La notizia diffusa dall’Ufficio federale per la sicurezza informatica (BSI) il 21 gennaio 2014 ha spaventato non pochi utenti di Internet: analizzando le botnet, i ricercatori e le autorità si sono imbattuti in circa 16 milioni di account utente compromessi. Il furto di identità è tanto più minaccioso in quanto molti utenti utilizzano gli stessi dati – in questo caso il nome utente sotto forma di indirizzo e-mail e password – per diversi servizi contemporaneamente. Almeno questa può essere facilmente modificata, ad esempio con l’aiuto di KeePass. Vi mostriamo come fare.
Che si tratti di account di posta e web, di forum e siti di shopping o di programmi stessi: Tutti richiedono password che non riusciamo a ricordare quanto più sono numerose. Avete anche voi un pezzo di carta ingiallito sotto il vostro portatile su cui sono scritte le password? Avete le password salvate dal browser? Nessuna delle due cose è sicura, inoltre il browser non può memorizzare tutte le password. Abbiamo dato un’occhiata allo strumento open-source KeePass, che memorizza tutte le password e i dati di accesso in forma criptata e offre un generatore di password e un database.
Indice dei contenuti
Le differenze
KeePass è disponibile in due edizioni: “Classic Edition Version 1.x” e “Professional Edition Version 2.x”.
Laversione 1.x funziona su sistemi Windows con GDI+ (già incluso da XP) e contiene meno funzioni rispetto alla versione 2.x: non supporta Unicode, non è possibile aprire un database tramite URL, né la sincronizzazione. Non è disponibile un cestino, manca anche il sistema di trigger e la versione stampa solo in forma tabellare. Tuttavia, è ancora in fase di sviluppo.
Laversione 2.x funziona su sistemi Windows con NET Framework 2.0 o superiore (già incluso da Vista in poi) e anche su altri sistemi operativi come Linux, Mac OS X, BSD, ecc. Sono possibili l’apertura di database tramite URL e la sincronizzazione, la versione stampa in modo tabellare e dettagliato, inoltre è disponibile un sistema di trigger per automatizzare i flussi di lavoro.
In quanto applicazioni portatili, entrambe le versioni non necessitano di installazione, sono programmi open source, sono compatibili con i plug-in e possono essere adattate tramite file di lingua. Come algoritmo di crittografia del database viene utilizzato Rijndael (chiamato anche AES) a 256 bit, mentre le password vengono memorizzate con SHA-256.
Nota: la versione con installatore richiede i diritti di installazione locale, che la versione portatile non richiede.
È possibile vedere un elenco dettagliato delle due versioni nel confronto delle edizioni.
Siamo particolarmente interessati alla versione 2, poiché contiene anche diverse funzioni interessanti.
L’installazione
Dopo aver scaricato e scompattato la versione portatile e il file in lingua tedesca in una cartella appositamente creata sulla chiavetta USB o sul disco rigido, includere il file in lingua tedesca. Se avete scelto la versione installer, scompattate il file della lingua nella directory del programma KeePass.
Nel menu “Visualizza” alla voce “Cambia lingua…” troverete il file in lingua tedesca, che dovrete selezionare. Riavviare quindi KeePass per applicare le modifiche.
KeePass ha un’interfaccia utente semplice e senza fronzoli. Tutto sembra ancora piuttosto vuoto, ma la situazione è destinata a cambiare.
Creare il database
Per lavorare con KeePass, è necessario creare un database. Utilizzate “File” – “Nuovo…” per creare un file di database (*.kdbx), a cui darete un nome, nella cartella della chiavetta USB o del disco rigido. Nel nostro esempio, questo è “NewDatabase.kdbx” nella sottocartella “KeePass Password Safe 2.24”.
Dopo “Salva” appare una nuova finestra“Crea chiave master composita“.
Nel campo accanto a“Master Password” inserire una password per il nuovo database. Questa è l’unica password che dovrete ricordare.
Facendo clic sul pulsante con i tre punti, la password viene visualizzata nuovamente in testo normale. La qualità della password si può vedere dalle barre colorate sotto di essa: rossa è insufficiente, verde è buona.
Il file chiave/provider è responsabile della protezione aggiuntiva: qui è possibile creare un file chiave (*.key). Questo file viene generato automaticamente e salvato in una posizione a scelta. Se viene salvato su una chiavetta USB, ad esempio, i dati sono accessibili solo se la chiavetta USB è collegata al computer. La chiave deve essere aperta con la password principale.
L’account utente di Windows funziona solo con l’accesso utente di Windows e la password principale. Questa opzione è vincolata a un PC.
