Il tuo gestore di password dopo la morte
Un gestore di password è la chiave maestra della tua vita digitale: un'unica cassaforte cifrata che custodisce le credenziali della tua banca, della tua email, delle tue foto, dei tuoi abbonamenti e di quasi tutto il resto a cui accedi. Dopo la tua morte, quello stesso progetto diventa un singolo punto di vulnerabilità. La cassaforte è protetta da una password principale che, per progettazione, nessun altro conosce e che il fornitore stesso non può recuperare. Se non hai predisposto un modo per entrare, la tua famiglia eredita una scatola chiusa a chiave e nessuna chiave.
Questa pagina spiega cosa accade a un gestore di password dopo la morte, come i principali strumenti gestiscono l'accesso di emergenza e per lascito, e come configurarlo passo dopo passo. Tratta anche la verità più difficile che sta sotto: entrare nella cassaforte è solo il primo problema, e l'accesso che essa concede non è la stessa cosa dell'autorità di agire, né della persona che la tua famiglia ha perso.
Perché una cassaforte è diversa da un normale account
Aiuta capire perché un gestore di password fallisce così completamente alla morte, mentre una banca o un fornitore di email no. La maggior parte degli account che possiedi è detenuta da un custode che può leggerli. Una banca può verificare un certificato di morte e liberare i fondi; un fornitore di email può, in alcuni casi, concedere l'accesso a un esecutore. Il custode detiene i dati e può scegliere di consegnarli.
Un gestore di password serio è deliberatamente costruito affinché non esista alcun custode. Utilizza la crittografia end-to-end legata a una password principale che il fornitore non vede mai e non può reimpostare. Questa è la funzione per cui paghi mentre sei in vita, perché significa che una violazione dei server dell'azienda non espone nulla di utilizzabile. Dopo la tua morte diventa il problema: non c'è nessuno con il potere di far entrare la tua famiglia, perché il progetto ha specificamente rimosso quel potere a chiunque, fornitore incluso. Le uniche vie d'accesso sono quelle che predisponi tu stesso in anticipo.
Accesso di emergenza e per lascito a confronto
I principali gestori di password conoscono il problema della chiave maestra e la maggior parte offre un modo per designare qualcuno che possa recuperare la tua cassaforte. I meccanismi differiscono in modi importanti, e le differenze contano di più nel momento peggiore possibile.
1Password non ha un interruttore di morte come tale. Ti fornisce invece un Emergency Kit, un documento stampabile contenente l'email del tuo account, la tua Secret Key e uno spazio per scrivere la tua password principale. Chiunque possieda un Emergency Kit completato può accedere pienamente. Per gli account condivisi e di famiglia, un organizzatore della famiglia può anche recuperare l'account di un altro membro, che è la cosa più vicina a una vera funzione di lascito che 1Password offra. Il kit è il modello: un manufatto fisico che conservi in un luogo sicuro, non un passaggio di consegne automatizzato.
LastPass offre l'Emergency Access integrato nel prodotto. Designi una persona fidata che ha già un account LastPass, e imposti un periodo di attesa. Quando questa richiede l'accesso, vieni avvisato e hai la durata di quel periodo di attesa per rifiutare. Se non fai nulla, perché sei morto, l'accesso viene concesso automaticamente alla scadenza del timer. Bitwarden funziona sullo stesso modello con la propria funzione Emergency Access: un fiduciario designato, un tempo di attesa configurabile, e diritti di visualizzazione o di acquisizione della cassaforte una volta che la richiesta matura senza essere sollecitata.
Apple segue una via diversa. Apple Passwords non ha uno strumento di accesso di emergenza autonomo, ma risiede all'interno del tuo Apple Account, che supporta un Legacy Contact. Designi delle persone che, dopo la tua morte, possono richiedere l'accesso ai dati del tuo account fornendo un certificato di morte e una chiave di accesso generata da Apple. È valido per l'intero account anziché specifico per le password, ed è regolato dalla revisione di Apple anziché da un semplice timer. La lezione pratica per tutti e quattro è che non esiste un unico standard. Due di loro automatizzano l'accesso con un timer, uno ti consegna un manufatto stampato da conservare tu stesso, e uno integra la questione in un processo più ampio di recupero dell'account. Qualunque tu usi, devi apprenderne le regole specifiche anziché presumere che esista un interruttore di morte per impostazione predefinita.
