Il problema della memorizzazione sicura dei dati di autenticazione per l’accesso a siti web, a servizi online e per l’utilizzo di particolari dispositivi o strumenti quali bancomat o carte di credito è oggi sempre più sentito.
KeePass Password Safe è una nota soluzione che consente di risolvere il problema in modo rapido ed efficace. I propri dati di autenticazione possono essere infatti conservati all’interno di un archivio protetto attraverso l’utilizzo di un algoritmo crittografico sicuro. In questo modo è possibile essere certi che nomi utente e password, insieme con gli altri dati sensibili memorizzati nel “contenitore” di KeePass, non possano essere sottratti da aggressori od utenti malintenzionati.
KeePass salva i database delle password crittografandoli con l’algoritmo AES (Advanced Encryption Standard). AES è infatti considerato tutt’oggi un algoritmo veloce, sicuro e gli attacchi rivoltigli sinora si sono rivelati, almeno per il momento, di scarsa utilità nella pratica. Opera di due crittografi belgi – Joan Daemen e Vincent Rijmen – AES è stato adottato ufficialmente negli USA nel 2001, dopo una serie di studi e processi di standardizzazione. AES, che è stato inizialmente proposto con il nome di “Rijndael” (un tributo agli inventori), fa dell’aspetto prestazionale, oltre che della sicurezza intrinseca, uno dei suoi principali vantaggi: le prestazioni dell’algoritmo sono infatti notevoli sia se sviluppato in software che in in hardware. AES è poi relativamente semplice da implementare e richiede poca memoria.
A protezione del database contenente le credenziali di accesso personali ai vari servizi online, KeePass utilizza una password “master” (l’utente dovrà tenere sempre a mente solo questa password di protezione) oppure un file chiave che dovrà essere tenuto segreto.
Prima esecuzione di KeePass
Per iniziare ad utilizzare KeePass, suggeriamo di orientarsi sulla versione portabile dell’applicazione, scaricabile cliccando sul link pubblicato in calce a questa scheda o direttamente da qui.
La versione portabile di KeePass ha l’indubbio vantaggio di poter essere agevolmente inserita in un’unità rimovibile quale può essere una semplice chiavetta USB oppure avviata direttamente dal disco fisso del personal computer senza alcuna procedura d’installazione.
Dopo aver verificato di disporre del pacchetto .Net framework 2.0 di Microsoft (il software è presente di default in Windows Server 2003 R2, Windows Server 2008, Windows Vista, Windows Server 2008 R2 e Windows 7), KeePass potrà essere eseguito estraendo il contenuto dell’archivio compresso in una cartella di propria scelta quindi facendo doppio clic sul file KeePass.exe
.
Traduzione in italiano
Per impostazione predefinita, KeePass non dispone della traduzione italiana. Per ottenere l’interfaccia utente del programma interamente in italiano, è necessario chiudere l’applicazione, scaricare questo file ed estrarne il contenuto (italian.lngx
) nella stessa cartella ove è presente l’eseguibile KeePass.exe
.
A questo punto, avviando KeePass, si dovrà cliccare sul menù View, Change language, selezionare la voce Italian ed infine premere il pulsante Sì così da riavviare l’applicazione.
Apparirà così la finestra principale del programma, completamente tradotta nella nostra lingua:
Il primo passo da compiere dopo aver tradotto in italiano l’interfaccia del software, è creare un nuovo database protetto facendo riferimento al menù File, Nuovo: in primis si dovrà indicare dove salvare tale archivio protetto e digitarne il nome (all’oggetto sarà assegnata l’estensione .kdbx
). KeePass mostrerà una finestra (“Crea parola chiave composita“) all’interno della quale si dovrà digitare una password “master”, ossia la parola chiave che verrà utilizzata a protezione dell’archivio contenente tutte le informazioni personali e tutte le varie credenziali di login.
Accanto all’impiego della password “master” si potrà decidere se utilizzare o meno anche un file chiave (estensione .key
), da memorizzare, ad esempio, su un supporto di memorizzazione esterno (un floppy disk, una chiavetta USB e così via). Tale elemento può essere generato semplicemente cliccando sul pulsante Crea… e dovrà essere conservato gelosamente. Il file chiave potrà essere sfruttato come una misura di difesa in più per la protezione dell’archivio di KeePass.
