Re: OT : Password manager
Il 14/01/20 18:29, Antonio Catellani ha scritto:
Scusate l'OT, chiedevo consiglio per un password manager
multipiattaforma, linux, android, windows. Attualmente utilizzo
encryptr spideroak che funziona benissimo, ma non viene aggiornato da
anni e quindi non so se sia il caso di continuare ad utilizzarlo.
Continuo con encryptr o è meglio cambiare con altro ?
Anche io mi ritrovo a lavorare in ambienti eterogenei.
Ti dico come faccio io. Fondamentalmente uso un database Keepass2
(perché oltre alle password aggiungo alle voci di database anche altri
dati, come annotazioni, file, etc), in questo modo:
- Su linux uso KeepassXC https://keepassxc.org/, visto che lo sviluppo
di KeepassX sembra stagnante. Normalmente uso KeepassXC (e
Keepass2Android sul cellulare) ANCHE per generare le nuove password che
mi servono.
- Ho creato il mio database, impostando una password di più di 16
caratteri *E* un file chiave. Senza password e chiave, il database non
si apre. Una volta l'anno cambio la password.
- Sul database ho aumentato le impostazioni di cifratura rispetto a
quelle predefinite (Da Database > Impostazioni database > Sicurezza).
Per esempio, c'è un bottone che "ottimizza" la cifratura in base
all'hardware che stai usando - io aumento un po' i parametri, in modo
che sia un po' più difficile da "rompere", la cifratura. Quando comprerò
un PC e uno smartphone più potenti, aumenterò ulteriormente questi
parametri. Per approfondire vedi:
https://www.linkedin.com/pulse/dear-keepass-user-you-safe-ton-snoei
- Ho messo il file database su un noto servizio di storage cloud per
averlo il più possibile disponibile. Ma solo quello - il file chiave non
vede network, lo trasferisco solo tramite storage locale.
Sì, lo so, è un possibile rischio di di sicurezza, ma siamo onesti:
usando password e chiave, tenendo la chiave separata dal database,
cambiando password e aumentando i giri di cifratura periodicamente, il
rischio è molto limitato e per me accettabile, in confronto ai vantaggi
che ho (come sempre, la sicurezza va commisurata al caso specifico e ai
rischi che si corrono).
Molto meglio che riutilizzare password per più di un servizio, o usare
un servizio dedicato come Lastpass, o che tenere le password su un
blocco note fisico, che sarà pure offline, ma non ne puoi fare backup
facilmente e se lo perdi, sei nei guai.
- Ho uno smartphone Android, su cui uso l'app Keepass2Android, che è in
grado di mantenere in sincronia il file database dal noto servizio di
storage cloud. Keepass2Android è open source, è veramente bello ed ha un
sacco di funzionalità comode, come lo sblocco del database tramite il
lettore di impronte del cellulare (che sì, è una cosa che diminuisce
lievemente la sicurezza, ma è veramente MOLTO comoda), una tastiera
dedicata (così non devi fare copia e incolla), l'integrazione con il
portachiavi di Android e l'integrazione con InputStick, e quest'ultima è
un'invenzione MAGNIFICA (vedi sotto). Sullo smartphone ho copiato il
file chiave via USB.
- Se usassi sistemi iOS, probabilmente userei Strongbox. L'ho visto
tempo fa, mi è sembrato ben fatto, e supporta lo storage cloud che uso già.
- Al lavoro mi hanno dato un Mac desktop, e anche là uso KeepassXC (che
tengo aggiornato tramite homebrew), con il file database che si
sincronizza tramite lo storage cloud ed il file chiave che è stato
copiato via USB. Se avessi un PC Windows, probabilmente continuerei ad
usare KeepassXC, visto che sono troppo pigro per combattere con
un'interfaccia diversa.
- Tempo fa tenevo una copia del mio file database e del file chiave su
una pendrive USB, insieme ad una versione Windows portable di KeepassXC.
Funzionava, ma non ero contentissimo. Poi ho scoperto InputStick.
- InputStick (http://inputstick.com/) essenzialmente è una coppia
"tastiera+mouse USB controllabile via Bluetooth". A che serve? La associ
allo smartphone (si parlano tramite Bluetooth), la colleghi ad una porta
USB su un PC, e tramite un'app per Android puoi usarla per inviare testo
o movimenti del mouse al PC in questione.
Già così sarebbe una cosa comoda (ad es. copi una password da
Keepass2Android e la incolli nell'app di InputStick per riempire un
campo sul PC), ma la cosa stra-comoda è che esiste un plugin per
Keepass2Android che ti permette di fare tutto senza neanche quel giro di
copia e incolla: apri la voce del database, e da un menù invii i dati al
PC, senza che le password passino dalla clipboard del cellulare!
Ovviamente usare il cellulare per inserire molte password o modificare
il database di keepass non è proprio comodissimo...
- Per questa ragione ormai mi porto dietro una pendrive con il solo file
chiave - se sono sul PC di un'altra persona ed ho accesso ad Internet
uso KeeWeb (https://keeweb.info/), una web app open source che supporta
il mio storage cloud (ma volendo Keeweb può aprire anche file locali).
Mi basta una "finestra anonima" di un browser per accedere a
app.keeweb.info, al mio servizio cloud e fornire il file chiave, ed ho
tutte le mie password.
In conclusione, ammetto che trovare queste soluzioni è stato uno
sbattimento immenso.
Non credo che consiglierei questo approccio ad un utonto poco esperto,
perché potrebbe scoraggiarsi e finire per usare la solita password
"12345678" dappertutto, e sarebbe completamente inutile, se non dannoso
come un postit con la password attaccato allo schermo del PC o nascosto
dietro la cover del cellulare.
In tutta onestà, all'utonto consiglierei di farsi un account Firefox e
usare Lockwise, il gestore di password integrato in Firefox, per il
quale esistono app Android e iOS che permettono di consultare le
password dallo smartphone (peccato che non permetta di aggiungere altre
informazioni oltre alla URL, al nome utente e la password). Imho Firefox
Lockwise è la soluzione più semplice e ragionevolmente sicura che ci sia
al momento.
Se lo usassero molte più persone, saremmo tutti un po' più al sicuro.
In bocca al lupo,
-gerlos
Reply to: