PASSWORD STORAGE

Oggigiorno abbiamo a che fare con decine e decine di password diverse, per i numerosi servizi di mail, di home banking,

 di pagine personali, aste on line, blog e messaggerie varie.

 

Gestire una quantitá del genere di password, che sono informazioni riservate da tenere segrete non é facile, ed é un problema primario nella gestione della sicurezza informatica.  Molti risolvono il problema con soluzioni fai-da-te, cioé

foglietti volanti, post-it appiccicati al monitor o, coraggiosamente tengono tutto a memoria, creando situazioni 

tragicomiche quando si tratta di ricordarsela

 

tante volte nel corso di normali interventi su computer durante i quali devo reinstallare windows chiedo la password di mail per reinstallare outlook express, il client mail deprecabilmente piú utilizzato e, puntualmente il cliente non se la ricorda: "l'ho installato due anni fa e non mi ricordo piú niente", ma outlook express tiene tutto, password ed account nel registro, (quindi é impossibile proteggerli in qualsiasi modo) e recuperare tutto é uno scherzo.(ci sono innumerevoli programmi che possono recuperare i dati di login in pochi secondi).  Quindi la sicurezza di outlook express fa schifo ma questo diventa un vantaggio se ci si dimentica la password ! Naturalmente per considerare un vantaggio una caratteristica del genere dobbiamo aver dimenticato o scritto chissá dove la password e fregarcene se qualcuno ce la frega.É il tipo di persona cui consiglio di usare outlook express.

 

Ci sono anche persone che utilizzano, astutamente login e password uguali: se il login é "mrossi" a chi vuoi che 

venga in mente di provare "mrossi" come password ? chiaramente una sicurezza a prova di bomba ! 

Nel sito di Dynamick cé un testo con le password piú comuni.

A questi volponi propongo di usare una password alternativa come questa:  

 

sono.1Pollo 

 

é una password valida (viene accettata anche da Windows server 2003 o windows xp con policy di password sicura ) e sicuramente non se la dimenticheranno !

 

A parte gli scherzi per generare password sicure é sufficiente utilizzare una frase semplice e facile da ricordare come quella vista sopra e frammezzarla di punti, numeri, maiuscole e segni di interpunzione.

Diverse guide (in inglese) sulla generazione di password sicure si possono trovare in questi siti: totse, pctools,

Mysoftware, Multicians.

Nettools Ha un generatore password supersicure, il problema é ricordarsele !

 

Anche l'abitudine delle abbreviazioni e del mix maiuscole/minuscole/numeri quando si inviano messaggini SMS possono essere molto utili se vogliamo generare una password sicura

 

Per gestire le password in modo sicuro si potrebbe usare un programma che le memorizzasse in forma criptata per poi, grazie ad un' unica password da memorizzare le richiamasse tutte. Basterebbe poi memorizzarlo in una chiavetta USB o salvarlo nel nostro disco fisso, anche al lavoro o a scuola, (tanto se non si conosce la password non vi si puó accedere). Programmi di questo tipo esistono in numerose varianti, illustrate qui sotto.

 

 

Che sicurezza possono offrirci questi programmi ? 

 

Sicuramente un margine di sicurezza enormemente maggiore di quello di utilizzare foglietti volanti, di riutilizzare la stessa password per diversi servizi o addirittura di usare password e login uguali ! La password di accesso é unica ed é piú semplice memorizzarla, ed é sempre possibile asportare programma e database delle password, per esempio su chiavetta USB, in modo da non lasciare nulla a disposizione di un' eventuale intrusione sul computer utilizzato.

 

KEYLOGGER

Sono la minaccia principale se utilizziamo le nostre password su un computer di cui non possiamo controllare gli accessi, ( sono anche la minaccia principale alla difesa crittografica delle nostre informazioni) cioé computer cui possono accedere estranei (spesso anche il nostro computer di casa rientra nella categoria: quanto é sicura la serratura della vostra porta ? chi potrebbe essere intressato a conoscere i vostri dati ?) e soprattuto a computer frequentati da molti estranei (net café, scuole o universitá).  