Non è consigliabile ricorrere esclusivamente al file chiave senza impostare una password “master”: se il supporto di memorizzazione contenente il file chiave cadesse nelle mani di malintenzionati, potrebbe permettere loro l’accesso illimitato a tutte le informazioni conservate nel database di KeePass.
Per fidare sul massimo livello di sicurezza, è invece possibile usare entrambe le forme di protezione. Anzi, attivando anche la casella Nome utente di Windows, l’impiego del database in corso di creazione sarà vincolato all’uso dell’account utente di Windows col quale si è al momento loggati sul sistema. Se si perderà l’accesso all’account utente (ad esempio in caso di crash del sistema) non sarà sufficiente ricrearlo per poter accedere ai dati di KeePass: se non si conosce la procedura per creare una copia di backup degli account di Windows è bene non spuntare la casella Nome utente di Windows.
Scelta corretta della password principale (“master”) ed inserimento dei dati
Nel momento in cui si digita la propria password “master”, è bene tenere d’occhio la barra colorata visualizzata immediatamente sotto la casella di inserimento. Essa indica infatti quanto la parola chiave introdotta sia “adeguata”.
La scelta della password principale, usata a protezione dell’archivio, è un aspetto che assume un’importanza cruciale. E’ bene accertarsi di digitare una password lunga, contenente lettere (possibilmente sia caratteri minuscoli sia maiuscoli), numeri e magari anche caratteri speciali (segni d’interpunzione).
L’archivio di KeePass, pur essendo cifrato, viene protetto con una chiave – la password “master”, appunto – che è una sequenza di caratteri e/o cifre di lunghezza finita. Esiste quindi il pericolo che possa essere “indovinata” per tentativi da parte di un malintenzionato (attacchi Brute-force).
La chiave deve essere pertanto così lunga e complessa da renderne praticamente impossibile l’individuazione. Questo requisito è divenuto oggi ancor più “stringente” dal momento che i moderni calcolatori possono effettuare milioni di tentativi al minuto essendo in grado di risalire alle chiavi di minore complessità.
Quando la barra colorata vira verso il colore verde, significa che si è introdotto una password di complessità adeguata: verificate, ad esempio, quanto dovrebbe essere lunga una buona password che utilizzi solo lettere minuscole a confronto di una che contiene lettere maiuscole e minuscole, numeri e caratteri speciali (punti interrogativi, punti esclamativi, segni di valuta, barre, parentesi e così via).
Si tenga sempre presente la lunghezza della chiave in bit. Il numero dei possibili valori e quindi il numero dei “tentativi” che l’ipotetico aggressore dovrebbe compiere per cercare di “indovinare” la password “master”, si raddoppia non appena si aggiunge un singolo bit alla lunghezza della chiave. Quindi, una chiave da 57 bit può assumere un numero di valori doppio rispetto ad una chiave da 56 bit; una chiave da 66 bit consente di ottenere un numero di valori che è 1.024 volte superiore a quello ottenibile con una chiave a 56 bit: (266) / (256) = 1024 oppure, più semplicemente, 2(66-56) = 1024.
Qual è la dimensione più corretta per la chiave? Quando nacque, nel 1975, l’algoritmo di cifratura DES, una dimensione assolutamente accettabile, all’epoca, per una chiave era pari a 56 bit. Tenendo conto della legge di Moore (le prestazioni dei processori ed numero di transistor raddoppiano ogni 18 mesi), partendo dal suggerimento iniziale del 1975 (chiavi da 56 bit), a metà degli anni ’90 la dimensione corretta della chiave poteva essere considerata quella pari a 70 bit, nel 2015 pari a 85 bit. Le dimensioni della chiave necessaria per proteggere i dati da attacchi vanno comunque scelte in funzione della tipologia di aggressori con i quali si potrebbe avere a che fare (semplici malintenzionati o persone dotate di disponibilità di tempo e denaro).
