Ogni termine spiegato
senza gergo

Una stringa segreta di caratteri che usi per dimostrare di essere tu quando accedi a un servizio. È la chiave digitale che protegge i tuoi account. Una password forte è lunga, unica per ogni servizio, casuale e difficile da indovinare.

Il contenitore crittografato dove un gestore di password memorizza tutte le tue credenziali, note sicure e dati sensibili. È come una cassaforte digitale: può essere aperta solo con la tua password principale. Tutto ciò che c'è dentro è crittografato e illeggibile senza la chiave corretta.

L'unica password che devi ricordare in un gestore di password. Agisce come la chiave maestra che sblocca la tua cassaforte e genera la chiave crittografica che decrittografa tutti i tuoi dati. È l'unica password che non viene memorizzata da nessuna parte — esiste solo nella tua testa.

Il processo di identificazione a un sistema o applicazione inserendo le tue credenziali (solitamente nome utente e password) per accedere al tuo account. "Login" è il sostantivo (il processo di accesso) e "log in" è il verbo (l'azione di accedere).

Il processo di terminare formalmente una sessione attiva in un'app o servizio. Quando ti disconnetti, i token di sessione vengono invalidati e i dati vengono cancellati dalla memoria, impedendo ad altri utenti dello stesso dispositivo di accedere al tuo account.

L'insieme di dati che ti identifica presso un sistema: solitamente un nome utente (o email) più una password. Può anche includere certificati digitali, token hardware o dati biometrici.

Qualsiasi dato sensibile che deve rimanere privato: password, chiavi API, token, certificati o qualsiasi informazione che concede accesso ai sistemi. I moderni gestori di password permettono di memorizzare segreti di tutti i tipi, non solo password.

Il processo di trasformare dati leggibili in un formato illeggibile usando un algoritmo matematico e una chiave. Solo qualcuno con la chiave corretta può invertire il processo (decrittografare) e leggere le informazioni originali. È il fondamento di tutta la sicurezza nei gestori di password.

Lo standard di crittografia più utilizzato e attualmente considerato inviolabile. Il numero "256" si riferisce alla dimensione della chiave in bit: 2^256 combinazioni possibili. Violarlo con forza bruta richiederebbe più tempo dell'età dell'universo anche con tutti i computer del mondo. È lo stesso standard usato dai governi per le informazioni classificate.

Un algoritmo che trasforma la tua password principale (testo leggibile) in una chiave crittografica a 256 bit adatta per la crittografia. Lo fa eseguendo migliaia di operazioni matematiche ripetute, rendendo gli attacchi a forza bruta estremamente lenti. Se un hacker provasse a testare milioni di password, PBKDF2 lo farebbe durare anni invece di secondi.

Il processo di generare una chiave crittografica da un segreto (solitamente la tua password principale) usando un algoritmo specializzato come PBKDF2, Argon2 o bcrypt. Il risultato è una chiave binaria di lunghezza fissa che è deterministica (la stessa password produce sempre la stessa chiave) e irreversibile (non puoi ottenere la password dalla chiave).

Un valore casuale unico aggiunto a una password prima di derivarla o memorizzarla. Assicura che due utenti con la stessa password finiscano con chiavi completamente diverse. Protegge contro attacchi a dizionario e rainbow table (liste precomputate di hash comuni).

Un modello dove i dati sono crittografati sul dispositivo di origine e decrittografati solo sul dispositivo di destinazione. Nessun intermediario (né il fornitore del servizio né il server) può leggere i dati in transito. È la base di WhatsApp, Signal e gestori Zero Knowledge come Cleverpass.

Un sistema di sicurezza che richiede due prove di identità indipendenti per accedere: qualcosa che <em>conosci</em> (password) e qualcosa che <em>hai</em> (il tuo telefono, un codice temporaneo) o qualcosa che <em>sei</em> (biometria). Anche se la tua password viene rubata, senza il secondo fattore non possono entrare.

Un codice numerico a 6 cifre che cambia ogni 30 secondi e viene usato come secondo fattore di autenticazione. La tua app di autenticazione (Google Authenticator, Authy…) lo genera usando un algoritmo matematico che combina una chiave segreta con l'ora corrente. Senza il tuo dispositivo, il codice è impossibile da indovinare.

La capacità di sbloccare il gestore di password usando dati fisici unici del tuo corpo: impronta digitale (Touch ID), riconoscimento facciale (Face ID) o iride. È più veloce e comodo che digitare la password principale, anche se è comunque richiesta periodicamente o quando reinstalli l'app.

Un sistema che ti permette di autenticarti una volta per accedere a più servizi senza reinserire le credenziali. L'esempio più comune è "Accedi con Google" o "Continua con Apple." Un'identità centrale gestisce l'accesso a tutti i servizi federati.