Every one of these tools is built on the same quiet bet: that the person you nominate is still the right person, and still reachable, on the day it matters.
Il modello del periodo di attesa, e perché esiste
Il periodo di attesa è il cuore dell'approccio automatizzato usato da LastPass e Bitwarden, e merita di essere compreso anziché soltanto accettato con un clic. La logica è un equilibrio tra due rischi. Se l'accesso fosse immediato, un contatto fidato malintenzionato potrebbe impossessarsi della tua cassaforte mentre sei vivo e vegeto. Se l'accesso fosse impossibile senza di te, la funzione sarebbe inutile alla morte. Il periodo di attesa media tra i due: ti dà, in quanto titolare dell'account in vita, una finestra per notare la richiesta e rifiutarla. Il silenzio viene interpretato come consenso, e dopo la tua morte il silenzio è tutto ciò che resta.
Questo è elegante, ma ha un lato tagliente. La finestra ti protegge solo se sei in vita per vedere la notifica, il che significa che dipende dal fatto che tu controlli ancora l'email o il dispositivo a cui arriva l'avviso. Significa anche che a decidere l'esito è il timer, non un giudizio umano. Non c'è alcun esecutore che esamina la richiesta, nessuna verifica che questo sia genuinamente il momento giusto. La stessa lacuna strutturale compare in tutti i conti digitali dopo la morte: gli strumenti delle piattaforme automatizzano una decisione che, in una successione, vuole davvero una persona con autorità alle spalle.
Come configurare l'accesso di emergenza, passo dopo passo
Qualunque gestore tu usi, la configurazione segue una forma simile. Il punto è farlo deliberatamente mentre sei in vita e in grado, e mettere per iscritto dove si trova la via di recupero affinché possa essere effettivamente trovata.
Scegli la persona giusta. Scegli qualcuno di cui ti fidi completamente e che è probabile ti sopravviva, e digli che lo hai designato. Un contatto fidato che non sa di esserlo non è di alcun aiuto.
In LastPass o Bitwarden, apri Emergency Access nelle impostazioni dell'account, aggiungi quella persona tramite email, e scegli i diritti di visualizzazione o di acquisizione. Avrà bisogno di un proprio account gratuito per accettare l'invito.
Imposta un periodo di attesa con cui ti senti a tuo agio. Più breve significa accesso più rapido per la tua famiglia ma meno tempo per te per intercettare una richiesta indebita; più lungo è il contrario. Da qualche giorno a una settimana è una via di mezzo comune.
In 1Password, genera e stampa il tuo Emergency Kit, scrivi a mano la tua password principale, e conservalo in un luogo fisicamente sicuro come una cassaforte di casa o insieme ai documenti del tuo testamento, non nella cassaforte che esso sblocca.
In Apple Passwords, apri le impostazioni del tuo Apple Account, aggiungi un Legacy Contact, e assicurati che riceva e conservi la chiave di accesso fornita da Apple. Senza quella chiave, il solo certificato di morte non è sufficiente.
Annota dove si trova la via di recupero. In un'unica nota privata conservata con i documenti della tua successione, indica quale gestore di password usi e come si suppone che venga concesso l'accesso, così che il tuo esecutore sappia che la porta esiste e dove si trova la maniglia.
Quest'ultimo passaggio è quello che la maggior parte delle persone tralascia. Una funzione di accesso di emergenza che nessuno sa che hai configurato è di fatto invisibile, e la tua famiglia non può usare un meccanismo di cui non viene mai a conoscenza.
I limiti: l'accesso non è autorità, e l'autorità non è identità
Configura bene tutto questo e la tua famiglia potrà entrare nella tua cassaforte. È necessario, e non è sufficiente. Ci sono due ulteriori lacune che nessun gestore di password colma, e meritano di essere nominate con chiarezza.
