COME GESTIRE LE PASSWORD CON FACILITÀ
8 aprile 2021
Le password sono chiavi d'accesso complete alle nostre vite, è nostro diritto e dovere proteggerle con cura e al massimo delle nostre possibilità. Scopriamo come!
“Il fattore umano è l'anello più debole della sicurezza”
-Kevin Mitnick, L’arte dell’inganno
Tante volte, compilando l'ennesimo form di registrazione, abbiamo usato la solita password utilizzata in 300 altri siti. O per ovviare a questa ripetizione, abbiamo utilizzato la prima scritta che ci siamo trovati davanti, magari scrivendo in 4lf4num3r1c0. In un mondo in cui la tecnologia è dominante e in cui il solo confine tra i nostri dati sensibili e l'esterno è una password, l’importanza di quest’ultime è cresciuta esponenzialmente.
Andiamo oggi a vedere come generare una password sicura e conservarla lontana da occhi indiscreti.
#AGENDA
Spesso il modo più sicuro per conservare le proprie password è esternamente al proprio PC, dove difficilmente possono essere raggiunte attraverso Internet. Utilizzare pezzi di carta, fogli volanti o post-it da incollare sul nostro monitor sono metodi spesso sconsigliabili per vari motivi.
Dopo aver generato una password sicura, attraverso appositi siti o app come Bitwarden, procuriamoci un quadernetto o un'agenda dedicata solo alle nostre informazioni sensibili e scriviamoci su nome del servizio : email : nome utente : password. Teniamo la nostra agenda in un posto sicuro e lontano da occhi indiscreti, magari evitando di dimenticarla sul tavolo dell’aula studio dopo aver lavorato al PC.
Ricordiamo sempre che il primo scudo per i nostri dati siamo noi!
#BITWARDEN
Bitwarden è un gestore password open source il cui codice è disponibile a tutti su GitHub. L’essere open source è un inno alla trasparenza, proprietà fondamentale per un software che andrà a gestire tutte le nostre credenziali. Non ci si può affidare solo alla trasparenza quando si parla di sicurezza, è importante quindi sapere che Bitwarden mette a disposizione la possibilità di self-host per la nostra cassaforte, non costringendoci ad affidare i nostri dati a server terzi ed essere così gli unici garanti delle nostre informazioni. Il software fornisce anche altre importanti feature come vault time-out, sblocco biometrico o tramite PIN e pulizia automatica clipboard. Non dimentica di strizzare l’occhio a team ed imprese, mettendo loro a disposizione un gestore per le password di gruppo ed una dashboard per l’amministrazione del team.
Bitwarden non è però solo trasparenza ed indipendenza, questi ottimi presupposti sono coronati da algoritmi di crittografia all’avanguardia, cuore della sicurezza e fondamentali per questo tipo di servizi. Questa soluzione è inoltre rispettosa di tutti gli standard di protezione dati, tra cui: GDPR, Privacy Shield, HIPAA, CCPA, SOC 2 Type 2 and SOC3, Security Assessment 2018 e 2020.
#CRITTOGRAFIA
Bitwarden si basa su crittografia end-to-end.
Il vault è criptato attraverso l’algoritmo AES-CBC 256-bit, considerato ormai uno standard crittografico. Il software si serve di una chiave generata dall'algoritmo PBKDF2 SHA-256, utilizzato per derivare la chiave di crittografia dalla nostra password principale. Il sistema sottopone ad hash e salt* la password principale con il nostro indirizzo e-mail a livello locale, prima della trasmissione ai server. Una volta che il server riceve la password sottoposta ad hash, questa viene nuovamente sottoposta a salting con un valore casuale crittograficamente sicuro, sottoposta ancora una volta a hash e memorizzata infine dal database. Il conteggio delle iterazioni di default utilizzato con PBKDF2 è di 100.001 iterazioni sul client e altre 100.000 iterazioni quando vengono memorizzate sui server, per un totale di 200.001 iterazioni di default. Il conteggio delle iterazioni lato client è configurabile dalle impostazioni del nostro account (funzionalità esclusiva del Web Vault).