Qualora si fosse optato anche per l’impiego di un “file chiave”, KeePass visualizzerà una finestra attraverso la quale sarà possibile generare il file a partire dai movimenti casuali del puntatore del mouse. Per iniziare la procedura di generazione del file chiave, è necessario cliccare muovere il puntatore del mouse nell’area grigia della finestra:
In aggiunta, oppure in alternativa, la sequenza di bit può essere prodotta anche a partire da un input di caratteri casuali da tastiera (riquadro Input casuale da tastiera).
Impostazione del database di KeePass ed inserimento dei dati di autenticazione
La finestra seguente consente di effettuare alcune regolazioni relativamente alla configurazione del database di KeePass. Agendo sulla scheda Generale, si possono inserire un nome ed una descrizione per il database. Le altre schede, com’è possibile verificare, sono già impostate correttamente (i valori di default sono assolutamente pertinenti nella maggior parte delle situazioni).
Cliccando su Cestino, è possibile verificare come KeePass – di default – non cancelli immediatamente i dati eliminati dal suo archivio ma li ponga sempre all’interno di uno speciale cestino, altrettanto protetto.
Conclusa la fase di configurazione del programma, si può passare all’inserimento dei dati personali nel database di KeePass.
Il programma propone, di default, sei gruppi: Generale, Windows, Network, Internet, Email e Banca in linea. All’interno di ciascuno di essi è possibile memorizzare, rispettivamente, credenziali di accesso a valenza generale, quelle per accedere a sistemi Windows, ad unità e risorse di rete, a siti Internet, alla consultazione della posta elettronica, ai servizi di online banking.
Com’è ovvio, i gruppi possono essere personalizzati liberamente (aggiunti, eliminati, rinominati) da parte dell’utente: a tal proposito, basta cliccare con il tasto destro del mouse sulla colonna di destra contenente la lista dei gruppi presenti e fare riferimento ai comandi Aggiungi gruppo, Modifica gruppo ed Elimina gruppo.
Ciascun gruppo può ospitare dei sottogruppi, utilizzabili per meglio catalogare i dati da gestire. Per aggiungere un nuovo sottogruppo, è sufficiente fare clic col tasto destro su uno dei gruppi in elenco quindi selezionare Aggiungi gruppo dal menù contestuale.
Per iniziare ad inserire delle credenziali di login e dei dati personali nel database, basta cliccare con il tasto destro del mouse nel pannello di destra di KeePass e selezionare il comando Aggiungi una voce.
La finestra che apparirà a video consente di inserire nel database di KeePass dei nuovi dati di autenticazione:
Nei campi Password e Ripeti va inserita la parola chiave attualmente utilizzata, ad esempio, per accedere ad un sito web. La barra colorata consente di ottenere un giudizio immediato sulla complessità e, quindi, sull’adeguatezza della password scelta.
La scheda Autocompletamento, consente di definire a quale finestra debbano essere automaticamente inviati username e password nonché la sequenza di tasti da premere: il programma, di default, dopo aver aperto la pagina indicata, compila il campo relativo al nome utente, preme il tasto TAB in modo da passare al successivo campo “password”, compila anche quest’ultimo infine premere il tasto Invio così da effettuare il login.
Prima di utilizzare dati reali, suggeriamo comunque di effettuare alcune prove in modo tale da verificare il perfetto funzionamento dell’autocompletamento.
Per integrare in modo ancor più efficace KeePass con i principali browser web, suggeriamo l’impiego dei seguenti plugin:
– KeeForm (compatibile con Internet Explorer e Firefox)
– KeeFox (compatibile solo con Firefox)
– PassIFox (plugin per integrare KeePass con Firefox)
– ChromeIPass (plugin per integrare KeePass con Chrome)
La casella Cerca che KeePass mostra nella barra degli strumenti, all’estrema destra, consente di ricercare rapidamente una password all’interno dell’archivio (la funzionalità è anche in grado di tenere in memoria la cronologia delle ricerche precedenti).
