Ecco come sfruttare KeePass Password Safe, uno strumento gratuito e open source, per memorizzare e gestire tutte le vostre password.
Di Filippo Moriggia
Pochi lo usano e molti non sanno neppure di cosa si tratta, ma un password manager è uno strumento utilissimo per chi usa quotidianamente Internet e fatica a districarsi tra decine e decine di password diverse. Permette di memorizzare in un archivio cifrato le password personali e può dialogare direttamente con il browser o con altre applicazioni inserendo automaticamente le credenziali di accesso necessarie.
KeePass Password Safe è un ottimo password manager che ha il pregio di essere gratuito e open source. Come molti programmi open source, però, non è dotato di una guida in linea o di un manuale completo. L’unica documentazione disponibile è quella presente sul sito Web del programma: poche pagine in lingua inglese, con una breve introduzione e un tutorial di base. In questo articolo abbiamo cercato di sopperire a queste mancanze spiegandovi cosa fa il programma, come installarlo e come configurarlo. La nostra guida all’uso non si limita a spiegare il funzionamento del software, ma illustra i concetti alla base dell’uso di un password manager e svela i segreti di questo strumento gratuito e potente.
Perché KeePass
Ci sono molti buoni motivi per usare un password manager come KeePass. Com’è noto, una password per essere efficace deve essere complicata, il che la rende anche difficile da ricordare. Inoltre bisognerebbe utilizzare password diverse per ciascun servizio utilizzato, in modo che l’eventuale compromissione di una parola chiave non metta a rischio l’intera “vita digitale” dell’utente; naturalmente ricordarle tutte sarebbe un compito non più difficile ma semplicemente impossibile. Insomma, un programma di gestione delle password è praticamente indispensabile. KeePass adotta un algoritmo sicuro e affidabile (AES con chiave a 256 bit) per la cifratura non solo delle password ma di tutto il database in cui vengono memorizzate. Poi adotta una serie di accorgimenti per garantire la sicurezza anche in caso di attacchi diretti: ad esempio cifra le password anche quando sono in memoria, sfrutta un sofisticato sistema di protezione per evitare che altri software possano intercettarle e usa alcune tecniche di offuscamento per bloccare software pericolosi come i keylogger.
Come tutti i software di gestione delle password, KeePass utilizza una parola chiave chiamata master password per proteggere l’accesso al suo database. La master password in genere è una singola parola chiave da digitare con la tastiera ma si possono usare in alternativa o in combinazione, anche due modalità di autenticazione aggiuntive. La prima prevede l’uso di un file chiave, generato dallo stesso KeePass, la seconda sfrutta l’account utente di Windows.
KeePass è disponibile anche in versione “portable”, perciò può essere eseguito su qualsiasi computer con Windows anche senza doverlo installare. È anche dotato di funzionalità di esportazione e di stampa: le password possono essere stampate e archiviate in un luogo sicuro, e possono essere esportate in un file Csv per la successiva importazione in altri software. KeePass include poi funzionalità di ricerca all’interno del database e permette di usare il drag and drop con il mouse per inserire password e nomi utente nei moduli di autenticazione di programmi e siti Web.
I requisiti per l’uso
In questo articolo abbiamo preso in considerazione la versione più recente di KeePass, ovvero l’edizione 2.x Professional. KeePass 2.x gira su tutte le versioni di Windows da 98 a 7, anche quelle a 64 bit. Per funzionare richiede la presenza del .NET Framework (versione 2.0 o superiore), integrato in tutti i sistemi Microsoft da Vista in avanti, ma da installare a parte su Windows XP. L’adozione di questa piattaforma di sviluppo ha permesso di ottenere un buon livello di compatibilità anche con Linux e Mac OS X, grazie al progetto open source Mono. KeePass può essere scaricato dal sito Web www.keepass.info. La pagina di download è divisa in due colonne: sulla sinistra si trova l’edizione Classic, arrivata – nel momento in cui scriviamo – alla versione 1.19b, mentre sulla destra vi è la Professional Edition, attualmente alla 2.15. Entrambe le edizioni sono offerte in due modalità . La prima prevede un classico programma di installazione per Windows (Installer EXE for Windows), la seconda è invece un pacchetto Zip (ZIP Package) contenente la cartella del programma. L’installer è certamente la soluzione più facile per chi vuole installare il software su un computer, mentre il pacchetto Zip è più comodo per caricare KeePass su una chiavetta Usb o un disco esterno, così da poterlo usare su qualsiasi Pc senza doverlo installare.
Un po’ di prudenza non guasta mai
Memorizzare le password in un archivio centralizzato e dotato di una funzione di ricerca è ovviamente un vantaggio, ma proprio perché si tratta di password bisogna adottare alcuni accorgimenti per non ritrovarsi in situazioni spiacevoli. Il database di KeePass non è altro che un file (con estensione Kdbx), e come qualsiasi file può essere perso, cancellato per errore o danneggiato. La perdita di un documento di Word o di un foglio di lavoro di Excel può essere fastidiosa, ma perdere il database delle password è ovviamente un evento ben più grave. Perciò è fondamentale eseguirne il backup, meglio ancora su più periferiche: ad esempio, sull’hard disk locale, su una chiavetta Usb e su un disco esterno.
L’algoritmo di cifratura utilizzato da KeePass, come già accennato, è sicuro: questo significa che al momento non sono emersi suoi punti deboli e non è di fatto possibile forzarlo con un attacco basato sulla “forza bruta” (brute force attack).
Dimenticare la master password, quella che protegge tutto l’archivio, equivale dunque a perdere il database. È quindi opportuno scriverla su un foglio di carta, metterla in una busta sigillata e riporla in un luogo sicuro, mettendosi così al riparo dai problemi che potrebbero derivare da un’amnesia magari temporanea. Come accennato, KeePass permette di utilizzare anche altri due fattori di autenticazione (un file chiave e il profilo di Windows) in alternativa o insieme alla master password tradizionale. Tutti i fattori di autenticazione utilizzati devono essere salvati e copiati per sicurezza su più dispositivi, magari diversi da quelli in cui si trova il database. La loro perdita, ancora una volta, sarebbe equivalente alla perdita del database, dunque una o più copie di sicurezza sono indispensabili per dormire sonni sereni. (…)
Estratto dall’articolo pubblicato sul numero 246 – settembre 2011