Google ha rilasciato Chrome 69, che celebra il decimo compleanno del browser. La nuova versione del browser più utilizzato al mondo include una rinnovata interfaccia utente e una casella di ricerca che restituisce risultati e suggerisce automaticamente le query di ricerca. Ma la novità più importante è la funzionalità di gestione delle password.

La gestione delle password è una funzione integrata in Chrome già dal 2015, quando Google ha iniziato a offrire la memorizzazione delle password all’interno del browser come parte della funzione Smart Lock. Di fatto, la possibilità di memorizzare le password in Chrome esisteva anche prima, ma non era molto utilizzata perché sollevava dubbi sulla sicurezza.

Ora, tuttavia, Google ha compiuto un ulteriore passo in avanti. Chrome permette di creare e archiviare una password casuale la prima volta che l’utente accede a un sito. Successivamente, quando l’utente accede allo stesso sito (e previo consenso), Google utilizzerà la password già memorizzata.

Questo rende estremamente facile per gli utenti di Chrome generare password “sicure” per ogni nuovo sito, perché la password creata dal browser è essenzialmente un mix casuale di numeri e lettere. Al momento non è chiaro se Chrome sarà in grado di generare automaticamente password conformi alle regole di un sito: si pensi ai siti che accettano solo password con un numero minimo di caratteri, la presenza di un carattere speciale, minuscole e maiuscole, e così via. In ogni caso, nei test che ho eseguito personalmente, le password generate erano conformi. Nell’immagine qui sotto vedete un esempio di generazione password.

chrome 69 password

Quanto è sicuro Chrome?

Più chiavi vengono memorizzate in Chrome, più è importante che Chrome sia totalmente sicuro. Per garantire la sicurezza del browser l’utente ha alcune opzioni a disposizione. Innanzitutto tenete presente che, se archiviate in Chrome una password casuale per un sito come Netflix, dovrete comunque inserire tale password quando accedete a Netflix all’interno di un’app o su un dispositivo di streaming che non utilizza Chrome come interfaccia.

Tutte le password memorizzate in Chrome dovrebbero essere accessibili tramite password.google.com, dove si può cercare il nome del sito e recuperare ogni singola password. Se fate una verifica, probabilmente rimarrete stupiti dal numero di password memorizzate all’interno di Chrome. Per accedere alla pagina dovete prima digitare la password del vostro account Google.

Ed è proprio la password principale che dovete assolutamente proteggere. Assicuratevi che sia unica e scegliete una passphrase lunga con un numero sufficiente di caratteri casuali al suo interno per ingannare sia i robot che i malintenzionati. Non salvate mai questa password in un documento condiviso o in una email salvata.

Il sito passwords.google.com richiede la password Google prima di mostrare l’elenco completo delle password salvate. Tenete presente che, se utilizzate più di un browser, la vostra password potrebbe essere archiviata come qualsiasi altra. Nel browser Edge di Windows, per esempio, il gestore delle password non rivela nessuna delle password memorizzate, ma se avete incautamente permesso a Edge di memorizzare la vostra password Google nell’elenco principale, un utente malintenzionato può accedere alle password di Google con un solo clic e senza conoscere nessuna delle password accuratamente memorizzate.

Per ovviare al problema, è possibile rimuovere le password Google memorizzate in Edge. Andate su Impostazioni Edge> Impostazioni avanzate> Gestisci password, quindi fate clic con il pulsante destro del mouse su un determinato sito e poi su “Rimuovi credenziali” per cancellare le password memorizzate. Potete anche attivare la funzionalità “Blocco dinamico” di Windows, che permette di bloccare automaticamente un PC quando un telefono sincronizzato esce dalla portata, andando su Impostazioni> Opzioni di accesso> Blocco dinamico.

La comodità può indebolire l’autenticazione a due fattori

L’autenticazione a due fattori combina qualcosa che conosciamo, per esempio una password, con qualcosa che possediamo, come un telefono. Se avete attivato l’autenticazione a due fattori per il vostro account Google quando accedete a Google da un nuovo PC vi viene richiesta la password, quindi viene inviato un codice di sicurezza al vostro telefono tramite l’app Google Authenticator.

Nel corso del tempo, tuttavia, potreste essere tentati di consentire a Google di “fidarsi di questo computer”. Questo fa risparmiare tempo, ma limita anche le garanzie di sicurezza dell’autenticazione a due fattori.

All’interno di myaccount.google.com sono presenti controlli per garantire l’attivazione della verifica a due fattori, oltre a un controllo per la revoca dello stato di fiducia dei dispositivi registrati. Non è possibile selezionare un singolo dispositivo: se scegliete questa opzione, la revoca viene applicata a tutti i dispositivi. Tuttavia, l’idea di fondo è garantire un accesso sicuro dei dati da parte di Chrome e proteggere l’utente da eventuali accessi malevoli.

Se l’autenticazione a due fattori non è ancora sufficiente, possono essere introdotti ulteriori livelli di sicurezza con dispositivi hardware, come YubiKey, che generano password one-time per garantire un accesso più sicuro ai siti web.