
Lockwise utilizza la crittografia AES-256-GCM per proteggere i dati, anche durante il trasferimento da un dispositivo all’altro. Il servizio si appoggia al cloud di Mozilla ma il database delle password viene crittografato prima dell’invio sui server remoti cosicché neppure Mozilla possa leggere nomi utente e password altrui in chiaro.

Domani 7 maggio ricorre il World Password Day (Creare password sicura: oggi ricorre il World Password Day): con il rilascio del nuovo Firefox 76, Mozilla ha quindi voluto aggiungere una nuova funzionalità a Lockwise.

Si tratta di un meccanismo che consente di essere immediatamente informati nel momento in cui un sito web sul quale si usano proprie credenziali subisse un attacco informatico: in questo modo si avrà la possibilità di correre ai ripari modificando la password in uso.

Per ottenere questo tipo di informazioni basta accedere a Lockwise da Firefox oppure digitare semplicemente about:logins nella barra degli indirizzi del browser.

Nel caso in cui non si fosse impostata alcuna master password in Lockwise, il password manager di Firefox d’ora in avanti richiederà l’inserimento della password a protezione dell’account Windows o macOS.

Dicevamo che Lockwise ha la possibilità di configurare una master password separata rispetto alla password usata a protezione dell’account Firefox. Tuttavia, la master password serve solo per crittografare le password in locale sul PC. Va tenuto presente che se un aggressore riuscisse a ottenere l’accesso all’account Firefox dell’utente, egli potrà accedere a Firefox usando un altro dispositivo (dove non è stata impostata una password master) e visualizzare tutte le password salvate dell’utente.

Inoltre, se un aggressore riuscisse a impadronirsi dello smartphone dell’utente sul quale è installato il browser Firefox, a sua volta sincronizzato con l’account Firefox, lo stesso malintenzionato riuscirebbe a visualizzare tutte le password salvate.

Gestori di password come LastPass o Bitwarden l’inserimento della password viene chiesto ogni volta che l’utente vuole usare l’applicazione. E se si fosse allergici alle soluzioni cloud-based, ci si può sempre rivolgere al buon vecchio Keepass o a Psono (soprattutto se si lavora in team): Memorizzare password e gestirle tra collaboratori con Psono.