Sono passato da LastPass a 1Password (e dovresti farlo anche tu)
Arance
Uso LastPass come gestore di password principale da molti anni: se dovessi indovinare, direi che devono essere quasi 10 anni ormai. E in quegli anni, mi ha deluso, deluso e frustrato in più occasioni. Qualche settimana fa, sono finalmente passato a 1Password. Avrei dovuto farlo secoli fa.
Per essere chiari, non c’è niente di palesemente sbagliato in LastPass, o almeno è quello che mi sono detto per diversi anni. Certo, l’app per Android non sempre riempie automaticamente le opzioni e l’estensione di Chrome rimane connessa letteralmente tutto il tempo. Anche l’app ha subito diverse violazioni dei dati nel corso degli anni. Ma è tutto normale, giusto?
Neanche vicino.
Onestamente non mi rendevo conto di quanto fosse scadente LastPass come gestore di password finché non ho usato 1Password. I problemi di riempimento automatico di Android sono una cosa, nella migliore delle ipotesi un piccolo fastidio, ma la scarsa implementazione della sicurezza per un’app che dovrebbe archiviare alcune delle tue informazioni più private è assolutamente imperdonabile.
I protocolli di sicurezza di LastPass sono patetici
Se hai un account LastPass, sai già come funziona: installi l’app o vai al sito Web e accedi. Forse hai anche abilitato l’autenticazione a due fattori sul tuo account, buon per te. Ma è facoltativo e, se non sai già che LastPass offre 2FA, è praticamente garantito che non lo abbia abilitato. (Come hai potuto abilitare qualcosa di cui non eri a conoscenza, dopo tutto?)
E se installi l’estensione Chrome, devi accedere solo una volta. Dopodiché, finché il computer rimane online, non ti verrà mai più chiesto di accedere. A quel punto, chiunque abbia accesso al tuo computer ha accesso anche alle tue password. È un disastro che aspetta solo di accadere. Puoi modificare questo comportamento nelle impostazioni dell’estensione di LastPass, ma è semplicemente sconcertante che il blocco automatico non sia abilitato per impostazione predefinita. Non dovresti dover optare per una maggiore sicurezza, specialmente in un gestore di password.
Ma 1Password fa le cose in modo diverso. Prima di tutto, non solo forza la 2FA fuori dagli schemi, ma imposta una "chiave segreta" quando crei il tuo account. Questa è una chiave molto complessa che è richiesta ogni volta che accedi su un nuovo dispositivo (nota: solo al primo accesso—dopo la conferma del dispositivo, puoi accedere solo con il tuo nome utente e password). La chiave viene generata automaticamente e condivisa con te in un documento quando ti iscrivi a 1Password. Anche questa chiave viene memorizzata sui tuoi dispositivi fidati, quindi è facile tenerlo al sicuro ma difficile da perdere.
Questo è un grande livello di sicurezza per tutte le tue password. Sai cos’altro fa 1Password che LastPass non fa? Blocca automaticamente il vault nell’estensione di Chrome per impostazione predefinita. Sia 1Password che LastPass bloccano il caveau dopo un periodo di inattività sui dispositivi mobili, ma lo stesso non vale per le estensioni del browser. È sconcertante. (Se usi LastPass e non vuoi cambiare, abilita questa funzione Opzioni account > Preferenze estensioni > Esci dopo questi molti minuti di inattività.)
Perché non è abilitato per impostazione predefinita?
Ora, LastPass potrebbe risolvere entrambi questi problemi abbastanza facilmente forzando 2FA e bloccando automaticamente il caveau per impostazione predefinita. Ma sono passati anni ormai e nessuna di queste cose è stata fatta. Difficile dire se o quando mai lo faranno. Quindi, è ora di cambiare.
1Password non ha mai riscontrato una violazione dei dati
Dal 2011, LastPass è stato coinvolto in cinque violazioni dei dati o altri incidenti di sicurezza: 2011, 2015, 2016, 2017 e 2019. Ad essere onesti, alcuni di questi non erano gravi; solo exploit che sono stati scoperti. E in tutti questi casi, LastPass ha svolto un lavoro notevole nel disabilitare o correggere queste vulnerabilità. È giusto dare credito dove è dovuto.
