KeePass il paspartout per le nostre molteplici identità digitali

Se negli anni settanta qualcuno avesse detto che si rischiava un furto d’identità, questo qualcuno probabilmente sarebbe passato per matto. Come si poteva all’epoca rubare un’identità? Al massimo dei bravi falsari potevano truccare un passaporto per far passare qualcuno per qualcun altro magari proprio per scappare all’estero. Un’attività piuttosto limitata al campo criminale e/o spionistico lontano dalle nostre culture di tutti i giorni.

Oggi possiamo dire che le cose siano cambiate? Direi proprio di sì. Oggi le persone sono sempre più entità complesse fatte di carne, ossa (corpus mechanicum) e digits (o “corpus digitalis” se perdonate il neologismo latinizzato). Le nostre vite, da quando siamo nati, sono infatti costantemente tracciate e gestite in innumerevoli archivi ormai quasi tutti informatizzati, senza i quali noi di fatto non esisteremmo.

Questa dicotomia delle nostre vite distinte in versione analogica (con i contatti con il mondo materiale) e versione digitale, non riguardano solo chi ha il compito di gestire le nostre vite per la fornitura dei servizi e decretare/asseverare la nostra “esistenza in vita”, in parte è demandata a noi stessi. Posto che non possiamo fare molto per costringere i responsabili dei servizi cui ci avvaliamo (anagrafici, accesso alla tutela della salute, pensionistici, forniture di corrente, acqua, gas etc..  ) a gestirli con la massima cura, a noi sta il resto.. che non è davvero poco.

Tutti i sopracitati servizi infatti sono direttamente od indirettamente interconnessi ai nostri sistemi a supporto della nostra vita digitale. Non possiamo quindi più permetterci di sottostimare il rischio di furto di identità digitale che oggi, se in Italia non è ancora una realtà nota ai media, lo è da anni negli USA così tanto che non è raro imbattersi in pubblicità alla TV di società specializzate al “recupero” delle proprie identità digitali perdute (o sapientemente rubate). A tal fine consiglio caldamente a chi sta leggendo di approfondire andandosi a leggere (in inglese) questo illuminante articolo intitolato: “How Apple and Amazon Security Flaws Led to My Epic Hacking” e riportato anche in un noto netcast sulla sicurezza denominato Security Now davvero estremamente interessante e raccomandato.

In nostro aiuto proprio contro il rischio di perdita di dati digitali, c’è uno strumento, ovviamente digitale, denominato KeePass in versione 2 che funziona bene, è gratuito anche nella versione Pro (o 2.x che continua ad essere opensource e gratuita!) è utilizzabile ovunque: ambienti Windows, Linux, Mac, Android (keepass2Android)… etc. Vi consiglio di leggere qui la tabella comparativa.

Non è l’unico software presente dello stesso tipo. Ormai di questi ne esistono numerosi, LastPass è uno di questi (shareware) ma c’è anche 1Pass e molti altri anche di note società dedite allo sviluppo di antivirus, che hanno, a detta degli utilizzatori, una loro valenza ed un loro stuolo di seguaci affezionati utenti.

Perché io abbia scelto questo è presto detto: è uno dei più completi, gira su tutte le maggiori piattaforme sia desktop che smartphone, consente una miriade di import/export, è opensource, free (attenzione, non sono sinonimi!!) ed adotta soluzioni standard di mercato e top della sicurezza dal punto di vista degli algoritmi con cifratura a chiave simmetrica (AES 256 bit).

Come funziona il software è detto in breve, non mi dilungherò troppo se non accennandone i principi. Le password che noi utilizziamo tutti i giorni sono davvero di scarsa valenza. Quando si ha accesso fisico a sistemi dotati di una password di 8 (soli) caratteri questi hanno poche possibilità di resistere a lungo. La settimana scorsa in ufficio ho avuto necessità di recuperare l’accesso al mio nuovo PC Intel i7 3.6 Mhz. Per scoprire la pw di amministratore assegnata di soli 8 caratteri del mio nuovo PC con ophcrack del notissimo sito pieno di eccelso software opensource Sourceforge, ho impiegato meno di 5 minuti!

Quindi cosa conviene fare? Cosa consente di fare KeePass? Semplice, si crea un archivio strutturato con tutte le credenziali in nostro possesso per i vari siti, le nostre caselle email etc, si cifra quell’archivio in AES 265 bit e la lunga passphrase nostra sarà l’unica chiave possibile abilitata a raggiungere e rendere quindi disponibili le nostre chiavi. Oltre alle credenziali, in KeePass si possono salvare immagini, documenti (es: le avvertenze del sito o le loro policy), ma anche aggiungere chiavi quali email, password secondarie, domande di sicurezza con risposte correlate etc.  Ovviamente oltre a questo KeePass mette a disposizione le seguenti caratteristiche che riporto sic et simpliciter dal sito ufficiale:

