Gestione sicura delle password con KeePass e Firefox

Sono davvero tante le credenziali di accesso (username e password) che, al giorno d’oggi, debbono essere ricordate. Vi proponiamo, di seguito, un’ottima utilità gratuita che consente di risolvere brillantemente il problema mettendo a disposizione dell’utente un archivio crittografato da impiegare come supporto per la memorizzazione delle password.

I propri dati di autenticazione possono essere organizzati, all’interno dell’archivio di KeePass Password Safe, come meglio si crede grazie alle categorie in cui è possibile suddividerli.
Il software salva i database delle password crittografandoli con gli algoritmi AES (Advanced Encryption Standard) e TwoFish.

AES è considerato un algoritmo veloce, sicuro e gli attacchi rivoltigli sinora si sono rivelati interessanti studi teorici ma di scarsa utilità nella pratica. Opera di due crittografi belgi – Joan Daemen e Vincent Rijmen – è stato adottato ufficialmente negli USA nel 2001, dopo una serie di studi e processi di standardizzazione. AES è stato inizialmente proposto con il nome di “Rijndael“, un tributo agli inventori.

Tra i vantaggi principali derivanti dall’uso di AES, oltre alla sicurezza intrinseca, vi è la velocità. Le prestazioni dell’algoritmo sono infatti notevoli sia se sviluppato in software che in in hardware. AES è poi relativamente semplice da implementare e richiede poca memoria.

KeePass non dispone di una funzionalità che ne permette l’integrazione diretta con il browser web. Tuttavia, è sufficiente ricorrere alla combinazione di tasti CTRL+ALT+A (modificabile eventualmente a piacimento) per invocare la funzionalità “auto-login” di KeePass. Requisito indispensabile per il suo utilizzo, è che il programma sia residente in memoria (l’icona di KeePass deve essere visualizzata nella traybar di Windows). In questo modo, KeePass consente di inserire rapidamente login e password, ad esempio, in form sul web, supporta il “drag&drop” e permette addirittura di specificare una serie di operazioni che debbono precedere e seguire l’inserimento dei dati.
Il programma integra anche un generatore di password, una funzionalità di “chiusura automatica” che si attiva nel caso in cui si dovesse lasciare il sistema “incustodito”, la possibilità di effettuare ricerche nel database e molto altro ancora.

A protezione del database contenenti le credenziali di accesso personali ai vari servizi online, KeePass utilizza una password “master” (l’utente dovrà tenere sempre a mente solo questa password di protezione) oppure un file chiave che dovrà essere tenuto segreto.

Per tradurre il software in italiano, è sufficiente scaricare questo file compresso quindi estrarne il contenuto (file italian.lng) nella cartella in cui si è installato KeePass (la directory ove è presente il file keepass.exe). A questo punto, avviando KeePass, si dovrà cliccare sul menù View, Change language, cliccare sulla voce Italian ed infine premere il pulsante Sì così da riavviare l’applicazione.

Il primo passo da compiere dopo aver tradotto in italiano l’interfaccia del software, è creare un nuovo database protetto facendo riferimento al menù File, Nuovo: KeePass mostrerà una finestra all’interno della quale si dovrà digitare una password “master”, ossia la parola chiave che verrà utilizzata a protezione dell’archivio contenente tutte le informazioni personali e tutte le varie credenziali di login. Accanto all’impiego della password “master” si potrà decidere se utilizzare o meno anche un file chiave (estensione .key), da memorizzare, ad esempio, su un supporto di memorizzazione esterno (un floppy disk, una chiavetta USB e così via). Non è consigliabile ricorrere esclusivamente al file chiave senza impostare una password “master”: se il supporto di memorizzazione contenente il file chiave cadesse nelle mani di malintenzionati, potrebbe permettere loro l’accesso illimitato a tutte le informazioni conservate nel database di KeePass.

Per fidare sul massimo livello di sicurezza, è invece possibile usare entrambe le forme di protezione (password “master” e file chiave) spuntando la casella Utilizza password principale e file chiave.