Al fine di una migliore comprensione del processo crittografico ci è messa a disposizione una pagina di crittografia interattiva, passo passo ci viene mostrato ogni livello della derivazione della chiave crittografica.
I server sono usati unicamente per conservare dati criptati. Il vault può essere decifrato solo utilizzando la chiave derivata dalla nostra password principale. Bitwarden è una soluzione a conoscenza zero, il che significa che siamo gli unici ad avere accesso alla nostra chiave e alla capacità di decifrare i dati del vault. La master password non è recuperabile, è quindi da conservare con cura in quanto si tratta dell’unico metodo per accedere e decriptare la propria cassaforte.
*Hashing = consiste nel convertire, attraverso una funzione, una stringa di testo leggibile in una stringa non leggibile di lunghezza fissa, detta hash. Se ben implementato è praticamente impossibile risalire alla stringa originale, in quanto la funzione di hash è unidirezionale quindi non invertibile. Due stringhe uguali producono il medesimo hash, è qui che ci viene incontro il salting.
Salting = aggiunta di dati casuali all'input di una funzione hash per garantire un output unico, l'hash, anche quando gli input sono gli stessi.
#DOWNLOAD E INSTALLAZIONE
Bitwarden è disponibile per tutte le piattaforme e in svariate modalità a questo link: possiamo scaricare l'app desktop, così come l'estensione del browser o l'app mobile. Ci è fornita persino la possibilità di usarlo tramite CLI o Web Vault, sta quindi alle nostre preferenze scegliere in che modo utilizzarlo.
In questo tutorial utilizzeremo l'estensione Firefox, il software funziona esattamente allo stesso modo qualunque sia la versione in cui lo andremo ad utilizzare: esse differiscono unicamente per l’interfaccia e per qualche piccola feature.
In seguito all’installazione ci troveremo nell'area di login/registrazione, pronti per creare un nuovo account premendo l'apposito pulsante. Ci verranno richiesti username e password principale, queste due informazioni giocano un ruolo fondamentale: é da loro che deriva la chiave crittografica che servirà a decifrare il vault. Scegliamo una password sicura, scriviamola sulla nostra agenda di fiducia, sicuri di non perderla e tenendola lontana da occhi indiscreti. Perdere la password principale si traduce in perdere l'account, cassaforte e qualsiasi nostro dato sensibile in quanto essa NON è recuperabile col classico "non ricordi la password?". L'unico aiuto che ci viene dato è il suggerimento che sceglieremo di utilizzare in caso di dimenticanza, esso è facoltativo quindi non siamo costretti ad inserirlo.
Effettuata la registrazione effettuiamo il login e saremo dentro la nostra area personale.
#AGGIUNTA CREDENZIALI
Aggiungiamo ora delle credenziali premendo il pulsante "+".
Bitwarden ci permette di conservare vari tipi d’informazioni. Nel tutorial creeremo passo passo un login, in quanto le altre tipologie sono semplici e intuitive da compilare.
I vari campi messi a nostra disposizione sono:
- Tipo, ci permette di scorrere le varie tipologie di template: login, carta di credito, identità o nota sicura;
- Nome, nome del sito web per cui registriamo le credenziali;
- Nome utente, username/email che andremo ad utilizzare nel sito di riferimento;
- Password, la password del sito web. Abbiamo qui la possibilità di generare una password sicura, opzione altamente consigliata.
Il campo offre tre opzioni: - verifica esposizione password, ci informa se la password è stata coinvolta in data breach noti. Nel caso la risposta fosse affermativa è consigliabile modificare la password;
- mostra/nascondi password, rende visibile in chiaro la password;
- generazione password, ci aiuta a generare una password sicura sulla base delle nostre preferenze. Possiamo scegliere la lunghezza della password, se utilizzare caratteri minuscoli, maiuscoli, numerici e speciali. A nostra discrezione sono anche il numero minimo di numeri e caratteri speciali da utilizzare. È consigliabile generare password da minimo 12 e formate da tutti i tipi di caratteri. Nel caso la password per noi generata non fosse per qualche motivo di nostro gradimento premere "rigenera password" permette di riceverne una nuova con facilità.
