Se trasferisci file via FTP, c'è una cosa che dovresti sapere: il protocollo FTP standard invia nome utente, password e ogni file completamente non crittografati. Chiunque si trovi sulla stessa rete può vedere tutto con strumenti di packet sniffing di base. Non è un rischio teorico. Le vulnerabilità nei trasferimenti di file hanno causato alcune delle più grandi violazioni di dati degli ultimi anni.
La buona notizia: proteggere i tuoi trasferimenti non è complicato. Devi solo usare il protocollo giusto e seguire alcune pratiche.
Perché il semplice FTP è un problema
FTP è stato progettato nel 1971, molto prima che la sicurezza di Internet fosse una preoccupazione. Trasmette tutto in chiaro, comprese le credenziali di accesso. Su un Wi-Fi di un bar, un router compromesso o anche una rete aziendale con un utente malintenzionato, i tuoi file e le tue password sono completamente esposti.
Non si tratta solo di file personali. Nel 2023, una vulnerabilità nella piattaforma di trasferimento file MOVEit ha colpito oltre 3.000 organizzazioni e circa 100 milioni di utenti. Nel 2024, la società di servizi finanziari Finastra ha subito la compromissione della propria piattaforma SFTP, esponendo potenzialmente dati di banche in tutto il mondo. Nel 2025, vulnerabilità critiche in Wing FTP Server e CrushFTP sono state attivamente sfruttate.
Il pattern è chiaro: il trasferimento di file è un obiettivo di alto valore, e l'uso di protocolli non crittografati lo rende banalmente sfruttabile.
SFTP vs FTPS vs FTP: quale usare
SFTP (SSH File Transfer Protocol) è la scelta più sicura per la maggior parte degli utenti. Crittografa tutto attraverso una singola connessione SSH sulla porta 22. Supporta l'autenticazione basata su chiave (nessuna password inviata sulla rete) e la sua architettura a porta singola semplifica la configurazione del firewall. Se hai la possibilità di scegliere, usa SFTP.
FTPS (FTP over TLS) aggiunge la crittografia SSL/TLS al protocollo FTP originale. È sicuro se configurato correttamente, ma eredita l'architettura a doppio canale di FTP (connessioni separate per controllo e dati), il che complica le regole del firewall e il NAT traversal. Richiede anche la gestione dei certificati SSL. Usa FTPS quando il tuo server non offre SFTP.
Il semplice FTP dovrebbe essere usato solo su reti interne isolate dove il traffico non tocca mai Internet. Anche in quel caso, considera se SFTP non sarebbe altrettanto facile da configurare.
Usa l'autenticazione con chiave SSH
Le password possono essere indovinate, rubate con phishing o intercettate. Le chiavi SSH sono crittograficamente robuste e praticamente impossibili da forzare bruta. Una chiave RSA a 4096 bit o una chiave Ed25519 offre una sicurezza che nessuna password può eguagliare.
Per generare una chiave sul tuo Mac, apri il Terminale ed esegui:
ssh-keygen -t ed25519 -C "tua-email@esempio.com"
Questo crea una coppia di chiavi in ~/.ssh/. Aggiungi la chiave pubblica alle chiavi autorizzate del tuo server. Poi configura il tuo client FTP (o FTPull/FTPush) per usare la chiave privata invece di una password.
Per memorizzare la passphrase della chiave nel Portachiavi di macOS in modo da non doverla digitare ogni volta:
ssh-add --apple-use-keychain ~/.ssh/id_ed25519
Archiviazione delle credenziali su Mac
Il luogo in cui vengono memorizzate le credenziali FTP è importante. Alcune app memorizzano le password in file di configurazione in testo normale o nei plist delle preferenze sul disco. Se un malware o un utente non autorizzato accede al tuo Mac, queste credenziali sono immediatamente compromesse.
L'approccio sicuro è usare il Portachiavi di macOS, che crittografa le credenziali e le protegge con la password di accesso del tuo Mac. FTPSuite memorizza tutte le credenziali di connessione nel Portachiavi invece che in file specifici dell'app. Questo sfrutta la crittografia integrata di Apple e i controlli di accesso.
Tieni presente che gli infostealer per Mac (come Atomic Stealer e Banshee) prendono di mira specificamente i dati del Portachiavi. Per proteggerti: mantieni macOS aggiornato, abilita la crittografia del disco FileVault, usa una password di accesso forte e sii cauto con i download da fonti sconosciute.
Lista di controllo delle buone pratiche
- Non usare mai il semplice FTP per nulla di sensibile o su Internet.
- Preferisci SFTP a FTPS quando entrambi sono disponibili.
- Usa l'autenticazione con chiave SSH invece delle password quando possibile.
- Se usi le password, rendile lunghe (16+ caratteri), uniche e archiviale in un gestore di password o nel Portachiavi.
- Usa solo TLS 1.2 o 1.3 per le connessioni FTPS. Disabilita le versioni SSL/TLS più vecchie.
- Verifica i certificati del server per FTPS. Non saltare la validazione del certificato.
- Limita l'accesso al server per indirizzo IP quando possibile.
- Monitora i log di trasferimento per orari di accesso insoliti, tentativi di autenticazione falliti o indirizzi IP inaspettati.
- Mantieni il software aggiornato. Le vulnerabilità zero-day nei server FTP vengono sfruttate rapidamente.
- Abilita FileVault sul tuo Mac per crittografare l'intero disco, proteggendo i file scaricati a riposo.
Come FTPSuite gestisce la sicurezza
FTPSuite (FTPull e FTPush) è progettato tenendo a mente queste pratiche:
- Supporta FTP, SFTP e FTPS (Esplicito e Implicito).
- Memorizza tutte le credenziali nel Portachiavi di macOS.
- Supporta l'autenticazione con chiave SSH per le connessioni SFTP.
- Funziona come app macOS nativa senza dipendenze esterne o demoni in background.
La sicurezza dei tuoi trasferimenti di file dipende dal protocollo che scegli e da come gestisci le credenziali. Gli strumenti esistono. Usali.