Nel momento in cui si digita la propria password “master”, è bene tenere d’occhio la barra colorata visualizzata immediatamente sotto la casella di inserimento. Essa indica infatti quanto la parola chiave introdotta sia “adeguata”.
La scelta della password principale, usata a protezione dell’archivio, è un aspetto che assume un’importanza cruciale. E’ bene accertarsi di digitare una password lunga, contenente lettere (possibilmente sia caratteri minuscoli sia maiuscoli), numeri e magari anche caratteri speciali (segni d’interpunzione).
L’archivio di KeePass, pur essendo cifrato, viene protetto con una chiave – la password “master”, appunto – che è una sequenza di caratteri e/o cifre di lunghezza finita. Esiste quindi il pericolo che possa essere “indovinata” per tentativi da parte di un malintenzionato (attacchi Brute-force).
La chiave deve essere pertanto così lunga e complessa da renderne praticamente impossibile l’individuazione. Questo requisito è divenuto oggi ancor più “stringente” dal momento che i moderni calcolatori possono effettuare milioni di tentativi al minuto essendo in grado di risalire alle chiavi di minore complessità.
Quando la barra colorata vira verso il colore verde, significa che si è introdotto una password di complessità adeguata: verificate, ad esempio, quanto dovrebbe essere lunga una buona password che utilizzi solo lettere minuscole a confronto di una che contiene lettere maiuscole e minuscole, numeri e caratteri speciali (punti interrogativi, punti esclamativi, segni di valuta, barre, parentesi e così via).

Lunghezza della chiave ed utilizzo di KeePass

Si tenga sempre presente la lunghezza della chiave in bit. Il numero dei possibili valori e quindi il numero dei “tentativi” che l’ipotetico aggressore dovrebbe compiere per cercare di “indovinare” la password “master”, si raddoppia non appena si aggiunge un singolo bit alla lunghezza della chiave. Quindi, una chiave da 57 bit può assumere un numero di valori doppio rispetto ad una chiave da 56 bit; una chiave da 66 bit consente di ottenere un numero di valori che è 1.024 volte superiore a quello ottenibile con una chiave a 56 bit: (2⁶⁶) / (2⁵⁶) = 1024 oppure, più semplicemente, 2^(66-56) = 1024.

Qual è la dimensione più corretta per la chiave? Quando nacque, nel 1975, l’algoritmo di cifratura DES, una dimensione assolutamente accettabile, all’epoca, per una chiave era pari a 56 bit. Tenendo conto della legge di Moore (le prestazioni dei processori ed numero di transistor raddoppiano ogni 18 mesi), partendo dal suggerimento iniziale del 1975 (chiavi da 56 bit), a metà degli anni ’90 la dimensione corretta della chiave poteva essere considerata quella pari a 70 bit, nel 2015 pari a 85 bit. Le dimensioni della chiave necessaria per proteggere i dati da attacchi vanno comunque scelte in funzione della tipologia di aggressori con i quali si potrebbe avere a che fare (semplici malintenzionati o persone dotate di disponibilità di tempo e denaro).

Qualora si fosse optando anche per l’impiego di un file chiave, KeePass visualizzerà una finestra attraverso la quale sarà possibile generare il file a partire dai movimenti casuali del puntatore del mouse. Per iniziare la procedura di generazione del file chiave, è necessario cliccare sul pulsante Usa il mouse come sorgente casuale muovendo quindi il puntatore del mouse, in modo del tutto casuale, all’interno dell’area Input casuale da mouse.

In alternativa, è possibile premere una serie di tasti casuali sulla tastiera digitandoli nel box Input casuale da tastiera.