Primo, l'accesso non è autorità. Possedere le tue credenziali permette a qualcuno di aprire i tuoi account; non gli conferisce l'autorità legale di amministrare la tua successione, chiudere account, spostare denaro o prendere decisioni a tuo nome. Un contatto fidato con la tua password principale e un esecutore con un atto di omologazione del testamento sono ruoli diversi, e confonderli crea esattamente il tipo di controversia che un buon piano dovrebbe prevenire. Per questo una pianificazione seria instrada l'accesso alla cassaforte attraverso un esecutore digitale designato anziché consegnare semplicemente le chiavi a chi è più vicino. La stessa separazione conta per i conti finanziari: la vicenda del recupero per cosa accade al tuo PayPal quando muori, o per cosa accade alle tue criptovalute quando muori, dipende dall'autorità, non solo da una password.
Secondo, l'autorità non è identità. Persino un passaggio di consegne eseguito alla perfezione, in cui la persona giusta entra nel momento giusto con l'autorità giusta, trasferisce i tuoi account. Non trasferisce te. La cassaforte custodisce le tue credenziali; non custodisce il modo in cui pensavi, le cose in cui credevi, o la voce che alla tua famiglia mancherà. Quella parte di te non è recuperabile da una password, per quanto bene sia conservata.
Queste due lacune si sommano. Un contatto fidato che può aprire la tua cassaforte ma non ha alcuna autorità legale si trova in una posizione scomoda ed esposta, agendo su account che non ha alcuna autorità formale di toccare. E anche una volta che sia l'accesso sia l'autorità sono definiti, alla famiglia resta la strana esperienza di possedere tutto ciò che una persona usava e nulla della persona stessa. Una successione digitale ben organizzata risolve completamente il primo problema e lascia il secondo del tutto intatto, ed è per questo che non può essere l'intero piano.
A password manager protects the key. It was never designed to protect the person.
Dall'accesso a un vero piano di successione
L'accesso di emergenza è una funzione; un piano di successione è un sistema. La differenza è la governance: non solo se qualcuno può entrare, ma chi decide che il momento è arrivato, in quale ordine viene concesso l'accesso, e su quale autorità. Una manciata di contatti designati sparsi tra quattro app diverse, ciascuna con il proprio timer e le proprie regole, non è un piano. Sono diversi fili sciolti, ognuno dei quali può spezzarsi senza che nessuno se ne accorga finché non è troppo tardi.
Questa è la lacuna che Executor Lock™ è costruito per colmare. Anziché lasciare ogni account al proprio interruttore di recupero improvvisato, sovrappone un'unica struttura di governance all'intero quadro: un modello a tre livelli di destinatari, un contatto fidato con diritti di accesso alla tua morte, e un esecutore che può segnalare il tuo decesso e attivare il passaggio di consegne. L'esecutore ha l'ultima parola, e ogni azione è registrata in una traccia di controllo permanente e ad aggiunta sola. È la differenza tra sperare che un timer scada correttamente e avere una persona designata con l'autorità di agire quando il momento è reale.
L'accesso alle password è un capitolo della disciplina più ampia della pianificazione della successione digitale: decidere, mentre sei in vita e in grado, chi può raggiungere ciò che lasci e sotto quale autorità. Il tuo gestore di password appartiene a quel piano, non vi si sostituisce.
La parte di te che nessuna cassaforte custodisce
Quindi configura l'accesso di emergenza correttamente. Designa qualcuno di cui ti fidi, imposta un periodo di attesa sensato, stampa l'Emergency Kit, nomina il tuo Legacy Contact, e di' al tuo esecutore dove si trova la via di recupero. Fatto bene, questo lavoro fa sì che la tua famiglia non resti esclusa dalla tua vita digitale nel momento in cui è meno in grado di combattere contro una password principale che non indovinerà mai.
Poi fai il lavoro separato e più duraturo. Gli account sono recuperabili con un piano; la persona dietro di essi è preservata solo se scegli di preservarla. È a questo che serve costruire una Persona: una rappresentazione governata e basata sul consenso di chi sei, realizzata mentre sei in vita e poi bloccata così da non poter essere alterata o commercializzata dopo la tua morte. Il gestore di password conserva la chiave. La Persona conserva la persona. Hai bisogno di entrambi, e solo uno di essi scade nel momento in cui la cassaforte viene aperta. Build Once. Live Twice.™