Proteggere le password ed effettuare login automatici con Sicurpas 4.0 Pro

Quando si guarda ai software per la protezione dei dati non è necessario orientarsi sempre sull’offerta proveniente dall’estero. Sicurpas è un ottimo software sviluppato da un team di programmatori italiani che consente di proteggere le password personali con la possibilità di digitare automaticamente le password nei form online.

Il meccanismo alla base del funzionamento di Sicurpas è simile a quello utilizzato da software quali KeePass che abbiamo recensito in questo nostro articolo.
Le coppie nome utente-password impiegate per l’accesso ai servizi online vengono annotate da Sicurpas sotto forma di file di testo. Ciascun file di testo, però, viene crittografato utilizzando uno degli algoritmi di cifratura messi a disposizione: AES Rijndael con chiave a 256 bit, Twofish 256 bit e Blowfish 448 bit.

Sicurpas viene distribuito in due versioni: una installabile sul personal computer e l’altra avviabile senza il bisogno di eseguire alcuna procedura di setup. Noi abbiamo scelto di provare Sicurpas Freeware 4.0 Pro nella versione “portable” ossia immediatamente avviabile dal disco fisso o da qualunque altro supporto di memorizzazione (anche rimovibile).

Anche la versione portabile di Sicurpas 4.0 Pro – ed è questa una delle novità della nuova versione – è dotata di una procedura di aggiornamento automatica che è richiamabile anche facendo doppio clic sul file Updater.exe.

Per utilizzare Sicurpas Freeware 4.0 Pro Portable, è sufficiente scaricare questo file ed estrarne il contenuto su disco utilizzando un programma come 7-Zip o WinRAR.
Dopo aver estratto tutto il contenuto dell’archivio compresso RAR, si potrà avviare sicurpas.exe o verificare la disponibilità di eventuali aggiornamenti con un doppio clic su updater.exe.

Ciascun file che ospita password personali e credenziali d’accesso, viene chiamato “scheda” e può essere creato con un semplice clic del mouse selezionando il pulsante Nuova scheda (il primo nella barra degli strumenti) oppure il comando omonimo del menù File.

Sicurpas 4.0 offre già, di default, un elenco composto da diversi gruppi (Computer, Internet, Intranet, Rete, Programmi,…) all’interno dei quali si potranno classificare ed archiviare in modo sicuro tutte le proprie credenziali d’accesso. I pulsanti contenuti nel primo livello della barra degli strumenti consentono di aggiungere gruppi, sottogruppi, modificare od eliminare quelli già esistenti.

Il pulsante che simboleggia una piccola chiave di colore giallo, invece, consentirà di aggiungere in archivio una nuova password:

Sicurpas è in grado di annotare la durata di validità di una password segnalando all’utente quando si sta per avvicinare la data di scadenza o se, in archivio, vi siano credenziali ormai scadute. Facendo clic sulla scheda Internet, è possibile impostare la funzione di autodigitazione delle password. Sicurpas è in grado di permettere il login su un sito web accollandosi interamente la procedura di inserimento del nome utente e della password:

Nel campo Sito web è necessario indicare l’indirizzo completo della pagina da visitare per l’effettuazione del login mentre nella casella Stringa di auto digitazione va indicata la sequenza di tasti da premere per consentire il corretto inserimento delle credenziali d’accesso. Ad esempio, nel nostro caso abbiamo inserito la pagina di login ai servizi di Google (https://accounts.google.com/ServiceLogin?hl=it&continue=https://www.google.it/"). Nella casella Stringa di auto digitazione abbiamo inserito -sleep-5000-username-tab-1-password-enter-1-. Il significato della stringa è facilmente intellegibile: Sicurpas si collegherà dapprima all’URL specificato, utilizzando il browser web predefinito, attenderà 5 secondi (5000 millisecondi), digiterà subito il nome utente impostato nella successiva casella Username (accedendo alla home di Google il cursore viene automaticamente posto sul campo “nome utente”), premerà il tasto TAB una volta (cifra 1), digiterà la password quindi premerà il tasto Invio (“enter”) una sola volta.
Dal menù a tendina Valori è possibile selezionare altri comandi o altri tasti da premere a seconda della struttura del form di login. In ogni caso, prima di salvare la coppia nome utente-password in Sicurpas, il consiglio è sempre quello di premere il pulsante Esegui test in modo da accertarsi che il login automatizzato operi in modo corretto.

Sicurpas è anche un generatore di password sicure: il modulo che si occupa di produrre, su richiesta dell’utente, password sufficientemente lunghe e complesse, tali da scongiurare attacchi di tipo “brute force” (ved. questo nostro articolo), è stato battezzato Blizzard.

È possibile richiamare l’algoritmo Blizzard da più aree del programma, compresa la finestra per l’aggiunta di una password in archivio: basta fare clic sul primo pulsante in basso (Sicurpas Blizzard Algorithm).

Le varie opzioni contenute nella finestra consentiranno di impostare le caratteristiche della password che si desidera venga generata (lunghezza, presenza di caratteri alfanumerici, simboli,…). Cliccando su OK, la password selezionata verrà automaticamente inserita nel campo Password.

Dalla finestra principale del programma, Blizzard è richiamabile dal menù Strumenti selezionando la voce Sicurpas Blizzard Algorithm o, in alternativa, facendo clic sull’apposito pulsante della barra degli strumenti.