A voi la scelta di quale delle tre opzioni utilizzare singolarmente o in combinazione. È anche una questione di sicurezza.
Noi optiamo solo per la “password principale”.
Dopo aver dato l'”OK” si apriranno le impostazioni del database, a cui dovreste dare un’occhiata – ma non è necessario modificarle, perché sono ottimali.
Il nuovo database è stato creato. Riceverete due voci di esempio che potrete eliminare senza problemi.
In “File” – “Esci” vi verrà chiesto se le modifiche devono essere salvate. Dopo aver selezionato “Salva”, KeePass si chiude con le nuove impostazioni. Ora KeePass può essere aperto solo con la password principale. È possibile creare altri database, ma in questo caso è necessario scegliere un nome significativo e non “NewDatabase”.kdbx come abbiamo fatto noi.
Le opzioni di KeePass
Sotto “Extra – Opzioni” ci sono 5 schede.
La scheda“Sicurezza” serve soprattutto quando non si lavora da soli sul PC. Ad esempio, se si è distratti, KeePass blocca il desktop dopo xx secondi.
Nella scheda Criteri è possibile bloccare o consentire le funzioni. Se si lavora solo con il database, consentire (quasi) tutte le opzioni. Per quanto riguarda la stampa
La schedadell’interfaccia ha 4 titoli: [Finestra principale] – [Elenco voci] – [Ricerca rapida (barra degli strumenti)] – [Avanzate].
Le voci sono autoesplicative. Ad esempio, abbiamo deciso di attivare la prima opzione sotto “Finestra principale”. La finestra si chiude rapidamente con il pulsante di chiusura (Riduci a icona, Massimizza, Chiudi) e si deve accedere nuovamente con la password principale. Se l’opzione“Il pulsante di chiusura [X] riduce a icona la finestra principale invece di chiudere l’applicazione” è attivata, questo non può accadere. È possibile chiudere l’applicazione solo tramite “File – Esci”.
Nella schedaIntegrazione, è possibile impostare le scorciatoie da tastiera per la digitazione automatica o fare in modo che KeePass si avvii con Windows. È possibile associare i file KDBX a KeePass utilizzando il pulsante “Crea associazione” (se si dispone di più file KDBX). È quindi possibile aprire i file *.kdbx con KeePass facendo doppio clic.
Il pulsante URL Schema Overrides
Il pulsanteSovrascrivi schema URL visualizza i comandi della riga di comando. Se, ad esempio, si desidera aprire i collegamenti web di KeePass con Firefox anziché con Internet Explorer come impostazione predefinita, è possibile impostare le spunte corrispondenti sotto “http” e “https”. È anche possibile modificarle in seguito per ogni singola voce.
L’opzione predefinita è“ssh” – cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}. Si tratta della creazione automatica di una connessione SSH (Secure Shell) con Putty (client Telnet/SSH). In questo elenco, gli standard non possono essere modificati con “Modifica”. È possibile definire solo i propri comandi, definiti dall’utente, facendo clic sul pulsante “Aggiungi”.
La connessione standard SSH è strutturata come segue:
[CMD_command][percorso file][tipo di connessione][nome utente]@[protocollo o URL][password].
Il comando si presenta quindi come segue:
cmd://”{APPDIR}putty.exe” -ssh {USERNAME}@{URL:RMVSCM} -pw {PASSWORD}
Spiegazione:
- ssh – prefisso che si trova sotto schema nella finestra principale di KeePass (connessione SSH).
- cmd:// – Il comando viene eseguito nella riga di comando di Windows in background.
- “{APPDIR}putty.exe” – Percorso completo del file putty.exe da eseguire (sempre tra virgolette, poiché il percorso può contenere spazi). La variabile {APPDIR} sostituisce il percorso qui.
- -ssh {USERNAME}@{URL:RMVSCM} – Stringa per stabilire una connessione SSH con trasferimento del nome utente @ percorso SSH completo : voce non visibile nello schema – {URL:SCM} = voce visibile nello schema
- -pw {PASSWORD} – trasferimento della password in forma criptata
È inoltre possibile utilizzarlo per eseguire i propri programmi definiti dall’utente, a condizione che questi programmi accettino anche gli argomenti della riga di comando. In seguito è possibile eseguire altri comandi con le voci tramite Auto-Type. Ulteriori informazioni su AutoUrls.
La scheda “Avanzate
La scheda ha 5 voci, ma sono anche autoesplicative. Abbiamo attivato la voce “Salva automaticamente quando il database è chiuso/bloccato”. In questo modo, dopo il comando “File – Esci”, tutte le modifiche vengono salvate automaticamente senza doverle richiedere nuovamente.
