Dopo una fase di beta con accesso limitato, Proton ha annunciato il lancio globale di Proton Pass, disponibile ora come estensione per la maggior parte dei principali browser (Chrome, Firefox, Edge, Brave e altri, sembra però mancare Safari) e su iPhone, iPad e Android.
Come suggerisce il nome, Proton Pass è un password manager, che l’azienda afferma essere uno dei servizi più richiesti dalla community Proton nei suoi sondaggi annuali da quando ha lanciato Proton Mail, il servizio di posta elettronica criptata, nel 2014.
Proton Pass è progettato per consentire agli utenti di seguire facilmente le best practice di sicurezza, come l’uso di una passphrase al posto della password o l’uso di una password unica per ogni sito web, senza preoccuparsi di dimenticare le password. Inoltre, fa risparmiare tempo consentendo di accedere con un solo clic quando si torna su un sito web. Proton Pass – sottolinea l’azienda – fa tutto questo con l’attenzione tipica di Proton alla privacy e alla crittografia.
Ma, aggiunge la società sviluppatrice, Proton Pass è più di un semplice password manager: Proton lo definisce un identity manager, un concetto molto più potente.
Quando la maggior parte delle persone pensa all’e-mail, pensa all’invio e alla ricezione di messaggi, ma probabilmente sono passati 15-20 anni da quando l’e-mail era principalmente un mezzo di comunicazione. Oggi – evidenzia Proton – il proprio indirizzo e-mail è in realtà la propria identità: è il passaporto digitale che identifica chi siamo online.
Quando ci si iscrive a un nuovo account online, di solito si forniscono due informazioni preziose. La prima è ovviamente la password e la seconda è l’indirizzo e-mail. Di queste due informazioni, afferma in modo apparentemente sorprendente Proton, la password è molto meno preziosa. La password è facile da cambiare e, se si seguono le best practice in materia di password, sarà unica in modo che una fuga di notizie non comprometta un altro account. Inoltre, se il sito web segue le best practice di sicurezza, la password sarà sottoposta a hash in modo da non essere esposta in caso di violazione.
Tuttavia, questo non è il caso della e-mail. Innanzitutto, un indirizzo e-mail è incredibilmente difficile da cambiare. In secondo luogo, sottolinea ancora Proton, i siti web non possono fare l’hash dell’indirizzo e-mail perché ne hanno bisogno per inviare i messaggi agli utenti, quindi gli indirizzi e-mail sono quasi sempre soggetti a leak nelle violazioni dei dati. Inoltre, una volta che il proprio indirizzo e-mail è trapelato, la propria identità reale può essere collegata al sito web a cui ci si è iscritti. I leak possono anche esporre il nostro indirizzo e-mail a malintenzionati che potrebbero inviare spam o pericolose e-mail di phishing.
Mentre la maggior parte dei gestori di password può proteggere la password degli utenti, Proton Pass va oltre, proteggendo anche l’e-mail, che è probabilmente la più preziosa delle due informazioni che i siti web hanno sugli utenti, afferma Proton.
Quando l’utente si iscrive a un servizio online, Proton Pass suggerisce una password sicura e la memorizza in una cassaforte digitale crittografata end-to-end. Inoltre, Proton Pass consentirà anche di creare un alias “hide-my-email“.
Un alias e-mail è un indirizzo e-mail generato in modo casuale che si colloca tra una terza parte (come Amazon, Facebook o Netflix) e il vero account e-mail dell’utente. Questo – spiega Proton – non solo impedisce alle terze parti di identificare l’identità dell’utente, ma filtra anche i tracker e altri strumenti di marketing prima di inoltrare i messaggi alla casella di posta principale dell’utente.
Se ci si iscrive a un sito web utilizzando un alias hide-my-email e questo viene violato, la violazione può esporre solo l’alias. Il vero indirizzo e-mail dell’utente rimarrebbe al sicuro. Se ciò accade e si iniziano a ricevere e-mail di phishing o spam tramite quell’alias, è sufficiente disabilitarlo.
L’azienda sottolinea che gli alias hide-my-email di Proton Pass funzionano con tutti i servizi di posta elettronica, non solo con Proton Mail.
Come tutti gli altri servizi Proton, mette in evidenza la società sviluppatrice, Proton Pass è stato progettato con una particolare attenzione alla privacy e alla crittografia. Ad esempio, mentre alcuni altri gestori di password criptano solo il campo della password, Proton Pass utilizza la crittografia end-to-end su tutti i campi (compresi il nome utente, l’indirizzo web e altro).
Questo è importante – spiega l’azienda – perché informazioni apparentemente innocue (come gli URL salvati, che altri password manager non cifrano) possono essere utilizzate per creare un profilo altamente dettagliato sull’utente.
Proton Pass utilizza una robusta implementazione di hashing delle password bcrypt (le implementazioni deboli di PBKDF2 hanno causato in passato problemi di sicurezza con i password manager, spiega l’azienda) e un’implementazione rinforzata di Secure Remote Password (SRP) per l’autenticazione. Proton Pass si sincronizza inoltre su più dispositivi e fornisce backup automatici dei dati crittografati end-to-end, in modo da non perdere le password anche se si perdono i dispositivi.
Infine, in linea con la lunga tradizione di trasparenza di Proton, Proton Pass è open source e chiunque può esaminare e verificare la sua architettura di sicurezza. Proton Pass è stato anche recentemente sottoposto a un audit da parte di Cure53, di cui l’azienda ha annunciato che condividerà i dettagli nelle prossime settimane.
Proton ritiene che la privacy sia un diritto fondamentale, sottolinea l’azienda, ed è per questo che ha reso Proton Pass disponibile gratuitamente. La società sviluppatrice ritiene che le sue caratteristiche, unite alla giurisdizione svizzera favorevole alla privacy di Proton, lo rendano uno dei migliori password manager gratuiti oggi disponibili. La versione gratuita di Proton Pass supporta un numero illimitato di accessi, un numero illimitato di note crittografate e un numero limitato di alias hide-my-email e di accessi 2FA.
Tuttavia, se l’utente desidera supportare Proton e beneficiare di ulteriori funzionalità, come ad esempio caveau extra per organizzare gli accessi, alias e-mail illimitati e accessi 2FA illimitati, può sottoscrivere un abbonamento a pagamento.
Per chi ha un piano Proton Unlimited, Business, Visionary o Family, la versione a pagamento di Proton Pass è già inclusa gratuitamente nell’abbonamento. Altrimenti, per un periodo limitato, l’azienda offrirà Proton Pass Plus con uno sconto dell’80%: sta rendendo disponibile Proton Pass Plus a solo 1 euro al mese (invece di 4,99 euro) con un abbonamento annuale fino alla fine di luglio.
L’azienda annuncia inoltre che si tratta di uno sconto per sempre, quindi chi usufruisce della promozione, manterrà questo prezzo per sempre, anche quando Proton Pass Plus tornerà al suo prezzo normale.
