Keepassx

Questa che vi propongo e’ una edizione aggiornata di un articolo che avevo scritto mooolto tempo fa nel sito della mia associazione culturale GrayHats.

Link articolo originale - in attesa di aggiornamento anche questo (le immagini che avevo inserito sono andate perdute..)

Intro: Chi? Come? Quando? e… Perche’?

  • Usi la stessa password per accessi differenti? Molto male. In caso di perdita/furto, perderesti tutto;
  • Hai una buona memoria o usi password semplici? Le password semplici con molta probabilita’ saranno gia’ inserite in qualche dizionario utilizzato dai brutti ceffi per un brute force attack;
  • Conservi le tue password o ti affidi alla memoria? Affidarsi alla memoria puo’ essere salutare, ma non sicuro. Di contro, salvare password sensibili in semplice file in chiaro e’ assolutamente insicuro: chiunque puo’ leggerle => prima o poi qualcuno li leggera’;

Se avete risposto si, allora avete un problema. Problema che si rivelera’ tale solo quando sara’ troppo tardi, e allora vi ricorderete di questo giorno quando in sogno vi appariro’ io e vi puntero’ contro il dito, dicendo: VERRAUN GIORNO.

Avete riconosciuto la citazione? meglio ancora: sara’ piu’ probabile che io vi appaia in sogno.

OPPURE

Oppure, potreste dotarvi di Keepassx.

Keepassx e’ una applicazione multipiattaforma per la creazione, gestione e storage criptato delle password personali. Keepassx e’ sicuro e fidato (licenza GNU GPL).

Il vantaggio nell’usare un gestore di password e’ che il numero di password da ricordare si riduce ad uno: solo la password per sbloccare keepassx. Una ottima scelta e’ quella di prendere una espressione dialettale e storpiarla ulteriormente in modo da renderla unica e personale (chiaramente non andra’ mai pronunciata in pubblico, per evitare i pericoli del social engineering)

Ma perche’ proprio Keepassx??

Ci sono altri gestori di password, e (peggio, molto peggio) molti siti che offrono servizi di questo tipo, perche’ dunque Keepassx e non un altro?? Come buon senso comanda, dovreste sempre diffidare a priori di qualsiasi soluzione per privacy/sicurezza che non sia accompagnata dal codice sorgente (chi si fida di una scatola chiusa??)

Features

  • Gestione avanzata delle password
    • disposizione in categorie, per una migliore identificazione
    • possibilita’ di inserire allegati
    • possibilita’ di inserire simboli per categorie e login, sempre per una migliore identificazione
    • clonazione facile di una login
    • ordinamento delle login all’interno di una categoria
  • Funzioni di Ricerca
  • Sicurezza. Il database delle password puo’ essere sbloccato tramite:
    • password
    • key-file (cd o memory-stick)
    • una combinazione di entrambi
  • Auto-riempimento form di login (sperimentale).
  • Generazione automatica di password
    • facilitazioni per la creazione di password custom e sicure
  • Controllo qualita’ password
  • Database delle password cifrato con AES o Twofish
  • Import/Export voci
    • PwManager, KWallet, txt
  • Multipiattaforma
  • Free Software. Direi che questa e’ la caratteristica principale. Possiamo fidarci solo dei programmi il cui codice e’ fruibile a tutti livelli.

login autofill

Vorrei sottolineare l’auto-riempimento delle form di loging. Per quanto sia dichiarato come sperimentale, devo dire che svolge egragiamente il proprio lavoro: 9 volte su 10 funziona.

Nota Bene

Tenete sempre ben presente i rischi di un login da postazione non sicura (internet cafe’, pc prestati, … qualsiasi postazione che non sia la propria). Esistono keylogger e memory sniffer (si chiamano cosi?), ovvero la possi bilita’ che vengano memorizzati i caratteri digitati dalla tastiera e/o vedere le password salvate in memoria. Una funziona come quella appena vista in keepassx potrebbe/dovrebbe risolvere questo pericolo. Purche’ stiate attenti: sbloccare keepassx inserendo la password in presenza di un keylogger compromette la sicurezza di tutte le altre password.

Screenshot interfaccia

Interfaccia leggera, funzionale, purtroppo basata sulle librerie qt (quelle di kde, io uso gnome..), con utili funzioni per il login via web come ad esempio il “perform auto web login” con il programma autocarichera’ le informazioni direttamente sulla form di login del sito (login standard, eh).

Keepassx nuova voce generatore di password


Comments