Esiste una soluzione all'inferno di password - tutte diverse - che dovreste usare nella vostra vita professionale e personale? Sì e si chiama password manager: vediamo di cosa si tratta e come può cambiare la vostra vita in meglio.

Il password manager è un software in grado di memorizzare e organizzare in un unico contenitore sicuro tutte le credenziali di accesso di cui si ha bisogno, proteggendole tutte tramite una singola password primaria. L’obiettivo principale di questi software è di garantire la sicurezza dei dati memorizzati, oltre a consentirne la gestione strutturata (ricerca, aggiornamento, cancellazione etc.). A differenza di soluzioni manuali come fogli excel o addirittura appunti cartacei, questi software permettono di mantenere l’archivio organizzato anche col passare del tempo o all’aumentare del numero di informazioni salvate. Inoltre offrono una migliore protezione, permettono di semplificare l'inserimento di password e includono molte interessanti funzioni come la generazione automatica di password sicure e funzionalità avanzate di ricerca.

pass dash masterkey

La potenza del password manager sta nella sua natura centralizzata: è sufficiente utilizzare una chiave primaria per proteggere l’intero archivio: naturalmente le caratteristiche di complessità di quest’ultima devono essere piuttosto elevate (lettere maiuscole, simboli, numeri etc) e quasi tutte le piattaforme permettono inoltre di aumentare il livello di sicurezza tramite autenticazione a due fattori (o con un cosiddetto Key file aggiuntivo). Alcuni password manager permettono persino la creazione utenze con diversi livelli di accesso, in modo da poter utilizzare un unico archivio ma con livelli di visibilità dedicati in base alle autorizzazioni assegnate all’utente specifico, ad esempio per l’utilizzo in un contesto aziendale.

Nonostante ogni prodotto in commercio abbia una propria interfaccia personalizzata, l’approccio comune ai password manager è quello di fornire una scheda dedicata a ogni identità che si desidera salvare: non stiamo quindi parlando dei soli nome utente e password, ma anche dell’URL (nel caso sia una risorsa in rete o su Internet) e di eventuali note aggiuntive o informazioni associate. In questo modo si amplia il concetto del solo salvataggio delle credenziali, mettendo a disposizione dell’utente un vero e proprio archivio di informazioni protetto. Alcuni software come Dashlane, permettono di archiviare anche copie dei documenti di identità, informazioni personali (che possono essere utilizzare con l’auto completamento dei campi via browser) e dati di carte di credito, conti bancari etc.

pass dash installed

Tipologie e sicurezza

Esistono principalmente due famiglie di password manager: quelli basati su file archivio e quelli che utilizzano una piattaforma Cloud. Nel primo caso (ad esempio Enpass o KeePass) l’archivio delle informazioni è memorizzato in un file cifrato salvato localmente sul dispositivo (PC o mobile che sia) dove è installato il programma, mentre nel secondo caso si sfrutta il salvataggio in cloud tramite interfaccia Web o plugin per il browser (Lastpass …). Immediato constatare come la struttura cloud-based permetta di avere l’archivio credenziali sempre disponibile, mentre l’utilizzo di file locali sia limitante in termini di portabilità. Alcuni prodotti come 1Password utilizzano un approccio combinato, con accesso all’archivio sia Web che con cache offline.

L’utilizzo di software con archivio centralizzato potrebbe far sorgere dubbi sulla effettiva sicurezza dei propri dati, essendo salvati in cloud e accessibili tramite internet, ma i prodotti più seri, come KeePass utilizzano un database locale cifrato usando gli algoritmi AES-256 e Twofish per proteggere sia le credenziali che la master password (il cui hash elaborato con protocollo SHA-256 viene utilizzato per cifrare e decifrare l’archivio). L'affidabilità di KeePass è stata anche oggetto di uno studio condotto da una commissione europea che si occupa nello specifico della sicurezza dei software open source (EU-FOSSA European Free and Open Source Software Auditing project) e che ha studiato il codice sorgente del noto password manager, senza trovare alcuna significativa falla di sicurezza.

keepass security

Per aumentare il livello di protezione delle proprie credenziali, si possono utilizzare due metodi aggiuntivi: l’autenticazione in due fattori e l’utilizzo di key-file. L’autenticazione in due fattori consiste nell’aggiungere alla master password, un altro token di autenticazione che normalmente viene richiesto solo quando si effettua l’accesso da una nuova postazione o che, per scelta dell’utente, può essere richiesto ad ogni utilizzo. Il codice di autenticazione può essere inviato tramite SMS o app. L’utilizzo di key-file o addirittura di un token fisico come una chiavetta USB può essere necessario in situazioni in cui è richiesto un livello di sicurezza molto elevato: in questi casi oltre alla password del database è necessario dare in pasto al password manager un file contenente la chiave cifrata o inserire fisicamente la chiavetta USB appositamente creata. Nonostante gli elevati standard di sicurezza applicati, anche uno dei password manager più utilizzati (LastPass) è stato violato la scorsa primavera: Mathias Karlsson, un ricercatore informatico, è riuscito infatti a estrarre credenziali da LastPass sfruttando una falla nella funzione di auto compilazione dei campi nel browser.

Considerazioni e funzionalità

Come accennato in precedenza, il concetto di password manager si è nel tempo esteso fino a comprendere numerose funzioni utili all’utente, come la possibilità di memorizzare dati personali e auto compilare i campi dei moduli nel browser. Naturalmente un utilizzo base permette di memorizzare in maniera ordinata e facilmente navigabile, un numero arbitrario di coppie utente-password e di poterle consultare o utilizzare: la quasi totalità di questi software è inoltre mutipiattaforma e disponibile per dispositivi mobili. In conclusione è difficile trovare aspetti negativi nell’utilizzo di un password manager che, una volta superato l’impatto iniziale per chi arriva da altri “metodi” di gestione delle password, riesce a unire comodità e sicurezza. La portabilità è inoltre piuttosto buona, in quanto questi software permettono di esportare l'archivio credenziali in diversi formati più o meno standard (CSV, KDB, XML etc.).

keepass export 2

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

banner5

fb icon evo twitter icon evo

Parola del giorno

ALOHA è un protocollo di rete sviluppato dalla università delle Hawaii nel 1971 come prima dimostrazione del funzionamento di reti wireless...

>

L'acronimo LTSC (Long Term Servicing Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica...

>

L'acronimo SAC (Semi Annual Channel), riferito al mondo Microsoft, caratterizza i prodotti server che vengono acompagnati da una politica di...

>

Project Honolulu è la nuova piattaforma Web (basata su HTML 5) per la gestione centralizzata di host e cluster in...

>

L'acronimo WSL (Windows Subsystem for Linux) indica la tecnologia (un insieme di componenti software) introdotta da Microsoft che permette di eseguire comandi Linux...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1