Una credenziale crittografica che sostituisce completamente le password. Usa una coppia di chiavi pubblica/privata: il sito web memorizza la chiave pubblica e tu tieni la chiave privata sul tuo dispositivo. Per autenticarti, dimostri di possedere la chiave privata usando biometria locale o PIN. Resiste al phishing perché la chiave privata non viene mai condivisa.

La funzionalità che rileva automaticamente i campi nome utente e password nelle app e nei browser e li compila con le tue credenziali salvate con un tap. Elimina la necessità di digitare manualmente password lunghe e complesse.

Una misura di quanto sarebbe difficile indovinare o violare una password usando attacchi automatizzati. È calcolata in base a lunghezza, varietà di caratteri (maiuscole, minuscole, numeri, simboli) e casualità. È spesso espressa in bit di entropia o come punteggio debole/medio/forte/molto forte.

Uno strumento che crea password casuali e sicure automaticamente in base ai parametri che imposti: lunghezza, tipi di caratteri, parole vs. simboli. Rimuove l'abitudine umana di creare password prevedibili o riutilizzare le stesse.

Il processo di mantenere la cassaforte aggiornata e coerente su tutti i tuoi dispositivi (telefono, tablet, computer). Quando aggiungi o modifichi una credenziale su un dispositivo, le modifiche vengono propagate automaticamente agli altri tramite l'archiviazione cloud.

Una stringa di dati che rappresenta un'identità o un permesso di accesso verificato. Invece di inviare la tua password con ogni richiesta a un server, il sistema emette un token quando ti autentichi. Le richieste successive usano quel token. Se il token scade o viene revocato, devi autenticarti di nuovo.

Un token di breve durata (minuti o ore) che autorizza l'accesso a risorse specifiche. Viene inviato con ogni richiesta per dimostrare che hai il permesso. Poiché è di breve durata, se qualcuno lo intercetta la finestra di attacco è piccola. È comune nelle API e nei sistemi OAuth.

Un token di lunga durata (giorni o mesi) usato solo per ottenere nuovi token di accesso quando scadono, senza richiedere all'utente di reinserire le credenziali. Viene inviato solo al server di autenticazione, non con ogni richiesta, il che riduce la sua esposizione al furto.

Un modello di progettazione del sistema dove il fornitore del servizio non ha accesso tecnico ai dati sensibili dell'utente. I dati sono crittografati sul dispositivo dell'utente prima di lasciarlo, e il fornitore memorizza (o trasmette) solo dati che sono già crittografati e non possono essere decrittografati. Anche sotto ordine del tribunale, non può rivelare le password perché matematicamente non può accedervi.

Un protocollo standard che permette a un'app di accedere a risorse di un'altra per tuo conto senza condividere la tua password. Quando un'app ti chiede di "Connetti con Google", usa OAuth. Dai a quell'app il permesso di accedere a certi dati di Google (ad esempio, il tuo Drive), ma Google non condivide mai la tua password con l'app.

Una misura della casualità e imprevedibilità di una password o chiave crittografica, espressa in bit. Più bit di entropia significano più combinazioni possibili e più difficile da indovinare. Una password con 128 bit di entropia ha 2^128 combinazioni possibili — praticamente impossibile da violare.

Un incidente di sicurezza dove dati riservati vengono acceduti, copiati o rubati senza autorizzazione. Può colpire milioni di utenti contemporaneamente quando un'azienda viene hackerata. Le password trapelate nelle violazioni spesso appaiono sul dark web e vengono usate in attacchi successivi.

Una password che è stata esposta in una violazione dei dati o è conosciuta dagli attaccanti. Una password compromessa dovrebbe essere cambiata immediatamente su ogni servizio dove viene usata. I moderni gestori di password confrontano le tue password con i database delle violazioni e ti avvisano.

Un attacco di ingegneria sociale dove un attaccante si spaccia per un'entità fidata (banca, social network, azienda) per indurti a inserire le tue credenziali su un sito falso. Di solito arriva via email, SMS o messaggio istantaneo con un link a una copia del sito legittimo.

Una tecnica di attacco dove tutte le possibili combinazioni di password vengono provate sistematicamente fino a trovare quella corretta. Con i computer moderni, una semplice password di 8 caratteri può essere violata in ore. Ecco perché la lunghezza conta e perché PBKDF2 rallenta ogni tentativo.

Un attacco automatizzato dove combinazioni nome utente/password trapelate in violazioni precedenti vengono provate contro altri servizi. Funziona perché molte persone riutilizzano la stessa password su più siti. Se la tua password trapela da un forum, gli attaccanti testano quella stessa sulla tua banca o email.

Un attacco dove una terza parte intercetta le comunicazioni tra due parti (ad esempio tu e un sito web) senza che nessuna delle due lo sappia. L'attaccante può leggere, modificare o iniettare dati. La crittografia end-to-end rende l'intercettazione dei dati inutile: anche se li catturano, sono crittografati.