Ma se cerchi " violazione dei dati di 1password " su Google, la prima opzione non è una perdita di alto profilo di cui faceva parte 1Password. È un collegamento al blog 1Password su cosa accadrebbe se l’azienda dovesse mai essere parte di una violazione, che inizia con le parole "1Password non è mai stata violata". Se stai considerando un interruttore, vale la pena leggerlo. Anche se non stai considerando un passaggio in questo momento, vale la pena leggerlo. Potrebbe farti cambiare idea.
L’app per Android è molto più affidabile
Puoi cercare nel deposito di 1Password direttamente dalla finestra di dialogo di riempimento automatico Cam
Uno dei miei più grandi problemi con LastPass è quanto sia stata assolutamente inaffidabile l’opzione di riempimento automatico dell’app Android, anche dopo che Google ha implementato l’API di riempimento automatico, che speravo risolvesse questi problemi. Ma no.
Non sono sicuro di quale sia il fattore determinante qui, ma a volte la funzione di riempimento automatico funziona bene su LastPass. Altre volte non viene mai richiesto. E altri, richiede ma dice che non ci sono password salvate per quell’app/sito. E non c’è un modo per cercare direttamente dal prompt di riempimento automatico.
Ancora una volta, 1Password risolve tutti questi problemi. Per cominciare, non c’è stata una sola volta che non ha offerto una richiesta su una casella della password. E nel caso in cui non associ una password di un sito alla relativa app, puoi cercare direttamente dal prompt e assegnare la password al sito proprio lì: bastano pochi tocchi. Dopodiché, l’associazione viene archiviata, quindi accedere la volta successiva sarà ancora più semplice. LastPass non ha niente del genere.
Ora, per essere onesti, se sei un utente iOS, probabilmente non hai riscontrato nessuno di questi problemi. Le opzioni di riempimento automatico della password iOS sembrano funzionare in modo molto più affidabile rispetto a quelle di Android, poiché non ho riscontrato alcun problema con LastPass su iOS. Detto questo, 1Password funziona altrettanto bene, quindi non perdi nulla se fai il salto.
Il cambio è stato più indolore di quanto mi aspettassi
Ho una confessione imbarazzante: il motivo principale per cui non ho cambiato prima è che non volevo perdere tempo per farlo. Nella mia testa, ci sarebbero volute ore. In realtà è così scorretto che mi sento stupido solo a dirlo. Il passaggio ha richiesto letteralmente cinque minuti. Nessuno scherzo: cinque.
In effetti, 1Password ha un’eccellente guida su come fare proprio questo sul suo sito di supporto. In definitiva, si riduce a due passaggi: esporta il tuo deposito LastPass, quindi importalo in 1Password. Nella mia esperienza, tutto si è sincronizzato magnificamente.
Tutto sommato, avevo 1Password attivo e funzionante su tre telefoni e quattro computer in circa 20 minuti, che include la rimozione di LastPass da quei dispositivi. Mi sento ridicolo ad aspettare così tanto.
C’è però un piccolo problema. Per qualche motivo, esistono due versioni dell’estensione del browser 1Password: una richiede l’installazione dell’app desktop e l’altra no. Consiglio di utilizzare l’ estensione 1PasswordX, che funziona da sola. Altrimenti, dovrai anche installare l’app desktop, che onestamente è solo un po’ ridondante. Come bonus aggiuntivo, l’estensione 1Password ha un impatto molto inferiore sulle risorse di sistema rispetto all’estensione LastPass (almeno in Chrome).
Ma c’è anche la questione dei prezzi. Per la maggior parte delle persone, LastPass è gratuito: puoi usarlo su più dispositivi senza pagare un centesimo. Se desideri aggiungere al mix spazio di archiviazione di file crittografati, puoi farlo per $ 3 al mese.
I piani di 1Password.
Ma 1Password costa $ 3 al mese fuori dal cancello o $ 5 al mese per tutta la tua famiglia. Conosci il detto "ottieni quello per cui paghi?" Bene, non penso che sia più vero di quanto non sia qui: 1Password è più sicuro e più conveniente di LastPass, il che vale più di $ 3 al mese.
Se stai pensando di passare da LastPass a 1Password, lo consiglio vivamente. Vorrei averlo fatto anni fa.
Divulgazione: 1Password offre account gratuiti per i giornalisti, a cui sono passato prima di scrivere. Questo non ha in alcun modo modellato i risultati o il risultato dell’articolo.