Gestione password: come farlo in sicurezza

La gestione delle password è un problema tutt’altro che banale da affrontare. Nei casi migliori sono decine ma, spesso, sono molte di più le credenziali d’accesso che devono essere memorizzate in modo sicuro. Il numero di account di cui gli utenti dispongono crescono infatti a dismisura nel numero.

Seppur fautori dell’approccio cloud, da parte nostra non siamo mai stati entusiasti nel memorizzare le password appoggiandosi ai più famosi servizi online.
A giugno 2015, ad esempio, il servizio LastPass ha subìto un’aggressione tanto da indurre la società a spronare gli utenti a modificare la master password (Attaccato LastPass: utenti cambiate la master password).

Nonostante le rassicurazioni sulle modalità di gestione delle password da parte delle società sviluppatrici di password manager online (utilizzo di algoritmi crittografici), noi preferiamo la memorizzazione in locale delle credenziali.
Servizi come LastPass e Dashlane utilizzano anche una soluzione di crittografia asimmetrica che permette di evitare la condivisione della master password (ossia della “parola chiave” usata a protezione dell’intero archivio contenente le password) con i server delle due società.
In altre parole, la master password non lascia mai i dispositivi client degli utenti e l’archivio delle password può essere quindi decodificato solamente dal legittimo proprietario.
Si tratta sicuramente di un’ottima garanzia ma a molti può apparire davvero assurdo salvare le proprie password su un server remoto comunque gestito da una terza parte.

Anche noi, per esempio, ci asteniamo dall’inviare le nostre password sui server di Google. Il browser Chrome integra una funzionalità che – previa autenticazione con l’account Google – consente di effettuare il backup delle password online.
Portandosi a questo indirizzo e in questa pagina, molti resteranno sorpresi di quante informazioni sono state automaticamente oggetto di backup (vedere anche Sincronizzare Chrome, cosa significa accedere ai dati da più dispositivi).
Per disattivare la sincronizzazione dei dati di Chrome sui server Google, password comprese, si può fare riferimento alle indicazioni riportate nei seguenti due articoli:

– Salvare i preferiti di Chrome, come fare
– Impostazioni account Google, scoprire anche quelle meno conosciute

Gestione password con KeePass

Nell’articolo Memorizzare password e gestirle in sicurezza abbiamo visto come scegliere le password e quali precauzioni porre in essere quando ci si iscrive a un nuovo servizio online (vedere anche Come scegliere e memorizzare password: World Password Day).

Per la gestione delle password sconsigliamo di usare il password manager integrato nel browser.
Le motivazioni sono molteplici ed è possibile scoprirle leggendo l’articolo Recuperare password nel browser: come fare con Firefox, Chrome ed Internet Explorer e nel precedente Memorizzare password e gestirle in sicurezza, al paragrafo Memorizzare password: password manager del browser.

L’ottimo KeePass, software libero e opensource, rappresenta da anni una vera e propria pietra miliare per la gestione delle password.

Scaricandone la versione “portabile” (vedere questa scheda), si avrà a disposizione un programma completo e facile da usare per gestire le password e organizzarle in diverse categorie.
Si potranno ad esempio tenere le password che si usano per le proprie attività personali in un “gruppo” separato dalle credenziali adoperate in ambito lavorativo.

KeePass, inoltre, consta di una pratica funzionalità per l’autocompletamento dei moduli di login.

Una volta scaricato ed estratto in una cartella di propria scelta, si potrà salvare – nella stessa directory – il contenuto di questo file Zip così da avere il programma interamente in lingua italiana.

Come avevamo visto nell’articolo Mettere al sicuro le credenziali d’accesso con KeePass. Come importarle da qualunque browser, il passo più importante consiste nello scegliere una master password lunga e robusta.
Tale parola chiave, infatti, sarà usata per proteggere l’accesso all’intero archivio delle password memorizzate e gestite con KeePass. I dati saranno poi crittografati usando l’algoritmo AES a 256 bit in modo da essere illeggibili da parte di chiunque non sia in possesso della master password.