  • Strong SecurityAES 256 bit
  • Multiple User KeysMultiple User Keys
  • Portable and No Installation Required, AccessibilityPortable and No Installation Required, Accessibility
  • Export To TXT, HTML, XML and CSV FilesExport To TXT, HTML, XML and CSV Files
  • Import From Many File FormatsImport From Many File Formats
  • Easy Database TransferEasy Database Transfer
  • Support of Password GroupsSupport of Password Groups
  • Time Fields and Entry AttachmentsTime Fields and Entry Attachments
  • Auto-Type, Global Auto-Type Hot Key and Drag&DropAuto-Type, Global Auto-Type Hot Key and Drag&Drop
  • Intuitive and Secure Clipboard HandlingIntuitive and Secure Clipboard Handling
  • Searching and SortingSearching and Sorting
  • Multi-Language SupportMulti-Language Support
  • Strong Random Password GeneratorStrong Random Password Generator
  • Plugin ArchitecturePlugin Architecture
  • Open Source!Open Source!

Inoltre lo stesso KeePass ci consente di generare per noi password di congrua complessità (opzione suddetta di strong random Pw Generator), tanto sarà lui a ricordarcela!

Ecco un esempio dell’interfaccia:

 

Insomma se ci tenete alla vostra sicurezza ecco i consigli (in un mio semplice decalogo) per il buon padre di famiglia.. che tiene alla sua vita digitale:

  1. mai utilizzare la stessa pw (password) per più di un sito;
  2. mai adottare una pw di senso compiuto senza almeno un certo numero di caratteri speciali es: ” ” (spazio), “,” (virgola), “:”, percento, ampersand, parentesi… etc e/o mischiando sempre maiuscole minuscole etc;
  3. mai prendere in considerazione pw di lunghezza inferiore a 15 caratteri (il Codice sulla Privacy, Dlgs 196/2003 nell’allegato B ne prevedeva 8 ma era appunto del 2003!!!) e già si parla di almeno 24 caratteri…;
  4. non comunicare mai a nessuno la pw neanche con il pur corretto intento di sostituirla successivamente: si rischia di rendere noti i pattern di costruzione pseudo-randomica adottati da noi;
  5. non utilizzate mai le vostre pw se non in un “sistema sicuro”: solo https, mai http, niente WiFi open tipo starbucks senza almeno chiave WiFi di tipo WPA (ma decisamente meglio WPA2), niente utilizzo di rischiosissime tastiere wireless etc;
  6. controllate sempre di non avere qualcuno alle vostre spalle mentre componete la pw sulla tastiera;
  7. non utilizzate la stessa e magari unica email di riferimento per tutti i siti (io solo su gmail ho 7 email distinte con numerose varianti per ciascuna) e possibilmente diversificate con altri free providers (yahoo, hotmail/Outlook, etc);
  8. cambiate il più spesso possibile le vostre password;
  9. adottate una pass-phrase complessa, mnemonica solo per voi ma non di senso compiuto, oppure variatela rispetto al senso compiuto con qualche pattern o carattere o numero solo a voi noto, se non volete rischiare di aiutare chi cerca di “aprire” lo scrigno delle vostre password (leggi: se ho intuito/carpito 3 o 4 caratteri della pass-phrase inseriti da tastiera non devo essere in grado di ricostruire i caratteri che precedono e/o seguono in base a quanto carpito);
  10. non crediate che nessuno sia interessato ai vostri dati e pertanto non valga la pena proteggerli più di tanto (*)

 

(*) Per la cronaca infatti le identità digitali, quando per il loro significato si intenda in special modo quelle digitali/economiche come le carte di credito, od i riferimenti bancari in genere, hanno un reale valore in rete. C’è un black market noto a chi si occupa di cybercryme e sconosciuto ai più. Averne coscienza è l’inizio per tentare di acquisire la capacità di difendersi che è fondamentale per la nuova società digitale.

Tornando al discorso KeePass, l’aspetto più interessante è la possibilità di trasportare con sé il proprio file cifrato contenente le chiavi di accesso al proprio mondo digitale. Per far questo basta uno smartphone Android ed un software come KeepassDroid o Keepass2Android. Tale software, il cui sito ufficiale è http://www.keepassdroid.com/,  consente di leggere e di modificare le “entries” una volta digitata la nostra lunga pass-phrase, andando a reperire il file che potremmo copiare dal nostro PC/Lap/NotePad sulla MicroSD o sulla memoria presente sul nostro telefonino/smartphone, oppure potremo copiarlo online sul nostro sito di storage preferito, un classico è il solito DropBox , ma la stessa cosa si dovrebbe poter fare su i vari GoogleDrive (di Google) o SkyDrive (di Microsoft) etc. Io non sarei troppo tranquillo però di pubblicare on line il nostro scrigno pur accuratamente cifrato come nel nostro caso. Meglio evitare.

L.R. (11-Ago-2012)