KeePass il paspartout per le nostre molteplici identità digitali

Se negli anni settanta qualcuno avesse detto che si rischiava un furto d’identità, questo qualcuno probabilmente sarebbe passato per matto. Come si poteva all’epoca rubare un’identità? Al massimo dei bravi falsari potevano truccare un passaporto per far passare qualcuno per qualcun altro, magari proprio per scappare all’estero. Un’attività piuttosto limitata al campo criminale e/o spionistico, lontano dalle nostre vite di tutti i giorni.

Oggi possiamo dire che le cose siano cambiate? Direi proprio di sì. Oggi le persone sono sempre più entità complesse fatte di carne, ossa (corpus mechanicum) e digits (o “corpus digitalis” se perdonate il neologismo latinizzato). Le nostre vite, da quando siamo nati, sono infatti costantemente tracciate e gestite in innumerevoli archivi ormai quasi tutti informatizzati, senza i quali noi di fatto non esisteremmo.

Questa dicotomia delle nostre vite, distinte tra versione analogica (con i contatti con il mondo materiale) e versione digitale, non riguardano solo chi ha il compito di gestire la nostra esistenza “burocratica” al fine della fornitura dei servizi e decretare/asseverare la nostra “esistenza in vita”, in parte è demandata a noi stessi. Posto che non possiamo fare molto per costringere i responsabili dei servizi cui ci avvaliamo (anagrafici, accesso alla tutela della salute, pensionistici, forniture di corrente, acqua, gas etc) a gestirli con la massima cura, a noi sta il resto… che non è davvero poco.

Tutti i sopracitati servizi infatti sono direttamente od indirettamente interconnessi ai sistemi a supporto della nostra vita digitale. Non possiamo quindi più permetterci di sottostimare il rischio di furto di identità digitale che oggi, se in Italia non è ancora una realtà nota ai media, lo è da anni negli USA, così tanto, che non è raro imbattersi in pubblicità alla TV di società specializzate al “recupero” delle proprie identità digitali perdute (o sapientemente rubate). A tal fine consiglio caldamente, a chi sta leggendo, di approfondire andandosi a leggere (in inglese) questo illuminante articolo intitolato: “How Apple and Amazon Security Flaws Led to My Epic Hacking” e riportato anche in un noto netcast sulla sicurezza denominato Security Now davvero estremamente interessante e raccomandato.

In nostro aiuto proprio contro il rischio di perdita di dati digitali, c’è uno strumento, ovviamente digitale, denominato KeePass in versione 2.xx che funziona bene, è gratuito anche nella versione Pro è utilizzabile ovunque: ambienti Windows, Linux, Mac, Android (keepass2Android), iPhone. Vi consiglio di leggere qui la tabella comparativa.

Non è l’unico software presente dello stesso tipo. Ormai di questi ne esistono numerosi, LastPass è uno di questi (shareware) ma c’è anche 1Pass e molti altri anche di note società dedite allo sviluppo di antivirus, che hanno, a detta degli utilizzatori, una loro valenza ed un loro stuolo di seguaci affezionati utenti.

Perché chi scrive abbia scelto questo è presto detto: è uno dei più completi, gira su tutte le maggiori piattaforme sia desktop che smartphone, consente una miriade di import/export, è opensource, free (attenzione, non sono sinonimi!!) ed adotta soluzioni standard di mercato al top della sicurezza dal punto di vista degli algoritmi con cifratura a chiave simmetrica (AES 256 bit e dalla versione 2.3x anche Chacha20 256bit Rfc7539).

Come funziona il software è detto in breve, non mi dilungherò troppo se non accennandone i principi. Le password che noi utilizziamo tutti i giorni sono davvero di scarsa valenza. Quando si ha accesso fisico a sistemi dotati di una password di (soli) 8 caratteri questi hanno poche possibilità di resistere a lungo.

Quindi cosa conviene fare? Cosa consente di fare KeePass? Semplice, si crea un archivio strutturato con tutte le credenziali in nostro possesso per i vari siti, le nostre caselle email etc, si cifra quell’archivio utilizzando l’algoritmo presente in KeePass: l’AES 265 bit e la lunga passphrase nostra sarà l’unica chiave possibile abilitata a raggiungere e rendere quindi disponibili tutte le altre nostre chiavi dei vari siti Google, Amazon, Yahoo, Libero etc. Oltre alle credenziali, in KeePass si possono salvare immagini, documenti (es: le avvertenze del sito o le loro policy), ma anche aggiungere chiavi quali email, password secondarie, domande di sicurezza con risposte correlate etc.  Ovviamente, oltre a questo, KeePass mette a disposizione le seguenti caratteristiche che riporto sic et simpliciter dal sito ufficiale:

Inoltre lo stesso KeePass ci consente di generare per noi una password di congrua complessità (opzione suddetta di strong random Pw Generator), tanto sarà lui a ricordarcela!