Per aggiungere una nuova password in archivio, basta selezionare uno dei gruppi (possono esserne creati anche di nuovi) dalla colonna di sinistra di KeePass, cliccare poi con il tasto destro del mouse in un’area libera nel pannello di destra e scegliere Aggiungi una voce.

KeePass funge anche da generatore di password casuali sufficientemente forti che potranno essere ad esempio usate per iscriversi ad un nuovo servizio.
La password generata da KeePass è visualizzabile (e quindi copiabile) premendo il pulsante raffigurante tre punti (“…”).
Cliccando sul pulsante sottostante quindi su Apri generatore di password, si può stabilire in che modo le password saranno generate (i.e. lunghezza, presenza di caratteri speciali,…).

Successivamente per effettuare automaticamente il login in una pagina, basterà aprirla da qualunque browser quindi – mantenendo aperta la finestra di login – cliccare con il tasto destro su qualunque credenziale in archivio e scegliere Effettua auto-digitazione.

Qualora si volessero importare gli elenchi di password gestiti con i password manager dei vari browser, suggeriamo di scaricare ed avviare il programma WebBrowserPassView.

Tale utilità è scaricabile digitando nella casella di Google WebBrowserPassView nirsoft download e cliccando sul primo risultato presentato dal motore di ricerca.
In calce alla pagina si troverà il link “Download WebBrowserPassView (In zip file)“.
Una volta prelevato il file, si dovrà fare doppio clic sull’eseguibile WebBrowserPassView.exe per trovarsi dinanzi all’elenco completo delle password salvate nei vari browser web.

Premendo CTRL+A quindi CTRL+S, si potranno esportare tutte le credenziali.

Dal menu di dialogo, agendo sul menu a tendina Salva come, bisognerà selezionare Comma delimited text file (.csv).

Portandosi in KeePass, si dovrà quindi scegliere File, Importa quindi selezionare Importatore generico di CSV e scegliere il file .CSV creato con WebBrowserPassView appena poco fa.

La scheda Struttura dovrà essere impostata così come segue, attivando cioè la casella Ignora la prima riga e impostando i campi nel riquadro Semantica esattamente come indicato.

Ottimizzare la gestione delle password da browser web con l’estensione Kee

Precedentemente conosciuta col nome Keefox, Kee è un’estensione per Mozilla Firefox (scaricabile da qui) che attiva uno scambio di dati bidirezionale e sicuro con il software KeePass installato sul PC.
Kee si sostituisce al password manager integrato nel browser web e permette di ricevere da KeePass, in maniera automatica e diretta, le informazioni per il login sui siti web preferiti.

Oltre a KeePass, requisito indispensabile per usare l’estensione Kee è KeePassRPC, un componente che attiva l’utilizzo di un protocollo sicuro per lo scambio dei dati tra KeePass e l’estensione Kee (niente condivisione in chiaro mediante l’area degli appunti o clipboard, quindi…!).

La versione beta di Kee per Google Chrome è stata recentemente pubblicata ed è disponibile in questa pagina.

Kee è un software certificato OSI e il suo codice sorgente è pubblicamente consultabile ed è continuamente aggiornato su GitHub.

Gestire le password sui dispositivi Android

Un ottimo software che permette di gestire gli archivi delle password di KeePass sui dispositivi Android è Keepass2Android Password Safe.

Utilizzandolo non soltanto si può aprire il database cifrato di KeePass dal dispositivo mobile Android ma è possibile gestire un archivio di credenziali KeePass memorizzato sul cloud.
In altre parole, si può eventualmente caricare l’archivio .kdbx di KeePass su Google Drive, Dropbox o OneDrive quindi leggerlo e modificarlo.

Cliccando su Selettore file di sistema, è possibile invece scegliere un archivio di KeePass memorizzato in locale.

L’app è compatibile con qualunque browser Android e permette di “incollare” istantaneamente le credenziali nella pagina web che deve riceverle per consentire il login.

Per approfondire l’utilizzo di Keepass2Android Password Safe, suggeriamo la lettura dell’articolo Gestione password Android: come fare.