Esiste una soluzione all'inferno di password - tutte diverse - che dovreste usare nella vostra vita professionale e personale? Sì e si chiama password manager: vediamo di cosa si tratta e come può cambiare la vostra vita in meglio.

Il password manager è un software in grado di memorizzare e organizzare in un unico contenitore sicuro tutte le credenziali di accesso di cui si ha bisogno, proteggendole tutte tramite una singola password primaria. L’obiettivo principale di questi software è di garantire la sicurezza dei dati memorizzati, oltre a consentirne la gestione strutturata (ricerca, aggiornamento, cancellazione etc.). A differenza di soluzioni manuali come fogli excel o addirittura appunti cartacei, questi software permettono di mantenere l’archivio organizzato anche col passare del tempo o all’aumentare del numero di informazioni salvate. Inoltre offrono una migliore protezione, permettono di semplificare l'inserimento di password e includono molte interessanti funzioni come la generazione automatica di password sicure e funzionalità avanzate di ricerca.

pass dash masterkey

La potenza del password manager sta nella sua natura centralizzata: è sufficiente utilizzare una chiave primaria per proteggere l’intero archivio: naturalmente le caratteristiche di complessità di quest’ultima devono essere piuttosto elevate (lettere maiuscole, simboli, numeri etc) e quasi tutte le piattaforme permettono inoltre di aumentare il livello di sicurezza tramite autenticazione a due fattori (o con un cosiddetto Key file aggiuntivo). Alcuni password manager permettono persino la creazione utenze con diversi livelli di accesso, in modo da poter utilizzare un unico archivio ma con livelli di visibilità dedicati in base alle autorizzazioni assegnate all’utente specifico, ad esempio per l’utilizzo in un contesto aziendale.

Nonostante ogni prodotto in commercio abbia una propria interfaccia personalizzata, l’approccio comune ai password manager è quello di fornire una scheda dedicata a ogni identità che si desidera salvare: non stiamo quindi parlando dei soli nome utente e password, ma anche dell’URL (nel caso sia una risorsa in rete o su Internet) e di eventuali note aggiuntive o informazioni associate. In questo modo si amplia il concetto del solo salvataggio delle credenziali, mettendo a disposizione dell’utente un vero e proprio archivio di informazioni protetto. Alcuni software come Dashlane, permettono di archiviare anche copie dei documenti di identità, informazioni personali (che possono essere utilizzare con l’auto completamento dei campi via browser) e dati di carte di credito, conti bancari etc.

pass dash installed

Tipologie e sicurezza

Esistono principalmente due famiglie di password manager: quelli basati su file archivio e quelli che utilizzano una piattaforma Cloud. Nel primo caso (ad esempio Enpass o KeePass) l’archivio delle informazioni è memorizzato in un file cifrato salvato localmente sul dispositivo (PC o mobile che sia) dove è installato il programma, mentre nel secondo caso si sfrutta il salvataggio in cloud tramite interfaccia Web o plugin per il browser (Lastpass …). Immediato constatare come la struttura cloud-based permetta di avere l’archivio credenziali sempre disponibile, mentre l’utilizzo di file locali sia limitante in termini di portabilità. Alcuni prodotti come 1Password utilizzano un approccio combinato, con accesso all’archivio sia Web che con cache offline.

L’utilizzo di software con archivio centralizzato potrebbe far sorgere dubbi sulla effettiva sicurezza dei propri dati, essendo salvati in cloud e accessibili tramite internet, ma i prodotti più seri, come KeePass utilizzano un database locale cifrato usando gli algoritmi AES-256 e Twofish per proteggere sia le credenziali che la master password (il cui hash elaborato con protocollo SHA-256 viene utilizzato per cifrare e decifrare l’archivio). L'affidabilità di KeePass è stata anche oggetto di uno studio condotto da una commissione europea che si occupa nello specifico della sicurezza dei software open source (EU-FOSSA European Free and Open Source Software Auditing project) e che ha studiato il codice sorgente del noto password manager, senza trovare alcuna significativa falla di sicurezza.

keepass security

Per aumentare il livello di protezione delle proprie credenziali, si possono utilizzare due metodi aggiuntivi: l’autenticazione in due fattori e l’utilizzo di key-file. L’autenticazione in due fattori consiste nell’aggiungere alla master password, un altro token di autenticazione che normalmente viene richiesto solo quando si effettua l’accesso da una nuova postazione o che, per scelta dell’utente, può essere richiesto ad ogni utilizzo. Il codice di autenticazione può essere inviato tramite SMS o app. L’utilizzo di key-file o addirittura di un token fisico come una chiavetta USB può essere necessario in situazioni in cui è richiesto un livello di sicurezza molto elevato: in questi casi oltre alla password del database è necessario dare in pasto al password manager un file contenente la chiave cifrata o inserire fisicamente la chiavetta USB appositamente creata. Nonostante gli elevati standard di sicurezza applicati, anche uno dei password manager più utilizzati (LastPass) è stato violato la scorsa primavera: Mathias Karlsson, un ricercatore informatico, è riuscito infatti a estrarre credenziali da LastPass sfruttando una falla nella funzione di auto compilazione dei campi nel browser.

Considerazioni e funzionalità

Come accennato in precedenza, il concetto di password manager si è nel tempo esteso fino a comprendere numerose funzioni utili all’utente, come la possibilità di memorizzare dati personali e auto compilare i campi dei moduli nel browser. Naturalmente un utilizzo base permette di memorizzare in maniera ordinata e facilmente navigabile, un numero arbitrario di coppie utente-password e di poterle consultare o utilizzare: la quasi totalità di questi software è inoltre mutipiattaforma e disponibile per dispositivi mobili. In conclusione è difficile trovare aspetti negativi nell’utilizzo di un password manager che, una volta superato l’impatto iniziale per chi arriva da altri “metodi” di gestione delle password, riesce a unire comodità e sicurezza. La portabilità è inoltre piuttosto buona, in quanto questi software permettono di esportare l'archivio credenziali in diversi formati più o meno standard (CSV, KDB, XML etc.).

keepass export 2

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

Altri articoli dello stesso autore

banner5

fb icon evo twitter icon evo

Parola del giorno

Don't be Evil è uno slogan interno di Google, ideato da due dipendenti Paul Buccheit e Amit Patel, nell'ottica di...

>

ZOPE è l'acronimo di Z Object Publishing Environment e indica un Web Server open source sviluppato in Python, che permette agli...

>

Il termine Bezel descrive l'involucro esterno (o scocca) di un computer, monitor o di un qualsiasi dispositivo di calcolo. La valutazione...

>

Il termine Random Forest è un costrutto utilizzato nell'ambito della Intelligenza Artificiale e al machine learning. Nello specifico si tratta di...

>

La cifratura (o crittografia) RSA è una tecnica di cifratura dati detta "a chiave pubblica" e sviluppata dalla RSA Data...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1