KeePass un semplice gestore per le nostre password

Keepass Password SafeViviamo nell'era di Internet e ovviamente siamo letteralmente invasi di account per gestire email, social network, home banking, carte di credito, forum, per non parlare di tutti i vari Negozi online su cui facciamo acquisti.

Le regole del Buon Senso suggeriscono di usare password diverse per ogni account (se non siete convinti di questo dopo vi spiego il perché). Non solo, occorre scegliere le password abbastanza lunghe (almeno 8 caratteri), con lettere e numeri e magari anche con segni di punteggiatura e/o almeno una lettere maiuscola. Inoltre le password andrebbero cambiate regolarmente almeno ogni 6 mesi, specie quelle più sensibili.

 

Ovviamente anche l'utente più esperto avrebbe seri problemi di memoria nel gestire tutte le sue password.

Personalmente, per ovviare a questi problemi, da alcuni anni sto usando un software Gratuito e Open Source chiamato KeePass Password Safe, disponibile sia per Piattaforma Microsoft Windows che tantissime altre (grazie a programmatori volontari) per cui si può usare su Linux, Mac nonché per dispositivi mobili come Android, iPhone/iPad, Windows Phone e PocketPC PC, Symbian e BlackBerry.

Il funzionamento è abbastanza semplice: apriamo il nostro file delle password con un doppio click, digitiamo la password (l'unica che dovremo ricordarci a memoria) e visualizzeremo tutte le nostre password divise per categorie (Es. Internet, Email, Home Banking, Shopping etc) e all'interno di ciascuna categoria potremo avere tutti i nostri account con indicazione di User, Password, eventuale URL, Note ed eventualmente anche data di validità/scadenza della password. Nelle note è opportuno indicare l'indirizzi email usato se ne usiamo più di uno, ed eventuali altri dati che possono essere utili.

KeePass inserimento accountL'utilizzo del programma è molto semplice... per cui non entro nello specifico (anche perché può cambiare leggermente nella versione per Computer da quella per Mobile).

Abbiamo il Titolo (nell'esempio ho inserito Facebook), poco più a destra una Icona di una chiave che se cliccata ci permette di scegliere altre icone più identificative per quell'Account.

Poco sotto abbiamo l'user name usato per quell'account, quindi abbiamo la casella della Password e sotto un'altra casella dove occorre ripeterla per motivi di sicurezza. A destra della prima casella Password abbiamo un pulsante con tre pallini. Se premiamo quel pulsante la prima casella Password mostra la password in chiaro mentre la seconda viene disabilitata. In fase di inserimento possiamo premere il pulsante per mostrarla in chiaro e inserirla senza doverla ripetere.

A destra della casella per la ripetizione della Password  c'è un pulsante che porta ad un utile generatore di Password casuali con possibilità di definire vari parametri come caratteri da usare (lunghezza, lettere minuscole e/o maiuscole, numeri, caratteri speciali etc).

Più sotto nella casella Quality viene mostrata la "qualità" della password ovvero la sicurezza, sia usando una barra di lunghezza variabile, sia usando dei colori che vanno dal Rosso (insicura) a Verde (sicura). Inoltre viene mostrato il valore in bit.

In seguito troviamo la casella URL che permette di memorizzare l'indirizzo Web di quell'account.

Nella casella grande Note possiamo inserire varie note opzionali come l'indirizzi email usato oppure il numero di cellulare indicato in fase di registrazione (se è stato richiesto dato che spesso molti account lo chiedono e lo usano per inviare un codice di sblocco). Inoltre la casella può essere usata per memorizzare la solite risposte alle domande di sicurezza.

Infine una casella che permette di memorizzare una eventuale data di scadenza.

 

 

 


 

KeePass Schermata Principale

 Nella schermata principale è possibile vedere, a sinistra, le categorie ed eventuali sotto categorie, mentre a destra, per ciascuna categoria, i vari account memorizzati.

Ovviamente la password è visualizzata come asterischi, ma cliccando con il tasto destro su uno degli account è possibile copiare user name o la password. Da quel momento abbiamo alcuni secondi per incollare il risultato nella pagina web (o dove serve) prima che venga cancellato, per motivi di sicurezza, dalla memoria degli appunti.

Per ora è inutile aggiungere altri dettagli sull'uso dato che il programma è abbastanza semplice.

Quello che posso raccomandare è:

  • Usatelo sempre, per ogni singola password che dovete gestire.
  • Salvate regolarmente il file insieme ai vostri BackUp (li fate i BackUp vero???)
  • Quando cambiate la password di accesso al Vostro PC (la cambiate almeno una volta ogni 6 mesi vero???) cambiatela anche a KeePass... magari usatela anche uguale o con qualche carattere in più rispetto a quella dell'accesso al Vostro PC.
  • Ovviamente KeePass salva un file Crittografato quindi senza la password è difficile che si possa accedere... salvo ovviamente usare la forza bruta (ovvero tentare tutte le possibile combinazioni di password... ma ci vuole tempo... molto tempo, specie se usate una password lunga).

Se questo non basta è possibile usare un Keyfile che permette una maggiore sicurezza... senza questo Keyfile nemmeno voi potete accedere alle Vostre password, va quindi salvato con cura anche questo file insieme ai normali BackUp e ovviamente messo al sicuro.

 


Infine ecco dei buoni motivi per usare sempre password differenti.

  • Il gestore du Account potrebbe salvare la password in chiaro. E' difficile che capiti ma non impossibile. Se il sito subisce un attacco informatico al Database e vengono rubati i dati oppure se il gestore del Account è scorretto, potrebbe usare quella password che ha sul suo database per tentare di entrare nell'email, account facebook o altri account che in qualche modo riesce a far risalire a me. Personalmente mi è capitato almeno alcune volte che il sito di un fornitore o il gestore di un forum, mi fornissero tramite una sistema NON automatico, la password in chiaro invece di chiedermi, tramite un sistema di autenticazione alternativo di resettarla.

  • Non tutti i servizi a cui ci registriamo usano il protocollo HTTPS (dove i dati vengono criptati al volo nel nostro computer, quindi attraversano internet in modo sicuro ed infine vengono decriptati sul server di destinazione che li deve elaborare), perché in effetti spesso non è necessario... ad esempio un Forum. Se i dati durante il tragitto su internet vengono intercettati da qualcuno, questo qualcuno vedrà la password in chiaro e da li tentare di accedere ai ad altri nostri account. Non deve essere per forza un attacco mirato, può capitare a chiunque.

  • Se un Account ha una password compromessa NON dobbiamo preoccuparci di modificare il prima possibile tutte le password degli altri Account


Molti si chiederanno come sia possibile che un Gestore NON possa conoscere, in qualche modo, le Password dei propri utenti, perché in qualche modo devono essere leggibili in chiaro per poterle confrontare con quelle inserire di volta in volta dall'utente.

In effetti i sistemi di autenticazione fatti correttamente NON devono salvare la password in chiaro ma un HASH della Password, ovvero una stringa di testo a lunghezza predefinita ottenuta da una stringa di testo (la password) a lunghezza variabile. Naturalmente occorre usare un sistema di HASH a senso unico, cioè dalla Password ottengo l'HASH, ma dall'HASH non ottengo la Password. Quindi per validare l'autenticazione dell'utente, determino l'HASH della Password che l'utente sta digitando in quel momento e lo verifico con l'HASH memorizzato nel Database. Se sono identici la password è corretta e il sistema conferma l'autenticazione dell'utente.