Oltre alle password questa funzione permette anche di generare passphrase per i servizi che ci permettono questa opzione; - Chiave autenticazione (TOTP), ci permette di gestire le Time-based One-Time Password inserendo la chiave di autenticazione delle stesse in questo campo. Non supporta l'acquisizione di quest'ultime attraverso il QR Code;
- URI, inseriamo qui l'URL del sito per il quale stiamo immettendo le credenziali. Nel caso usassimo l'estensione per web browser questa riconoscerà automaticamente i siti e i login corrispondenti, con un semplice click potremo essere pronti ad effettuare il login;
- Cartella, essendo l'ordine importante Bitwarden ci mette a disposizione delle cartelle per tenere il nostro vault sempre pulito e facilmente accessibile;
- Note e Campi personalizzati, se i campi a nostra disposizione non fossero sufficienti ci è concessa la possibilità di inserire delle note o addirittura nuovi campi da riempire. Questi possono essere di 3 tipi: testo, nascosti (password) o booleani.
Utilizzando l’estensione browser, possiamo aggiungere le credenziali di un sito con nome e URI precompilati. Ci basta aprire l’estensione sul sito in questione, recarci nella sezione “Pagina” dell’app e da lì premere il tasto “+”.
Compilato correttamente il nostro template dovremmo ritrovarci con una schermata così composta:
#IMPOSTAZIONI
Inseriti i nostri dati non ci resta che fortificare la nostra cassaforte, rechiamoci quindi in impostazioni e settiamo le principali:
- Timeout cassaforte, possiamo decidere dopo quanto tempo la sessione del nostro vault sarà da considerare scaduta. Per una sicurezza ottimale è consigliabile non superare i 15 min ma la scelta è solo nostra, per assurdo possiamo anche scegliere di mantenere la sessione sempre attiva;
- Azione timeout cassaforte, permette di scegliere l'azione che dovrà essere effettuata alla scadenza della sessione, tra blocco del vault o disconnessione totale dall'applicazione;
- Sblocco con dati biometrici, permette di sbloccare la cassaforte con impronta digitale sui dispositivi che lo permettono;
- Sblocco con PIN;
- Verifica in due passaggi (altamente consigliato), per una massima sicurezza ci è concessa la possibilità di convalidare il login con un altro dispositivo attraverso un codice via SMS, telefonata, email o utilizzando una chiave di sicurezza.
Nelle impostazioni troviamo anche opzioni per modificare la master password del nostro account (unico modo per farlo), esportare la nostra cassaforte su file .json/.csv, importarne una precedentemente creata o importare credenziali salvate su altri gestori password o nel nostro browser.
Bitwarden è un ottimo password manager: pulito, ordinato e all’avanguardia dal punto di vista della privacy e della sicurezza. Avere un ottimo gestore, o un'agenda ben nascosta, non basta però ad essere a prova di hack! Bisogna tenere sempre a mente che siamo noi l’ultimo scudo per i nostri dati e che questi strumenti, a fronte di poca attenzione da parte dell’utente, perdono fortemente d’efficacia.
Bisogna sempre fare molta attenzione quando si ha a che fare con i propri dati sensibili: non comunicandoli mai a nessuno, non inserendoli in nessun form, facendo attenzione ai vari link su cui clicchiamo o con gli operatori con i quali comunichiamo tenendo bene a mente che nessuna assistenza clienti ci chiederà MAI la password di un dato servizio.
Manteniamo sempre alta la guardia e ricordiamo sempre: “Il fattore umano è l'anello più debole della sicurezza”.