 

Purtroppo i keylogger memorizzano anche la clipboard, quindi nel momento in cui la password viene copiata dal programma di storage per essere incollata dove desideriamo avere accesso (per esempio il nostro sito di posta) questa viene catturata.  Come ho specificato nel capitolo protezione dai keylogger, una soluzione potrebbe essere quella di 

utilizzare la tastiera su schermo di windows XP:  basta memorizzare, assieme al programma di gestione password

anche un link alla on screen keyboard (OSK) in modo da poterla richiamare rapidamente, per poter inserire le password 

non digitandole sulla tastiera, ma cliccando i tasti sullo schermo, in modo da non permettere ai programmi spia di intercettare le nostre password. Per mettere in pratica questo tipo di tecnica possiamo quindi utilizzare il programma di gestione password per VISUALIZZARE la nostra password (unicamente come aiuto mnemonico) per poi inserirla con la tastiera su schermo.  Chiaramente é una soluzione piú scomoda, ma certamente molto piú sicura !  Se dovete inserire le vostre password in ambienti fortemente insicuri, come universitá frequentate da balordi o net café gestiti e frequentati da cinesi o arabi sicuramente questo sistema vi permetterá di dormire sonni piú tranquilli !

 

 

 

Password Safe

 

Questo é un programma alquanto blasonato, in quanto creato da Bruce Schneier in persona, per chi non lo conoscesse

una specie di Obi Wan Kenobi della crittografia, uno dei massimi esperti al mondo ed il creatore dell' algoritmo blowfish, 

quello utilizzato da questo programma.  Schneier, comunque ha cessato lo sviluppo del programma dalla versione 1.7.1, cedendo poi il progetto al mondo open source, quindi a molti programmatori indipendenti piú o meno sconosciuti. 

Qualcuno peró potrebbe chiedersi se il passare un progetto nato cosí bene ad un branco di dilettanti sia stato un bene e

se la qualitá del prodotto ne abbia risentito. Un dubbio pienamente legittimo, difatti l'ultima versione di password safe, la 3.0.6 fa veramente schifo e non ci memorizzerei la combinazione della mia valigia (che, comunque é 1-2-3-4-5).

Consiglio a tutti di utilizzare solo la 1.7.1.

 

 

 

 

 

Utilissima la possibilitá di creare casualmente una password sicura e complessa, tanto rimane memorizzata e puó essere richiamata a piacere.L'algoritmo crittografico é il blowfish, ideato dallo stesso Schneier !

 

 
Download
Password safe 1.7.1   350k (consigliato) Counterpane sist.
Password safe 3.0.6   3 Mb (sconsigliato) Sourceforge

 

 

 

 

PASSPACK

 

Questo programma non ha natali nobili come password safe ma lo giudico altrettanto valido.

É ancora piú piccolo e semplice del pass safe (solo 15 kb !) ed é a testo libero (ci posso memorizzare quello che voglio,

non solo password) e bisogna usare qualche precauzione contro gli sbircioni perché la password viene visualizzata, ma utilizzarlo é semplice e quasi divertente. L'algoritmo utilizzato é RC4 (valido, anche se non il piú adatto a questo tipo di applicazione).

 

 

 

I dati si introducono a testo libero. Consiglio di dividere le informazioni per riga, introducendo anche una lunga fila di caratteri di separazione.

Anche qui si possono generare password random come questa non sarebbe molto semplice da memorizzare !

 

(Le mie password, comunque sono TUTTE cosí)

 
Questi sono i dati della schermata sopra, allineati.  Premendo F1 si copia la prima riga, F2 la seconda (che qui é solo una riga di caratteri), F3 il login,F4 la password. 

Inserire la fila di caratteri come seconda riga é un espediente  che uso per impedire che la password appaia nella schermata principale.

 

 

 

 

premendo F4 viene memorizzata la quarta riga (qui é la password)

 

 

 

 

 

 
Download  
Passpack 1.01 Dalla home page di Dariusz Stanislawek