Crea voci di accesso
Nella finestra principale di KeePass, nel menu “Modifica”, selezionare “Aggiungi voce” e passare alla scheda “Voce”.
Alla voce“Titolo” inserire il nome, ad esempio, di un sito web, alla voce“Nomeutente” inserire il nome di login del sito. Cancellare le password predefinite e inserire la propria password di accesso al sito web. È possibile ignorare la qualità della password. Per far sì che KeePass vada direttamente alla pagina di login del provider, richiamare il sito di login nel browser e copiare l’indirizzo in KeePass alla voce“URL“. Alla voce“Commenti” è possibile lasciare una nota o creare una data di scadenza (“Valido fino a”), mentre alla scheda “Avanzate” è possibile aggiungere allegati (ad es. e-mail, GTC, PDF, ecc.). Quindi fare clic su “OK”. Ripetere la procedura con tutti i dati Internet.
Disporre le rubriche
Dopo aver dato l'”OK”, le nuove voci sono visibili nella finestra principale di KeePass sotto “NewDatabase”. Per salvare le modifiche al database, fare clic su “File – Esci”. Verrà quindi chiesto se si desidera salvare le modifiche. Solo dopo la conferma le nuove voci vengono salvate nel database. Nota: se nelle opzioni “Avanzate” è stata attivata la voce“Salva automaticamente quando il database è chiuso/bloccato“, come abbiamo fatto noi, le modifiche vengono salvate automaticamente dopo “File – Esci”.
Ora sono disponibili diversi gruppi in KeePass – Internet, eMail, Homebanking ecc. – e si può spostare la nuova voce dalla sezione “NewDatabase” a un’altra sezione utilizzando il drag & drop.
È possibile aggiungere gruppi, eliminare gruppi o modificare gruppi facendo clic sul gruppo a destra.
Se si crea un nuovo gruppo, questo gruppo sarà subordinato. È sufficiente trascinare il gruppo appena creato con il mouse e spostarlo nella sezione “NewDatabase” in modo che il nuovo gruppo non si trovi più nella sottocartella. A questo punto è possibile fare clic sul nuovo gruppo a destra e cliccare su “Riordina”. Si può scegliere tra “Raggruppa all’inizio”, “Raggruppa una riga in alto”, “Raggruppa una riga in basso” ecc.
Come funziona la digitazione automatica
Un rapido test: chiudere tutte le applicazioni tranne KeePass. Aprite un editor di testo (Notepad, Wordpad), fate clic su una voce della finestra principale di KeePass sulla destra e selezionate“Esegui Auto-Type” dal menu contestuale. Avete prestato attenzione?
KeePass ha scritto il nome utente {USERNAME} e la password {PASSWORD} nel file di testo. KeePass ha separato i dati con un tabulatore {TAB} e ha completato il trasferimento con il tasto [Invio] {ENTER}. La digitazione automatica funziona allo stesso modo per i campi di login nel browser: {USERNAME}{TAB}{PASSWORD}{ENTER}
Accedere correttamente con Auto-Type
Lo strumento può richiamare la pagina di login di un servizio web direttamente dalla voce del database. La funzione Auto-Type può inserire automaticamente il nome utente e la password in una finestra di login e riconosce dalla finestra di login aperta quali dati di accesso devono essere prelevati dal database. Auto-Type riconosce anche il pulsante di login o di accesso.
Per una migliore visualizzazione, fare clic sulla voce “Mostra visualizzazione voci” nel menu “Visualizza” in modo che appaia un segno di spunta, e di nuovo sulla voce “Disposizione finestre” nel menu “Visualizza”. Selezionare “Uno sopra l’altro” o “Uno accanto all’altro”, come si preferisce.
Se si è selezionato “Uno sopra l’altro”, nell’area inferiore della finestra di KeePass verranno visualizzate le informazioni relative al gruppo, al titolo, al nome utente, alla password, all’URL, alla data di creazione e alla data di modifica. Nella finestra principale di KeePass, selezionare la voce con cui si desidera accedere. Fare clic su questa voce a destra e sotto “URL” fare clic su “Apri” o “Apri con” il browser; si apre la pagina di accesso. Se si è impostata la visualizzazione delle voci su “una sopra l’altra” o “una accanto all’altra” per una visione migliore, è possibile aprire la pagina di accesso anche da lì. Se si fa di nuovo clic con il tasto destro del mouse sulla voce e questa volta si sceglie“Esegui digitazione automatica“, si può vedere KeePass inserire il nome utente e la password nei campi di immissione ed effettuare il login.
