La maggior parte delle violazioni dei dati inizia con una password rubata. Ecco come risolvere il problema.

      Da qualche parte nella tua organizzazione, in questo momento, un dipendente sta riutilizzando una password che ha creato nel 2019. Un altro sta condividendo le credenziali di accesso per un account di team tramite un DM di Slack. Un terzo sta memorizzando l'accesso al portale clienti nel riempimento automatico integrato di un browser, sincronizzato con un account Google personale che il tuo team IT non controlla. Nessuna di queste persone è negligente. Stanno semplicemente facendo ciò che la maggior parte dei lavoratori fa quando la loro azienda non ha un'infrastruttura per le password.

      Questo articolo contiene link affiliati. Se effettui un acquisto tramite questi link, potremmo guadagnare una commissione senza alcun costo aggiuntivo per te.

      Secondo il Rapporto sulle Indagini sulle Violazioni dei Dati 2024 di Verizon, le credenziali rubate sono state coinvolte in circa l'80% delle violazioni delle applicazioni web e rimangono il singolo vettore di attacco iniziale più comune in tutti i settori. Il modello è coerente anno dopo anno: un dipendente riutilizza una password, quella password appare in una violazione dei dati dei consumatori, un attaccante la testa contro i sistemi dell'azienda e la porta si apre. La violazione raramente appare drammatica. Sembra un accesso normale.

      La soluzione non è dire alle persone di scegliere password migliori. La soluzione è fornire loro un sistema che renda credenziali forti e uniche il predefinito e rimuova la tentazione di tagliare gli angoli. Questo è ciò per cui sono progettati i gestori di password aziendali. Ma la maggior parte di essi condivide un punto cieco che conta più di quanto la loro pubblicità suggerisca.

      Il problema dei metadati di cui nessuno parla

      Quando valuti un gestore di password, la prima cosa che controlli è la crittografia. Ogni prodotto serio utilizza AES-256. Ogni prodotto serio afferma di avere un'architettura a conoscenza zero. Ma l'ambito della crittografia varia più di quanto la maggior parte degli acquirenti realizzi, e la differenza ha conseguenze reali. Il 💜 della tecnologia UE Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      I gestori di password standard crittografano i contenuti del tuo vault: le password, le note sicure e i numeri di carta di credito che memorizzi. Ciò che spesso lasciano non protetto sono i metadati che circondano quegli elementi. I titoli degli elementi, gli URL associati, gli indirizzi email e i timestamp di accesso possono trovarsi sui server del fornitore in una forma che il fornitore può leggere. Questi metadati raccontano una storia. Rivelano quali servizi utilizza la tua azienda, quali dipendenti accedono a quali account e quando. Per un attaccante che viola l'infrastruttura del fornitore (o un governo che emette un subpoena), i metadati possono essere quasi altrettanto preziosi delle password stesse.

      Proton Pass for Business è stato creato per colmare questa lacuna. Sviluppato da Proton AG a Ginevra (lo stesso team dietro Proton Mail e Proton VPN), crittografa tutto: i contenuti del vault e tutti i metadati associati, inclusi i titoli degli elementi, gli URL, gli indirizzi email e i timestamp. La crittografia avviene sul tuo dispositivo prima che i dati raggiungano i server di Proton, e Proton non detiene chiavi di decrittazione. Anche se i suoi server venissero compromessi domani, gli attaccanti otterrebbero blob crittografati senza alcun modo di determinare cosa c'è dentro o quali siti web utilizza il tuo team.

      Tutte le applicazioni client sono open-source e sono state audit indipendentemente da Securitum. Questa non è una dichiarazione di fiducia. Il codice è pubblico. Chiunque può verificarlo.

      Cosa fa effettivamente il prodotto

      Oltre all'ambito della crittografia, Proton Pass include funzionalità che affrontano i modi pratici in cui la sicurezza delle password fallisce nelle organizzazioni reali.