Le password generate con Blizzard che hanno una composizione superiore ai 64 bit sono le più difficoltose da attaccare con un software “brute force“.

Per salvare una scheda su disco, insieme con tutte le password in essa annotate, è sufficiente ricorrere al menù File, Salva scheda.

Non appena si salverà su disco una scheda, Sicurpas richiederà di specificare una master key ossia una parola chiave che sarà l’unica a dover essere tenuta a mente. La master key dovrà essere scelta in modo tale da essere sufficiente lunga e complessa per scongiurare l’eventualità di attacchi messi in atto da parte di coloro che intendessero mettere le mani sul contenuto del file cifrato contenente l’elenco completo delle proprie password. Tale chiave va introdotta nel campo Password, posto in calce alla finestra, e ripetuta nella casella Verifica.

Gli algoritmi di cifratura con i quali è possibile proteggere ogni scheda ossia ogni singolo archivio di password sono tre: AES Rijndael (consigliato), Twofish e Blowfish.

Cliccando su OK, l’archivio delle password verrà memorizzato, come detto, all’interno di uno speciale file-contenitore cifrato (“viking ship“), con estensione .vkn.

Sicurpas tiene a sottolineare le sua abilità nella protezione delle password personali: per scongiurare aggressioni basate sull’impiego di applicazioni capaci di analizzare in profondità ed in tempo reale il contenuto della memoria con lo scopo di rilevare ed estrarre informazioni sensibili (quali sono le parole chiave), è stato ideato ed implementato un algoritmo di difesa denominato Ghost. Qualunque valore digitato nella casella d’immissione password viene preso in consegna dall’algoritmo Ghost e concatenato alla stringa di base che viene immediatamente cifrata con il nuovo elemento. Come spiega uno degli sviluppatori di Sicurpas, il sardo Mariano Ortu, la stringa via a via digitata dall’utente viene sottoposta ad un continuo processo di cifratura mentre i caratteri che la compongono vengono automaticamente rimossi dalla memoria. La chiave di cifratura cambia ad ogni carattere digitato dall’utente: se si digita una password di 40 caratteri, l’algoritmo Ghost genera 40 chiavi completamente differenti tra di loro.

Ogni password scelta dall’utente viene accuratamente valutata utilizzando, oltre ad una semplice valutazione delle caratteristiche della parola chiave, i dizionari italiano, inglese e latino. La procedura di controllo è importante perché mira ad accertarsi che la password indicata non contenga termini presenti nei dizionari o, peggio ancora, che la parola chiave – nel suo complesso – non sia un vocabolo conosciuto. In tal caso, infatti, l’efficacia della parola d’ordine impostata sarebbe praticamente nulla e le informazioni memorizzate nelle schede di Sicurpas facilmente estraibili.

Il pulsante Caratteri virtuali, posto poco sopra la casella master key, consente di proteggersi da quei programmi maligni che fossero stati installati sul personal computer con lo scopo di intercettare le sequenze di tasti premuti dall’utente e rubare, così, password e credenziali d’accesso.
A proposito di keylogger, l’algoritmo battezzato “AKL” consente di proteggere l’utente di Sicurpas da tutti i “software spia” ad oggi conosciuti.

Le password, in generale, non dovrebbero mai essere stampate, soprattutto se “in chiaro”. Sicurpas permette di generare un alfabeto alternativo che, effettuando le dovute sostituzioni, consente di decodificare rapidamente una coppia nome utente e password stampata nella cosiddetta “modalità protetta”. Si tratta ovviamente di un approccio molto semplice che è praticamente identico allo storico cifrario di Cesare che prevedeva semplicemente una sostituzione monoalfabetica. Cliccando sul menù Scheda, Crea alfabeto personale dopo aver salvato l’archivio delle password, si farà in modo che Sicurpas sostituisca automaticamente una lettera con un’altra. Stampando quello che viene chiamato “report matrice”, si potrà decodificare l’elenco degli username e delle password inviati alla stampante utilizzando il comando File, Stampa scheda, In modo protetto. Com’è ovvio, è necessario conservare il “report matrice” in un luogo completamente differente (riservato ed irraggiungibile) da quello ove si è collocato il foglio con l’elenco delle password.

Diversamente rispetto ad un programma come KeePass, Sicurpas mette a disposizione gli strumenti per crittografare qualunque file sia memorizzato sul disco fisso o su di un’unità rimovibile. Prima di applicare la cifratura vera e propria, Sicurpas effettua solitamente anche un’operazione di compressione dell’elemento indicato dall’utente impiegando un algoritmo simile, per efficacia e comportamento, ai più noti Zip e RAR.

Sicurpas è capace di interagire con l’interfaccia di Windows: è per esempio possibile trascinare le credenziali d’accesso visualizzate nella finestra del programma all’interno delle caselle di login mostrate da un browser web oppure in un altro software.

Il comando Cifratura e compressione dei file (menù Strumenti) dà modo di crittografare qualunque genere di file semplicemente scegliendo l’algoritmo preferito ed impostare la parola chiave, sufficientemente lunga e complessa, da usare a protezione dell’oggetto crittografato:

I pulsanti posti immediatamente sopra la tabella composta dalle colonne ID, Nome file, Percorso,… consentono di cifrare e decifrare, rispettivamente, uno o più file oppure il contenuto di intere cartelle.