Ecco un esempio dell’interfaccia:

KeePass interface sample

Insomma se ci tenete alla vostra sicurezza ecco i consigli (in un semplice decalogo) per il buon padre di famiglia che tiene alla sua vita digitale:

  1. mai utilizzare la stessa pw (password) per più di un sito;
  2. mai adottare una pw di senso compiuto senza almeno un certo numero di caratteri speciali es: ” ” (spazio), “,” (virgola), “:”, percento, ampersand (&), parentesi… etc e/o mischiando sempre maiuscole minuscole etc;
  3. mai prendere in considerazione pw di lunghezza inferiore a 15 caratteri (il Codice sulla Privacy, Dlgs 196/2003 nell’allegato B ne prevedeva 8 ma era appunto del 2003!!!) e già si parla (2012) di almeno 25 caratteri…;
  4. non comunicare mai a nessuno la pw neanche con il pur corretto intento di sostituirla successivamente: si rischia di rendere noti i pattern di costruzione pseudo-randomica adottati da noi (leggi: le regole);
  5. non utilizzate mai le vostre pw se non in un “sistema sicuro”: solo https, mai http, niente WiFi open tipo starbucks senza almeno chiave WiFi di tipo WPA2 (ormai anche WPA non è sufficiente), niente utilizzo di rischiosissime tastiere wireless, con protocolli proprietari, che spesso ancora lavorano in banda 27Mhz in chiaro, etc;
  6. controllate sempre di non avere qualcuno alle vostre spalle, mentre componete la pw sulla tastiera (sembra una banalità ma…);
  7. non utilizzate la stessa e magari unica email di riferimento per tutti i siti (io solo su gmail ho 7 email distinte con numerose varianti per ciascuna) e possibilmente diversificate con altri free providers (yahoo, hotmail/Outlook, gmx, etc);
  8. cambiate le vostre password quando avete dei dubbi di accessi non vostri;
  9. adottate una pass-phrase per accedere a KeePass (la password è roba del passato) complessa, mnemonica solo per voi ma non di senso compiuto, oppure variatela rispetto al senso compiuto con qualche pattern od insieme di caratteri o numeri solo a voi noti, se non volete rischiare di aiutare chi cerca di “aprire” lo scrigno delle vostre password (leggi: se ho intuito/carpito 3 o 4 caratteri della pass-phrase inseriti da tastiera non devo essere in grado di ricostruire i caratteri che precedono e/o seguono in base a quanto carpito);
  10. non crediate che nessuno sia interessato ai vostri dati e pertanto non valga la pena proteggerli più di tanto (*)

(*) Per la cronaca, le identità digitali, quando per il loro significato si intenda in special modo quelle digitali/economiche come le carte di credito, od i riferimenti bancari in genere, hanno un reale valore in rete. C’è un black market (sul deep web) noto a chi si occupa di cybercryme e sconosciuto ai più. Averne coscienza è l’inizio per tentare di acquisire la capacità di difendersi che è fondamentale per la nuova società digitale.

Tornando al discorso KeePass, l’aspetto più interessante è la possibilità di trasportare con sé il proprio file cifrato contenente le chiavi di accesso al proprio mondo digitale. Per far questo basta uno smartphone Android ed un software come KeepassDroid o Keepass2Android. Tale software, il cui sito ufficiale è http://www.keepassdroid.com/,  consente di leggere e di modificare le “entries” una volta digitata la nostra lunga pass-phrase, andando a reperire il file che potremmo copiare dal nostro PC/Lap/NotePad sulla MicroSD o sulla memoria presente sul nostro telefonino/smartphone, oppure potremo copiarlo online sul nostro sito di storage preferito, un classico è il solito DropBox , ma la stessa cosa si dovrebbe poter fare su i vari GoogleDrive (di Google) o SkyDrive (di Microsoft) etc. Io non sarei troppo tranquillo però di inviare on line il nostro scrigno pur accuratamente protetto (cifrato) come nel nostro caso. Meglio evitare ed utilizzare invece un’installazione base di KeePass ad es sul nostro PC/Laptop/Tablet di casa come database (file) primario e poi copiare il nostro file, ad esempio TutteLeMiePw2012.kdbx nel nostro smartphone in una apposita cartella KeePassDATA da noi creata.

L.R. (11-Ago-2012)