password

L’era della singola password condivisa tra tutti gli account si è definitivamente conclusa. I frequenti data breach di servizi anche molto popolari hanno evidenziato l’importanza di utilizzare password non solo robuste ma soprattutto univoche per tutte le proprie attività online e, dove possibile, abilitare anche il secondo fattore di autenticazione.

Ma l’uso di tante password complesse e diverse tra loro ha creato una nuova necessità, ossia quella di archiviare tutte queste informazioni in maniera sicura e allo stesso tempo facilmente accessibile. Necessità prontamente soddisfatta da numerosi password manager nati negli ultimi anni, alcuni dei quali sono stati direttamente integrati nei maggiori sistemi operativi mobili e desktop (come Google Password Manager o iCloud Keychain).

Soluzioni dunque estremamente collaudate e diffuse, che però soffrono tutte dello stesso difetto, ossia il fatto che informazioni vitali per la nostra organizzazione sono in possesso di aziende terze su cui noi non possiamo esercitare nessuna forma di controllo.

La domanda che sorge dunque spontanea è: esiste un’alternativa valida, un prodotto che ci restituisca il pieno controllo di questi preziosi dati? Una delle risposte più valide a questo quesito è KeePass, un password manager dalla storia quasi ventennale divenuto talmente popolare da affermarsi come vero e proprio standard per l’archiviazione di dati su file.

Il motivo dell’incredibile successo e diffusione di KeePass è legato proprio alla sua semplicità: dimenticati dei complessi sistemi di sicurezza per proteggere i server dagli attacchi adottati dai password manager cloud a protezione delle nostre preziose informazioni, tutto è archiviato localmente, su un file criptato (con l’estensione kbdx 2, divenuta ormai uno standard e compatibile con numerosi client open source e non) protetto da una master password e da un eventuale secondo fattore di autenticazione hardware.

Un ulteriore punto di forza di KeePass è la sua natura open source che garantisce la sicurezza del codice (grazie alla community numerosa e attiva che lo continua ad aggiornare e modificare) e la nascita di diversi client alternativi che risolvono alcuni dei principali difetti presenti nel client tradizionale, quali l’interfaccia grafica datata e la scarsa compatibilità con i sistemi operativi mobili e UNIX.

Proprio a questo riguardo mi sento di consigliare l’utilizzo di due client alternativi, KeePassXC e KeeWeb, entrambi dotati di interfacce moderne, funzionalità aggiuntive e di release per qualsiasi sistema operativo, anche mobile. L’ultimo potente strumento messo a disposizione da KeePass (purtroppo quasi esclusivamente disponibile sul client tradizionale) è la combinazione delle funzionalità di trigger e URL override, che permettono rispettivamente di automatizzare pressoché qualsiasi azione sul database (salvataggio, copia, sincronizzazione etc.) e di integrarsi con programmi terzi direttamente da KeePass (per aprire un tunnel ssh con putty utilizzando le credenziali memorizzate nelle entry).

Bisogna dire che qualche difetto è intrinseco nella natura di KeePass, come il fatto che la sicurezza garantita dall’archiviazione su file lo rende allo stesso tempo poco incline (a meno di personalizzazioni specifiche poco user friendly) all’utilizzo multi-utente. Considerato comunque che umanamente è più facile ricordare una master password piuttosto che centinaia e che il file, senza chiave d’accesso è intelligibile perché cifrato e quindi buckappabile, questi difetti intrinseci sono facilmente mitigabili.

Riassumiamo i pregi e difetti principali:

Pregi di KeePass

  • Gratuito.
  • Grande flessibilità.
  • Assoluto controllo sull’archiviazione delle informazioni.
  • Garanzia sull’assenza di backdoor assicurata dal codice aperto o oggetto di revisione della community.
  • Possibilità di salvare anche file e creare record personalizzati.
  • Profonda integrazione con i browser e possibilità di creare scorciatoie e integrazioni con software terzi.
  • Disponibilità di numerosi plugin e client alternativi capaci di soddisfare pressoché qualsiasi esigenza.

Difetti di KeePass

  • Assenza di supporto.
  • Difficile integrazione in un ambiente multi-utente.
  • Impossibilità di recuperare i dati in caso di master password dimenticata o file corrotto.
  • Meno “user-friendly” e moderno come user interface di altri prodotti.

KeePass è Sicuramente a utenti consapevoli, visto che si tratta di uno strumento open source e non esiste dunque nessun supporto ufficiale a cui scrivere in caso di problemi (escluso ovviamente quello fornito della community). La sua grande flessibilità richiede un po’ di tempo e skills informatiche per sfruttarne le piene potenzialità ma, nonostante questo, mi sento di consigliarlo a chiunque voglia progressivamente riprendere il controllo dei propri dati slegandosi dalle logiche cloud e magari sfruttare le potenzialità di questo genere di prodotti per automatizzare alcuni processi altrimenti manuali.