L’utilizzo dei password manager online ha destato qualche preoccupazione: alcuni ricercatori si sono concentrati soprattutto sulla procedura di generazione delle chiavi usata da LastPass e Bitwarden mentre abbiamo visto che i password manager dei browser non sono sicuri.
Trovare le password salvate in Windows è davvero molto semplice quando non fossero abilitate soluzioni per la cifratura dei dati come BitLocker o VeraCrypt.
Passbolt è un software open source per la gestione delle password progettato per le imprese e i professionisti che desiderano migliorare la sicurezza delle credenziali. L’applicazione funziona come un password manager centralizzato che consente agli utenti di creare, gestire e condividere le proprie password in modo sicuro. Il software utilizza la crittografia end-to-end per garantire la massima sicurezza delle password.
Gli utenti di Passbolt possono creare account personali protetti da una master password che permette di accedere alle credenziali da qualsiasi dispositivo.
Con Passbolt è inoltre possibile creare gruppi di lavoro per condividere le password con altri membri del team senza correre il rischio che le credenziali possano essere intercettate e sottratte da soggetti non autorizzati.
Passbolt utilizza il protocollo OpenPGP per crittografare le password rendendole irrecuperabili in chiaro dagli utenti non in possesso delle credenziali corrette; inoltre, il software tiene traccia degli accessi all’archivio delle password e delle modifiche via via apportate.
Come funziona Passbolt e come installare il software
Passbolt è una soluzione di gestione delle password sicura e flessibile: in primis perché professionisti e aziende possono tenere gli archivi delle credenziali in locale, senza portare nulla sul cloud né tanto meno coinvolgere gestori esterni, magari con server situati fuori dai confini dell’Unione Europea.
La pagina di installazione di Passbolt Community Edition contiene le istruzioni dettagliate per caricare il software su un proprio server.
È possibile usare un container Docker oppure installare Passbolt con un approccio più tradizionale, nelle più famose distribuzioni Linux.
I passaggi per l’installazione di Passbolt sono molto semplici e per larga parte del tutto automatizzati. Passbolt, ad esempio, richiede di specificare un account locale dotato dei privilegi per creare e gestire database MySQL, di inserire una password per l’account MySQL usato da Passbolt, il nome dell’account MySQL che conterrà le password e infine l’autorizzazione per configurare il web servre Nginx o Apache.
Infine, viene suggerito di richiedere un certificato digitale Let’s Encrypt gratuito per proteggere i trasferimenti di dati via HTTPS con il server di Passbolt.
Selezionando la voce Auto, la routine d’installazione di Passbolt chiede di specificare un nome a dominio associato a livello di record DNS al server. In questo modo viene chiesta a Let’s Encrypt la generazione di un certificato digitale gratuito. In alternativa si può specificare semplicemente l’indirizzo IP della macchina.
Una volta stabilita la connessione con l’URL sul quale risponde Passbolt, è necessario confermare le credenziali inserite in precedenza in fase d’installazione. Su una macchina Ubuntu appena configurata, potrebbe essere necessario aprire le porte in ingresso lato firewall usando ad esempio ufw.
I passaggi successivi consistono nella generazione di una chiave OpenPGP per il server, nell’impostazione del server SMTP da usare per l’invio delle email all’atto della creazione di nuovi account e per la spedizione delle notifiche, la creazione del primo utente di Passbolt.
Dopo aver installato l’estensione del browser Passbolt, viene presentata la dashboard del password manager.
Da qui è possibile iniziare ad aggiungere credenziali di accesso raggruppandole in modo da poterle trovare facilmente. Per rafforzare la protezione andando oltre il semplice accesso mediante nome utente e password, Passbolt permette di abilitare l’autenticazione a due fattori: l’applicazione supporta codici OTP (quindi le classiche app Authenticator installabili sullo smartphone), le chiavette FIDO2 YubiKey e Duo.