Ma se la finestra di login sul sito web presenta alcune caselle di spunta o campi simili che bisogna “saltare” per arrivare al pulsante di login, è possibile scegliere una sequenza diversa per l’inserimento della password. Come già sappiamo, l’impostazione predefinita è {USERNAME}{TAB}{PASSWORD}{INVIO}, che non deve essere modificata perché l’inserimento influisce su tutte le altre voci.
Nella scheda Tipo automatico della voce della password problematica, fare clic su “Aggiungi” e selezionare“Usa sequenza di tasti personalizzata“. Aggiungete le TAB.
Esempi: {USERNAME}{TAB}{PASSWORD}{TAB}{INVIO} o
{USERNAME}{TAB}{PASSWORD}{TAB}{ENTER}
È sufficiente fare clic nel campo dopo {PASSWORD} e scrivere {TAB} senza una riga vuota o una barra spaziatrice, quindi fare clic sul pulsante “OK”.
Ogni {TAB} corrisponde a un campo di immissione nella pagina Web che deve essere saltato. Questo può essere anche dopo {USERNAME}.
Offuscamento del tipo automatico a due canali
Sotto la scheda Tipo automatico, c’è un’altra opzione interessante:“Offuscamento del tipo automatico a due canali” per una protezione ancora maggiore.
Lo scopo di questa opzione è quello di confondere i keylogger eventualmente installati. KeePass non copia la password in chiaro nella cache per poi incollarla nel campo della password, ma simula la pressione di un tasto [Ctrl]+[c] per poi inviare un [Ctrl]+[v] nel campo della password. Inoltre, salva vari passaggi avanti e indietro tramite i tasti freccia per creare ulteriore confusione. L’eventuale keylogger può registrare solo questi comandi [Ctrl] e quindi non vedere la password in chiaro. È necessario attivare questa opzione per ogni singola immissione di password. Il messaggio di avviso che appare ogni volta che si fa clic sull’opzione può essere tranquillamente confermato. L’opzione funziona solo con campi di accesso semplici, come quelli utilizzati nei browser.
Comandi di auto-tipizzazione
Nella scheda Tipo automatico della voce password, pulsante “Aggiungi”, è possibile visualizzare e modificare la sequenza esatta della tastiera. Ci sono campi standard come {Titolo}, {Nome utente}, {Password}, {URL} e {Note}.
Facendo clic su {Titolo}, viene visualizzato prima il “Titolo” anziché l’URL e si controlla, ad esempio, se il titolo del browser web corrisponde al {Titolo} inserito, ad esempio {google}. Questa funzione è utile se si hanno due indirizzi e-mail nello stesso portale di posta elettronica. Se KeePass è in esecuzione in background, se si dispone di più di un account Google, nella pagina di accesso viene visualizzata una finestra di selezione quando si esegue [Ctrl]+[Alt]+[a]. La combinazione di tasti è memorizzata nelle opzioni del database, scheda “Integrazione”. Naturalmente, entrambi gli account Google devono essere creati in KeePass.
Inoltre, esistono tasti speciali come {TAB} e {ENTER} o segnaposto come {GROUP}, {URL:SCM} o {DELAY 1000} (aspettate un attimo), alcuni dei quali sembrano familiari. Anche il pulsante “Sovrascrittura dello schema URL” contiene questi parametri.
Avvio di programmi con richiesta di password
Esiste anche la possibilità di avviare un programma invece di un URL, se si mettono insieme i parametri giusti. Come già detto, il comando:
cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}
È anche possibile stabilire una connessione desktop remota:
cmd://mstsc.exe /v:192.168.1.211 /w:1280 /h:1024
Auto-Tipo di finestra: 192.168.1.211 – Desktop remoto*
La funzione Auto-Type può essere utilizzata anche per automatizzare l’accesso a un’unità crittografata.
Selezionare l’unità che richiede una password. Andare su KeePass e creare una voce, aprire la scheda Tipo automatico e fare clic su “Aggiungi”.
Nella “Finestra di destinazione”, selezionate l’unità e spuntate“Seleziona sequenza di chiavi personalizzata“. Rimuovere {USERNAME} e {TAB} se viene richiesta solo la password. Se viene richiesto il nome utente E la password per l’unità crittografata, rimuovere SOLO {TAB}.
La funzione Auto-Type è molto completa, così come il pulsante URL Schema Overrides. Per ulteriori informazioni, vedere la funzione Auto-Type (finestra Auto-Type).
Generatore di password
Nella finestra principale di KeePass, nel menu Strumenti, si trova il Generatore di password (Genera password, Genera elenco password) che aiuta a creare una nuova password.
