Gestione password Android: come fare

In altri articoli ci siamo spesso concentrati sulla corretta scelta delle password e, di recente, abbiamo voluto dire la nostra su un’intervista rilasciata da William “Bill” Burr al Wall Street Journal: No, le password complesse non sono facili da violare: che confusione!.

La scelta di una password riveste ancor’oggi un ruolo essenziale (Creare una password sicura: oggi ricorre il World Password Day) ma il problema consiste poi nell’individuazione delle modalità più appropriate per la gestione delle proprie credenziali.

Scrivere username e password su un supporto cartaceo è sconsigliabile: potrebbe essere oggetto di furto, agevolmente consultato oppure copiato (ad esempio fotografando una foto con lo smartphone) da persone non autorizzate.

Gestione password su Android: Google Smart Lock

Non ci è mai andata a genio l’idea di attivare il backup delle password da Chrome oppure dai dispositivi Android sui server di Google.
È vero che il trasferimento dei dati avviene in forma crittografata e che le password vengono conservate in modo cifrato, ma in molti potrebbero essere allergici all’idea di memorizzare le password su server spesso situati oltreoceano.

Non tutti sanno che con l’ultima versione dei Google Play Services, il dispositivo Android è dotato di una funzionalità chiamata Smart Lock per password che non soltanto salva tutte le password digitate e memorizzate nel browser Chrome ma provvede anche a memorizzare quelle utilizzate per il login in una qualunque delle app Android compatibili.

Se si volesse disattivare completamente Smart Lock per password è sufficiente accedere alle impostazioni di Android, toccare la voce Google quindi Smart Lock per password e infine disabilitare il corrispondente “interruttore”.

La voce Aggiungi app da non salvare è possibile stabilire per quali app Smart Lock non deve mai attivarsi e procedere alle memorizzazione delle password sui server di Google.

Collegandosi con questa pagina è possibile verificare quali password sono state caricate sui server Google.
Nel riquadro Password Google riassume le credenziali di accesso che sono state salvate sui suoi server da parte di Chrome (installato su uno qualunque dei propri dispositivi) o da Smart Lock per password.

Se si volessero cancellare definitivamente tutte le password dai server di Google, è sufficiente cliccare sul pulsante Reimposta sincronizzazione in basso.

Per maggiori informazioni, suggeriamo anche la lettura dell’articolo Come vedere cronologia Google e verificare i siti visitati in passato.

Come gestire le password su Android con applicazioni che memorizzano le credenziali in locale

Gli utenti, possessori di un dispositivo Android, ritengono però utilissimo memorizzare le credenziali di accesso ai vari siti web e servizi online sul proprio device mobile. L’approccio maggiormente preferito è quello che consiste nel gestire le password in locale sul dispositivo Android senza mai caricarle né sui server di Google né su altri servizi.

Uno dei software migliori in assoluto è Keepass2Android Password Safe, porting Android del famoso KeePass per sistemi desktop.

Keepass2Android consente di gestire uno o più database che possono essere salvati in locale o sul cloud in forma cifrata con una password di protezione scelta in modo arbitrario.

La schermata principale che viene proposta toccando Crea un nuovo database, permette innanzi tutto di decidere in quale cartella locale memorizzare il file con estensione .kdbx. Si tratta del formato gestibile con il software desktop KeePass: Gestione password: come farlo in sicurezza.

Il pulsante Cambia posizione consente non soltanto di modificare la cartella locale in cui memorizzare il file contenente le password ma anche attivare l’upload e l’aggiornamento su un server cloud (Dropbox, OneDrive, Google Drive e così via).

In corrispondenza di Password principale deve essere indicata una password scelta arbitrariamente, lunga e complessa. Si tratta della master password con cui sarà protetto l’intero archivio delle password.
Keepass2Android permette anche di usare un file chiave contenente una serie di caratteri generati ad esempio in modo casuale. Il contenuto di tale file (spuntando la casella Usa file chiave) sarà utilizzato come misura di protezione aggiuntiva.
Se si decidesse di salvare l’archivio delle password su un servizio cloud l’importante è mantenere il file chiave in locale.
Il file chiave può essere generato su un PC desktop quindi caricato sullo smartphone Android oppure creato sul dispositivo mobile usando un editor di testo. Essenziale, però, è che il contenuto del file chiave non cambi mai altrimenti non sarà più possibile accedere al proprio archivio delle password, anche digitando la password principale o master password corretta.

Toccando l’icona “+” nell’angolo inferiore destro di Keepass2Android, è possibile aggiungere delle credenziali di accesso oppure creare un nuovo gruppo all’interno del quale memorizzare le password.

L’icona raffigurante un piccolo lucchetto nella parte superiore della schermata di Keepass2Android consente di bloccare istantaneamente l’app e chiedere di nuovo l’inserimento della master password per accedere al suo contenuto.

L’applicazione offre sia una ricerca semplice che una funzione per la ricerca avanzata delle credenziali che permette di individuare subito username e password cercati digitando URL, etichette, note o altre informazioni (la ricerca avanzata è accessibile toccando il pulsante con tre pallini in colonna).

La tastiera KP2A, usata al posto di quella predefinita, permette anche di digitare velocemente username e password nelle pagine di login sui siti web. In alternativa, toccando Copia negli appunti si può effettuare un copia e incolla sia del nome utente che della password. Per impostazione predefinita e per maggior sicurezza, Keepass2Android cancella il contenuto degli appunti dopo 5 minuti. Tale valore è modificabile accedendo alle impostazioni dell’app scegliendo quindi Applicazione, Sicurezza, Scadenza appunti.

Nella stessa schermata si può richiedere il blocco automatico di Keepass2Android allo spegnimento dello schermo. L’app, comunque, si blocca automaticamente trascorsi 5 minuti.

Accedendo alla sezione Database, sui dispositivi dotati di lettore di impronta digitale, è possibile sbloccare Keepass2Android con l’impronta del proprio polpastrello: basterà agire sul lettore alla richiesta della master password.

È interessante evidenziare che come ulteriore misura di sicurezza, Keepass2Android non consente l’acquisizione di screenshot dall’interno dell’applicazione.