Proton, la società svizzera che sviluppa soluzioni incentrate sulla privacy e la libertà digitale, ha annunciato un’ulteriore importante espansione del suo ecosistema con il lancio della beta di Proton Pass per gli utenti Lifetime e Visionary.
Un password manager – ha messo in evidenza l’azienda – è stata una delle richieste più frequenti da parte della community di Proton sin dal lancio di Proton Mail. Tuttavia, sebbene Proton Pass utilizzi la crittografia end-to-end per proteggere le credenziali di accesso, sarà molto più di un normale gestore di password, afferma il team di sviluppo, che ha anticipato anche che il lancio pubblico avverrà nel corso dell’anno.
Nel 2022, Proton ha unito le forze con SimpleLogin per offrire a milioni di utenti alias per nascondere la propria mail. Rendere i login più sicuri, più privati e più semplici era una parte fondamentale della visione originale di SimpleLogin. Infatti, Son Nguyen Kim, il fondatore di SimpleLogin, ha scelto il nome SimpleLogin proprio per questo motivo.
La fusione ha unito due organizzazioni con un interesse comune nell’affrontare questo problema, ha raccontato sul blog dell’azienda Andy Yen, founder e CEO di Proton. Ecco perché il team di SimpleLogin, affiancato da alcuni ingegneri di Proton, ha portato avanti il progetto Proton Pass.
Il lancio di Proton Pass è basato su due motivi principali, ha spiegato Andy Yen. In primo luogo, la collaborazione con SimpleLogin ha aumentato la capacità dell’azienda di sviluppare un nuovo password manager senza impattare sugli altri servizi Proton. In secondo luogo, le password sono informazioni talmente sensibili che un gestore di password non sicuro rappresenta un rischio per la comunità Proton.
Se un criminale informatico ottiene la password dell’utente (attraverso una violazione dei dati o un hackeraggio del password manager), può essenzialmente bypassare tutta la crittografia avanzata di Proton Mail.
Ed è per questo che il team di sviluppo ha voluto per prima cosa alzare il livello di sicurezza.
Proton Pass – secondo il team – è diverso perché è un password manager sviluppato da un’azienda che si occupa di crittografia e privacy, il che comporta differenze tangibili in termini di sicurezza. Ad esempio, afferma il team, mentre molti altri password manager criptano solo il campo della password, Proton Pass utilizza la crittografia end-to-end su tutti i campi (compresi il nome utente, l’indirizzo web e altro).
Questo è importante perché informazioni apparentemente innocue (come gli URL salvati, che molti altri password manager non crittografano, secondo il team di Proton) possono essere utilizzate per creare un profilo altamente dettagliato dell’utente.
I dettagli crittografici sono importanti e Proton Pass utilizza un’implementazione bcrypt per l’hashing delle password (le implementazioni deboli di PBKDF2 hanno reso vulnerabili altri gestori di password, afferma ancora il team) e un’implementazione rinforzata di Secure Remote Password (SRP) per l’autenticazione.
Proton Pass è anche un password manager che include un autenticatore a due fattori (2FA) completamente integrato e supporta il riempimento automatico 2FA. Questo ha lo scopo di rendere più facile l’uso del 2FA ovunque, poiché è una delle protezioni più efficaci per gli account online.
L’azienda ha condiviso sul proprio blog il security model adottato per Proton Pass.
Inoltre, come ogni altro servizio Proton, Proton Pass sarà open source e pubblicamente verificabile al momento del lancio, in modo che chiunque possa verificare in modo indipendente le caratteristiche di sicurezza e la loro implementazione.
La beta di Proton Pass è disponibile su iPhone/iPad, Android e desktop (sono disponibili estensioni del browser per Brave e Chrome).