Dopo aver concluso la fase di generazione delle chiavi, si può passare all’inserimento dei dati personali nel database di KeePass.
Il programma suggerisce, di default, cinque gruppi: Windows, Network, Internet, Email e Banca in linea. All’interno di ciascuno di essi è possibile memorizzare, rispettivamente, credenziali di accesso per sistemi Windows, per unità e risorse di rete, per siti Internet, per la consultazione della posta elettronica, per l’accesso a servizi di online banking.
Com’è ovvio, i gruppi possono essere personalizzati liberamente (aggiunti, eliminati, rinominati) da parte dell’utente: a tal proposito, basta cliccare con il tasto destro del mouse sulla colonna di destra contenente la lista dei gruppi presenti e fare riferimento ai comandi Aggiungi gruppo di password, Modifica gruppo di password, Elimina gruppo di password. Ciascun gruppo può ospitare dei sottogruppi, utilizzabili per meglio catalogare i dati da gestire. Per aggiungere un nuovo sottogruppo, è sufficiente fare clic col tasto destro su uno dei gruppi in elenco quindi selezionare Aggiungi sottogruppo di password dal menù contestuale.

Per aggiungere credenziali di login e dati personali nel database, basta cliccare con il tasto destro del mouse nel pannello di destra di KeePass e selezionare il comando Aggiungi una voce.

La casella che KeePass mostra nella barra degli strumenti, all’estrema destra, consente di ricercare rapidamente una password all’interno dell’archivio. La funzionalità è in grado di tenere in memoria la cronologia delle ricerche precedenti rimovibile in qualsiasi momento cliccare su Pulisci cronologia ricerca.

Cliccando con il tasto destro su una voce visualizzata nel pannello di destra di KeePass, è possibile copiare la password nell’area degli Appunti di Windows (Copia nome utente negli appunti e Copia password negli appunti) oppure fare in modo che il programma inserisca automaticamente le credenziali d’accesso selezionate, ad esempio, nei moduli (form) online.

La finestra Strumenti, Opzioni, scheda Avanzate, di KeePass raccoglie interessanti impostazioni tra le quali ricordiamo la possibilità di richiedere l’esecuzione automatica del programma ad ogni avvio di Windows, la rimozione dagli Appunti di Windows di qualunque password presente dopo un certo lasso di tempo, la possibilità di concedere solo un’operazione di “incollaggio” di una password memorizzata nell’area degli Appunti

) che può essere eseguita su piattaforma Mac OS X e Linux.

Il password manager di Mozilla Firefox

Il browser opensource di Mozilla, come certamente saprete, integra un gestore di password. Se lo utilizzate accertatevi però di proteggerlo adeguatamente od altrimenti rischierete di rendere facilmente visibili tutti i dati di autenticazione gestiti da Firefox a qualunque utente che abbia accesso al vostro personal computer.
Nella configurazione di default del browser, infatti, cliccando sul menù Strumenti, Opzioni, sulla scheda Sicurezza quindi sul pulsante Password salvate, infine su Mostra password, è immediato ottenere un elenco completo dei dati di login memorizzati e delle pagine web in cui essi vanno introdotti.

Mozilla Firefox integra una caratteristica non molto conosciuta che consente di proteggere l’archivio delle password registrate durante l’utilizzo del browser senza essere costretti a rinunciare alla praticissima funzionalità di “autologin”.
Nella scheda Strumenti, Opzioni, Sicurezza è presente la casella Utilizza una password principale: spuntandola, Firefox richiederà l’inserimento di una parola chiave che verrà impiegata a protezione dell’archivio dei dati di autenticazione gestiti dal browser.

Anche in questo caso, la barra Indicatore qualità password rileverà automaticamente l'”adeguatezza” della parola chiave digitata dall’utente.
Ovviamente, la password “master” di Firefox non dovrà mai essere dimenticata altrimenti non si sarà più in grado di accedere all’elenco delle password memorizzate dal browser di Mozilla.

Dopo l’impostazione della password principale, accedendo ad un sito web che richiede l’inserimento di credenziali d’accesso già memorizzate da Firefox, il browser mostrerà una finestra aggiuntiva all’interno della quale si dovrà digitare la password “master” precedentemente impostata. Quest’operazione andrà compiuta solamente una volta per ciascuna sessione di lavoro.