11157 Letture

Gestione password: come farlo in sicurezza

La gestione delle password è un problema tutt'altro che banale da gestire. Nei casi migliori sono decine ma, spesso, sono molte di più le credenziali d'accesso che devono essere memorizzate. Il numero di account di cui gli utenti dispongono crescono infatti a dismisura nel numero.

Seppur fautori dell'approccio cloud, da parte nostra non siamo mai stati entusiasti nel memorizzare le password appoggiandosi ai più famosi servizi online.
A giugno dello scorso anno, ad esempio, il servizio LastPass ha subìto un'aggressione tanto da indurre la società a spronare gli utenti a modificare la master password (Attaccato LastPass: utenti cambiate la master password).

Nonostante le rassicurazioni sulle modalità di gestione delle password da parte delle società sviluppatrici di password manager online (utilizzo di algoritmi crittografici), noi preferiamo ancora la memorizzazione in locale delle proprie credenziali.


Servizi come LastPass e Dashlane, ad esempio, utilizzano anche una soluzione di crittografia asimmetrica che permette di evitare la condivisione della master password (ossia della "parola chiave" usata a protezione dell'intero archivio contenente le password) con i server delle due società.
In altre parole, la master password non lascia mai i dispositivi client degli utenti e l'archivio delle password può essere quindi decodificato solamente dal legittimo proprietario.

Si tratta sicuramente di un'ottima garanzia ma a molti può apparire davvero assurdo salvare le proprie password su un server remoto comunque gestito da una terza parte.

Anche noi, per esempio, ci asteniamo dall'inviare le nostre password sui server di Google. Il browser Chrome, infatti, integra una funzionalità che - previa autenticazione con l'account Google - consente di effettuare il backup delle passsword online.
Portandosi a questo indirizzo e in questa pagina, molti resteranno sorpresi di quante informazioni sono state automaticamente oggetto di backup.
Per disattivare la sincronizzazione dei dati di Chrome sui server Google, password comprese, si può fare riferimento alle indicazioni riportate nei seguenti due articoli:

- Salvare i preferiti di Chrome, come fare
- Impostazioni account Google, scoprire anche quelle meno conosciute

Gestione password con KeePass

Nell'articolo Memorizzare password e gestirle in sicurezza abbiamo visto come scegliere le password e quali precauzioni porre in essere quando ci si iscrive ad un nuovo servizio online (vedere anche Come scegliere e memorizzare password: World Password Day).

Per la gestione delle password sconsigliamo di usare il password manager integrato nel browser.
Le motivazioni sono molteplici ed è possibile scoprirle leggendo l'articolo Recuperare password nel browser: come fare con Firefox, Chrome ed Internet Explorer e nel precedente Memorizzare password e gestirle in sicurezza, al paragrafo Memorizzare password: password manager del browser.

L'ottimo KeePass, software libero e opensource, rappresenta da anni una vera e propria pietra miliare per la gestione delle password.

Scaricandone la versione "portabile" (vedere questa scheda), si avrà a disposizione un programma completo e facile da usare per gestire le password e organizzarle in diverse categorie.
Si potrà ad esempio tenere le password che si usano per le proprie attività personali in un "gruppo" separato dalle credenziali adoperate in ambito lavorativo.

KeePass, inoltre, consta di una pratica funzionalità per l'autocompletamento dei moduli di login.

Una volta scaricato ed estratto in una cartella di propria scelta, è possibile estrarre - nella stessa directory - il contenuto di questo file Zip così da avere la possibilità di tradurre il programma interamente in lingua italiana.

Come avevamo visto nell'articolo Mettere al sicuro le credenziali d'accesso con KeePass. Come importarle da qualunque browser, il passo più importante consiste nello scegliere una master password lunga e robusta.
Tale parola chiave, infatti, sarà usata per proteggere l'accesso all'intero archivio delle password memorizzate e gestite con KeePass. I dati saranno poi crittografati usando l'algoritmo AES a 256 bit in modo da essere illeggibili da parte di chiunque non sia in possesso della master password.

Gestione password: come farlo in sicurezza

Per aggiungere una nuova password in archivio, basta selezionare uno dei gruppi (possono esserne creati anche di nuovi) dalla colonna di sinistra di KeePass, cliccare poi con il tasto destro del mouse in un'area libera nel pannello di destra e scegliere Aggiungi una voce.


Gestione password: come farlo in sicurezza

KeePass funge anche da generatore di password casuali sufficientemente forti che potranno essere ad esempio usate per iscriversi ad un nuovo servizio.
La password generata da KeePass è visualizzabile (e quindi copiabile) premendo il pulsante raffigurante tre punti ("...").
Cliccando sul pulsante sottostante quindi su Apri generatore di password, si può stabilire in che modo le password saranno generate (i.e. lunghezza, presenza di caratteri speciali,...).

Successivamente per effettuare automaticamente il login in una pagina, basterà aprirla da qualunque browser quindi - mantenendo aperta la finestra di login - cliccare con il tasto destro su qualunque credenziale in archivio e scegliere Effettua auto-digitazione.

Gestione password: come farlo in sicurezza

Qualora si volessero importare gli elenchi di password gestiti con i password manager dei vari browser, suggeriamo di scaricare ed avviare il programma WebBrowserPassView.

Tale utilità è scaricabile digitando nella casella di Google WebBrowserPassView nirsoft download e cliccando sul primo risultato presentato dal motore di ricerca.
In calce alla pagina si troverà il link "Download WebBrowserPassView (In zip file)".
Una volta prelevato il file, si dovrà fare doppio clic sull'eseguibile WebBrowserPassView.exe per trovarsi dinanzi all'elenco completo delle password salvate nei vari browser web.

Premendo CTRL+A quindi CTRL+S, si potranno esportare tutte le credenziali.


Gestione password: come farlo in sicurezza

Dal menu di dialogo, agendo sul menu a tendina Salva come, bisognerà selezionare Comma delimited text file (.csv).

Portandosi in KeePass, si dovrà quindi scegliere File, Importa quindi selezionare Importatore generico di CSV e scegliere il file .CSV creato con WebBrowserPassView appena poco fa.

Gestione password: come farlo in sicurezza

La scheda Struttura dovrà essere impostata così come segue, attivando cioè la casella Ignora la prima riga e impostando i campi nel riquadro Semantica esattamente come indicato.

Gestione password: come farlo in sicurezza

Gestire le password sui dispositivi Android

Un ottimo software che permette di gestire gli archivi delle password di KeePass sui dispositivi Android è Keepass2Android Password Safe.

Gestione password: come farlo in sicurezza

Utilizzandolo non soltanto si può aprire il database cifrato di KeePass dal dispositivo mobile Android ma è possibile gestire un archivio di credenziali KeePass memorizzato sul cloud.
In altre parole, si può eventualmente caricare l'archivio .kdbx di KeePass su Google Drive, Dropbox o OneDrive quindi leggerlo e modificarlo.

Gestione password: come farlo in sicurezza

Cliccando su Selettore file di sistema, è possibile invece scegliere un archivio di KeePass memorizzato in locale.


L'app è compatibile con qualunque browser Android e permette di "incollare" istantaneamente le credenziali nella pagina web che deve riceverle per consentire il login.


Gestione password: come farlo in sicurezza - IlSoftware.it