In “Impostazioni” è possibile scegliere, alla voce Profilo, che le password appena generate debbano essere applicate ai nuovi inserimenti. Qui è possibile impostare la lunghezza e la complessità della nuova password oppure lasciarla così com’è. Una password forte dovrebbe essere il più lunga possibile (almeno 20 caratteri) e composta da un insieme di caratteri (lettere maiuscole e minuscole, numeri). È possibile aumentare la casualità della stringa di password generando ulteriori dati casuali. A tal fine, attivare l’opzione “Raccogli entropia aggiuntiva”.
Dopo aver dato “OK”, la password è già presente nella finestra principale di KeePass per il prossimo nuovo accesso.
Questo è pratico se ci si deve registrare su una nuova piattaforma. In questo caso è necessario solo un nome utente: la password è già disponibile.
È possibile generare anche singole voci di password, ad esempio se la password è scaduta.
Il sistema di attivazione
Il sistema facilita i flussi di lavoro, ad esempio può sempre avviare la sincronizzazione o l’esportazione quando si salva il database.
Esempio: Ogni volta che KeePass esce e il database viene salvato, deve essere creato un file di esportazione aggiornato del database.
Il sistema di trigger si trova nella finestra principale di KeePass, nel menu Strumenti. Il segno di spunta “Sistema di attivazione attivato” deve essere impostato. Cliccando su “Aggiungi”, appare la prima scheda “Proprietà” di quattro. Alla voce “Nome”, inserire l’evento; le due opzioni “Attivato” e “Inizialmente acceso” dovrebbero già includere i segni di spunta.
Passare alla scheda “Eventi” e fare clic su “Aggiungi”. Alla voce “Evento” selezionare“File di database salvato“.
Campo File/URL – Confronto = È uguale (impostato)
Campo File/URL – Filtro = lasciare vuoto
[OK]
È possibile saltare la scheda “Condizioni” e passare alla scheda “Azioni”.
Fare clic su “Aggiungi” e selezionare sotto “Azione” –“Esporta database attivo“.
Nel campo File/URL si deve inserire il percorso in cui deve essere memorizzato il file di esportazione. Creare prima una cartella, ad esempio Esporta sotto C: – copiare il file “NeueDatenbank.kdbx” in questa cartella.
Nel campo Formato file, digitare KeePass KDBX (2.x).
[OK] – [Fine] – [OK]
Il significato dei singoli eventi è riportato nella sezione “Trigger”.
Recupero del database KeePass via Internet
Sebbene l’archivio delle password venga definito un “database”, ciò non è vero. I database hanno un server con accesso in scrittura, permessi e diritti di lettura/modifica dei record. Oggi non è più così stretto il concetto di database.
Se si dispone di una propria homepage o di un proprio server, è possibile caricare il database kdbx e accedervi da lì. Quindi aprire KeePass, selezionare File – Apri – “Apri URL”. Nel primo campo “URL”, inserire l’indirizzo completo della propria homepage o del server FTP, compreso il percorso della directory e il nome del file KDBX.
Inserite l’utente e la password e confermate con “OK”. Infine, inserire la password principale nella finestra “Inserisci chiave principale”. Si apre il database di accesso a KeePass.
Alternativa
Ulteriori sincronizzazioni sono possibili con plugin come KeeCloud o KeePassSync (sotto “Backup e sincronizzazione & IO”) per Amazon S3, Dropbox, DigitalBucket.
Se si dispone di Dropbox, si può semplicemente inserire il database nella cartella Dropbox con una password sufficiente e poi avviarlo su Android o iOs, ad esempio, dalla cartella Dropbox con programmi adeguati. È necessario conoscere la password principale.
Il componente aggiuntivo del browser FireFTP trasferisce il file KDBX in una directory del server FTP.
A proposito di *Stampa
Ci sono due opzioni per la stampante nelle opzioni di KeePass nella scheda Criteri:
“Consenti la stampa degli elenchi di voci” e“Non richiedere l’inserimentodella chiave master corrente prima della stampa“.
Nella finestra principale di KeePass, tramite “File – Stampa” è possibile far stampare TUTTE le voci con password senza password principale. Già nell’anteprima viene visualizzato tutto e nella scheda “Layout” è possibile scegliere se stampare in modalità tabellare o dettagliata. Per impostazione predefinita, la voce “Password” è attivata, mentre la voce “URL” non contiene alcun segno di spunta – anche se riteniamo che, semmai, dovrebbe essere la voce “URL” a ricevere un segno di spunta e non la voce “Password”. Non si dovrebbe permettere di fare tutto da soli, anche se si lavora da soli sul database, per sicurezza.
Fonte dell’immagine: KeePass