      Autenticazione a due fattori integrata. Proton Pass genera codici TOTP direttamente all'interno dell'app, eliminando la necessità di un autenticatore separato. Quando un dipendente accede, la password e il codice di verifica si riempiono automaticamente insieme. Questo rimuove l'attrito che causa alla maggior parte dei team di saltare la 2FA su account "meno importanti" (che sono spesso gli account che gli attaccanti prendono di mira per primi).

      Alias email illimitati. Alimentato da SimpleLogin (acquisito da Proton nel 2022), ogni dipendente può generare un alias email unico per ogni servizio a cui si iscrive. Se un servizio di terze parti viene violato, solo l'alias è esposto. Disabilitalo istantaneamente e l'indirizzo reale del tuo dipendente rimane pulito. La maggior parte dei concorrenti manca completamente di questa funzionalità o addebita un costo aggiuntivo tramite integrazioni di terze parti.

      Monitoraggio del dark web. La scansione continua verifica se le credenziali del tuo team sono apparse in violazioni di dati note. Quando viene trovata una corrispondenza, gli amministratori ricevono un avviso con abbastanza contesto per agire prima che la credenziale compromessa venga sfruttata. Questo trasforma la gestione delle password da un processo reattivo (cambiando le password dopo un incidente) a uno proattivo.

      Supporto per passkey. Proton Pass gestisce le passkey FIDO2 su tutti i dispositivi, posizionando il tuo team per il graduale passaggio dalle password. Puoi memorizzare, sincronizzare e utilizzare le passkey insieme alle credenziali tradizionali durante il periodo di transizione.

      Controlli amministrativi scalabili. Il livello Professionale aggiunge SSO con Microsoft Entra ID, Okta e ADFS, oltre alla sincronizzazione della directory SCIM, registri delle attività, politiche di sicurezza aziendale e integrazione SIEM. I team IT possono fornire e revocare l'accesso centralmente, applicare regole di igiene delle password e auditare l'attività delle credenziali in tutta l'organizzazione.

      Cosa costa

      I prezzi di Proton Pass for Business superano la maggior parte dei concorrenti consolidati di un margine significativo.

      Pass Essentials costa $1.99 per utente al mese con fatturazione annuale (minimo tre utenti). Questo include memorizzazione illimitata delle password, l'autenticatore 2FA integrato, supporto per passkey, alias email illimitati, monitoraggio del dark web, controlli sulla salute delle password e condivisione sicura del vault. Per contesto, Bitwarden Teams parte da $4 per utente al mese e 1Password Business a $7.99.

      Pass Professional costa $4.85 per utente al mese (annuale, minimo tre utenti) e aggiunge SSO, SCIM, registri delle attività, politiche aziendali, protezione avanzata Proton Sentinel, allegati di file e accesso CLI.

      I team che necessitano anche di email crittografata, archiviazione cloud e VPN possono raggruppare Pass Professional all'interno di Proton Workspace Standard a $12.99 per utente al mese, che include l'intera suite di produttività Proton sotto giurisdizione svizzera.

      Tutti i piani includono una prova gratuita di 14 giorni senza necessità di carta di credito.

      Inizia la tua prova gratuita di 14 giorni di Proton Pass for Business

      Perché la giurisdizione svizzera è importante

      Proton AG opera secondo la legge svizzera, che offre alcune delle protezioni per la privacy più forti al mondo. La Svizzera è al di fuori degli accordi di condivisione dei dati dell'UE e degli Stati Uniti, e i tribunali svizzeri hanno storicamente fissato un alto standard per le richieste di dati governative. Combinato con la crittografia a conoscenza zero (Proton non detiene chiavi e quindi non ha nulla di significativo da consegnare), questo crea uno scudo legale e tecnico che i gestori di password con sede negli Stati Uniti non possono replicare.

      Per le organizzazioni soggette al GDPR, HIPAA o NIS2, Proton Pass detiene la certificazione ISO 27001 e fornisce il tipo di conformità verificabile a livello di architettura che gli auditor vogliono realmente vedere, non solo una casella da spuntare in una presentazione di vendita.

      Il test di 14 giorni

      La domanda pratica non è se il tuo team ha bisogno di un gestore di password. Quasi certamente ne ha bisogno. La domanda è se quello che scegli crittografa a sufficienza