La gestione delle password e la loro memorizzazione su un supporto sicuro sono essenziali per evitare che utenti non autorizzati o criminali informatici possano servirsene per sottrarre l’identità altrui, rubare dati riservati e causare danni di vario genere.
Abbiamo visto come nasce un attacco informatico e quanto la corretta conservazione di username e password sia fondamentale per scongiurare qualunque tipo di aggressione sia in ambito professionale che privato.
Abbiamo già visto quanto sia semplice trovare le password salvate in un PC Windows e quanto i browser Web non siano strumenti sicuri per memorizzare le proprie credenziali di accesso.
Chi fosse “allergico” ai servizi per la gestione delle password sul cloud può optare per soluzioni professionali come Psono che consentono di salvare in sicurezza username e password con la possibilità di condividere queste informazioni con i collaboratori di un’azienda.
Ancora più famoso è tuttavia KeePass, un software libero e open source che si propone come un password manager sicuro e “a prova di aggressione”. Non si basa soltanto sulle misure di sicurezza del sistema operativo ma implementa algoritmi crittografici sicuri che non permettono di risalire al contenuto degli archivi di username e password protetti senza disporre della “parola chiave” master corretta.
Da KeePass hanno avuto origine un numero quasi incalcolabile di fork ovvero di progetti derivati che hanno semplificato la memorizzazione di username e password su Windows, Linux, macOS ma anche sui dispositivi mobili Android e iOS.
Realizzare un archivio di username e password condiviso e sincronizzato
Ci sono tanti modi per accedere a un archivio di username e password.
Una buona soluzione può essere quella di usare un servizio di storage cloud come Google Drive, OneDrive, Dropbox, pCloud ma anche piattaforme per il private cloud come Nextcloud, ownCloud e così via. Tutti i dispositivi dell’utente possono accedere agli username e password memorizzati da un client compatibile KeePass.
I dati vengono salvati sul cloud in forma già crittografata usando chiavi generate in locale sui singoli dispositivi.
In questo nostro articolo supponiamo di utilizzare KeePassXC sulle macchine Windows, Linux, macOS e KeePassDX per Android.
Entrambi prodotti open source, permettono la gestione di lunghi elenchi di username e password.
Per iniziare a usare il primo software è possibile consultare la guida su KeePassXC che si è recentemente arricchito di nuove funzioni di protezione come il supporto per Windows Hello, Touch ID ed Apple Watch.
Per tenere le cose semplici sia KeePassXC e KeePassDX non gestiscono in proprio l’autenticazione con le piattaforme di storage cloud: si tratta di una scelta oculata da parte degli sviluppatori.
In Windows o in macOS basta scaricare Google Drive e installare il client: esso provvederà a creare una lettera identificativa virtuale attraverso la quale è possibile accedere al contenuto dello storage su Drive.
Come si vede nell’esempio in figura, accedendo alle preferenze del client di Google Drive quindi cliccando sull’icona raffigurante un ingranaggio, in questo caso viene utilizzata l’unità G:.
Nel nostro caso abbiamo scaricato KeePassXC portable estranendone il contenuto nella cartella C:\KeePassXC
.
Cliccando due volte sull’eseguibile KeePassXC.exe
, è possibile cliccare su Crea un nuovo database quindi specificarne le preferenze.
Si può ad esempio indicare l’algoritmo crittografico preferito (suggeriamo di lasciare invariate le impostazioni predefinite) e, semmai, aumentare un po’ il “tempo di de-crittografia”.
L’ultimo passaggio consiste nel definire una password “forte”, sufficientemente lunga e complessa, quindi aggiungere una protezione in più come può essere un file chiave o una chiavetta FIDO2 YubiKey od OnlyKey.
Cliccando ad esempio su Aggiungi file chiave si può generare un file di sblocco dell’archivio protetto che dovrà essere conservato gelosamente e in più copie lontano da Google Drive o dal servizio di storage utilizzato per conservare username e password.
Con un clic su Database, Salva database con nome si può salvare il file delle password, ad esempio, su Google Drive. Nel nostro caso, all’interno della finestra Salva database come di KeePassXC, si può selezionare l’unità virtuale G: in modo da salvare l’archivio con nomi utente e password sul cloud di Google.
Per impostazione predefinita, il file chiave viene memorizzato con estensione .keyx
mentre il database vero e proprio contenente username e password come file .kbdx
.
I più “paranoici” possono scrivere "nomearchivio.myext"
(comprese le doppie virgolette) nella finestra Salva database come in modo da non far capire a una prima occhiata che il database salvato su Google Drive o su qualunque altro servizio di storage cloud è un database KeePass contenente dati sensibili crittografati.
I database degli username e password di KeePass supportano la sincronizzazione nativa delle informazioni: così è possibile accedere contemporaneamente allo stesso database da più dispositivi.
Installando allora KeePassDX sullo smartphone o sul tablet Android è possibile accedere al database delle credenziali memorizzato su Google Drive o salvato su altri servizi di storage.
Basta copiare nello smartphone il file chiave .keyx
generato in precedenza su desktop quindi toccare Apri un database esistente in basso nella schermata principale dell’applicazione.
Da qui è sufficiente selezionare ad esempio Drive, toccare Il mio drive e infine selezionare il file nomearchivio.myext
caricato in precedenza sullo storage cloud di Google.
Digitando la password master impostata in precedenza sull’archivio quindi specificando la posizione del file chiave (.keyx
), si potrà interagire con il database delle credenziali anche da dispositivo mobile: le modifiche saranno aggiornate e sincronizzate.
L’alternativa all’utilizzo del cloud per lo storage del database delle password consiste nel salvare quest’ultimo, ad esempio, su un NAS locale quindi accedervi da remoto utilizzando un server VPN L2TP IPSec, OpenVPN o WireGuard: ne abbiamo parlato in tanti nostri articoli.