PwdFortress

Chi scrive su PwdFortress

Il nostro team: chi siamo, cosa testiamo e perché prendiamo sul serio la sicurezza delle password.

EG

Eric Gerard

Editore · Specialista in gestori di password e crittografia applicata

Editore indipendente da 12 anni, ex amministratore di rete presso una PMI industriale francese (Cisco CCNA 2014). Su PwdFortress, valuto ogni gestore di password dalle sue capacità documentate — crittografia pubblicata e KDF, modello zero-knowledge, opzioni di importazione, condivisione criptata — e dagli audit indipendenti pubblicati su di esso. Nessuna cifra pubblicata proviene da una brochure di marketing.

La mia carriera è iniziata nel 2010 come amministratore di rete per una PMI industriale francese: tre siti, due firewall Cisco ASA e responsabilità per un dominio Active Directory con la sua politica di complessità delle password. È lì che ho visto il divario tra la politica imposta dal CISO (12 caratteri, rotazione di 90 giorni, complessità) e la realtà dei post-it sotto le tastiere delle postazioni di lavoro. Ho ottenuto il Cisco CCNA nel 2014, poi sono passato alla pubblicazione tecnologica affiliata. Su PwdFortress lavoro da autodidatta sulla crittografia applicata: leggendo gli RFC (RFC 8018 PBKDF2, RFC 9106 Argon2, RFC 8949 CBOR per WebAuthn), studiando i whitepaper di Bitwarden e 1Password, e leggendo gli audit indipendenti di Cure53 e Praetorian pubblicati sui gestori che raccomandiamo. Valuto ogni prodotto sulle sue capacità documentate e fonti pubbliche: opzioni di vault e importazione, condivisione criptata, monitoraggio delle violazioni, recupero dell'account. Pubblico sotto il mio nome completo e rispondo personalmente alle domande tecniche tramite il modulo di contatto.

12+ anni nella pubblicazione tecnologica e infrastruttura di rete

Hai una domanda su un gestore che copriamo o un modello di minaccia? Inviami un'email direttamente a contact@pwdfortress.com — rispondo personalmente.

Aree di copertura

  • Test dei gestori di password (Bitwarden, 1Password, Proton Pass, NordPass, Dashlane, KeePassXC)
  • Audit del modello zero-knowledge: derivazione Argon2 / PBKDF2, crittografia del vault AES-256, condivisione sigillata
  • Test delle passkey (WebAuthn / FIDO2) su Chrome, Safari, Firefox e chiavi hardware YubiKey
  • Audit 2FA: TOTP, push, SMS, token hardware, codici di recupero
  • Migrazione tra gestori: esportazione sicura, importazione e cancellazione del vault precedente

Il nostro team esteso

Oltre a Eric, i nostri articoli tecnici passano attraverso un ciclo di revisione da parte di consulenti esterni, anonimizzati su loro richiesta. Non sono co-autori: sono revisori pagati su base per articolo per verificare le affermazioni crittografiche prima della pubblicazione.

  • Revisore tecnico #1 — Crittografia applicata

    13 anni di esperienza in crittografia applicata (team di sicurezza di una fintech francese), esperto in derivazione di chiavi (Argon2, scrypt, PBKDF2), audit degli schemi di crittografia dei vault, revisioni del codice TypeScript / Rust attorno a libsodium. Verifica le nostre affermazioni sui parametri KDF (memoria, iterazioni) e resistenza agli attacchi GPU prima della pubblicazione. Tempo medio di revisione: 6 giorni lavorativi.

  • Revisore tecnico #2 — Identità & WebAuthn

    10 anni in gestione dell'identità e standard FIDO (ex implementatore di un IdP OIDC + WebAuthn aziendale). Verifica i nostri articoli su passkey, attestazione dell'autenticatore, sincronizzazione iCloud Keychain / Google Password Manager e rischi di handoff cross-device. Tempo medio di revisione: 7 giorni lavorativi.

Standard editoriali

Ogni articolo pubblicato su PwdFortress segue il processo seguente, senza eccezioni o scorciatoie.

  • Revisione tecnica tra pari prima della pubblicazione

    Ogni articolo contenente affermazioni crittografiche misurabili (parametri KDF, modello di minaccia, affermazioni di sicurezza) è revisionato da uno dei nostri due revisori tecnici. Le affermazioni non verificabili vengono rimosse.

  • Fonti primarie richieste

    Ogni cifra o parametro crittografico citato deve puntare alla documentazione ufficiale del gestore (whitepaper, documenti per sviluppatori) o a un audit indipendente pubblicato (Cure53, Praetorian, NCC Group). Le affermazioni di marketing non vengono mai pubblicate senza verifica.

  • Ciclo di revisione massimo di 90 giorni

    Nessun articolo rimane pubblicato per più di 90 giorni senza una revisione del suo contenuto tecnico. La data di frontmatter (datePublished / dateModified) riflette l'ultima verifica reale, non una build CI cosmetica.

  • Politica di correzione pubblica

    Se viene segnalato un errore fattuale, lo correggiamo entro 48 ore lavorative e aggiungiamo una nota datata in fondo all'articolo che spiega il cambiamento. Nessuna correzione silenziosa.

  • Conflitti di interesse dichiarati su ogni pagina

    Le pagine contenenti link di affiliazione portano un disclaimer in cima: banner persistente + attributo HTML rel="sponsored nofollow" su ogni link commerciale. Nessuna eccezione.

Vedi il nostro processo di test in dettaglio

Leggi la metodologia completa