Cliccando con il tasto destro su una voce visualizzata nel pannello di destra di KeePass, è possibile copiare la password nell’area degli Appunti di Windows (Copia nome utente e Copia password) tenendo presente che la memoria sarà azzerata, come ulteriore misura di sicurezza, dopo 12 secondi.
Importare le password sinora memorizzate nel browser
Tutti i principali browser web offrono una funzionalità che permette di conservare in un apposito database tutte le credenziali d’accesso via a via digitate nelle pagine Internet. Tale approccio, però, fa spesso acqua perché troppo spesso non viene nemmeno usata una “master password” lasciando i propri dati di autenticazione alla mercé di chi abbia titolo per accedere al personal computer (od all’azione di eventuali malware).
Per importare tutte le password memorizzate nel browser, qualunque sia il prodotto utilizzato, è possibile ricorrere ad un programma gratuito quale WebBrowserPassView. Realizzato dall’ottimo Nir Sofer, l’applicazione, una volta in esecuzione, verifica quali browser risultano installati sul sistema e, per ciascuno di essi, vengono recuperati i dati di autenticazione disponibili.
Il programma può essere avviato semplicemente scaricando questo archivio compresso quindi scaricando il suo contenuto in una directory di propria scelta ed eseguendo il file WebBrowserPassView.exe
.
Si tratta di segnalazioni che mettono in luce il fatto che WebBrowserPassView possa essere utilizzato, ovviamente, anche da parte di utenti malintenzionati per estrapolare rapidamente le credenziali d’accesso utilizzate dall’utente.
Com’è possibile verificare esaminando l’analisi di VirusTotal, sono oggi dieci i motori antivirus (su un totale di 44) che avvisano l’utente nel caso in cui dovesse scaricare o tentare di eseguire il software WebBrowserPassView. Ribadiamo però il concetto, come d’altra parte testimoniano le segnalazioni di alcuni motori antivirus, che non si tratta di un programma maligno ma piuttosto di un “hacker tool” ossia un’applicazione che, nell’accezione più ampia del termine hack, consente di risolvere una determinata problematica (vedasi, ad esempio, Wikipedia).
La semplicità e l’immediatezza con cui WebBrowserPassView riesce, non appena eseguito, a recuperare nomi utente e password ben evidenzia il grado di sicurezza con cui tali informazioni sono conservate nei vari browser.
Va comunque rimarcato che, nel caso di Mozilla Firefox, se si fosse impostata una password “master” si dovrà digitarla manualmente nella finestra accessibile cliccando su Options, Advanced options:
Per esportare tutti i dati, basterà selezionarli (menù Edit, Select all) quindi fare clic su File, Save selected items.
Dal menù a tendina Salva come, si dovrà selezionare Comma Delimited Text file anziché Text file:
Per importare tutte le credenziali in KeePass, basterà fare clic sul menù File, Importa del programma e scegliere Importatore generico di CSV:
Per iniziare l’operazione di importazione dei dati, sarà quindi sufficiente selezionare il file CSV precedentemente generato con WebBrowserPassView.
A questo punto, si dovrà riordinare i nomi delle colonne riportate in corrispondenza della voce Definisci ordine campi: mantenendo premuto il tasto sinistro del mouse, si dovrà posizionare “URL” come prima voce, portare in seconda posizione una colonna “Ignora“, in terza “Nome utente” quindi “Password“:
Dopo aver cliccato sul pulsante Importa tutte le credenziali verranno inserito nel ramo principale del database di KeePass.
A questo punto è estremamente importante eliminare definitivamente il file CSV precedentemente generato magari sfruttando un programma che effettui il “wiping” dei dati. Così facendo, il file CSV non potrà essere recuperato da parte di un eventuale malintenzionato.
Se lo si ritenesse opportuno si potrà poi eliminare le password dagli archivi dei vari browser web installati sul sistema demandando la loro conservazione e gestione sicura proprio a KeePass.
Suggeriamo, infine, di creare sempre una copia di backup del database di KeePass: nel caso in cui si dovesse presentare un problema sul disco fisso o sull’unità rimovibile ove il file è memorizzato, si potrebbe non riuscire più ad accedere ai propri dati.