Lo sviluppo di internet, telefonia, ecc. ha portato molti di noi a convivere con una serie di diverse credentials. Abbiamo una username e una password per l’account di posta elettronica (spesso più di uno), per il conto corrente in banca (la cui gestione on line è di indiscussa praticità), per un blog, per chattare, per inviare sms gratis sul sito del nostro gestore di telefonia mobile, uno per eBay, uno per Amazon, uno per PayPal e così via. Diretta conseguenza di questo scenario è che ci dobbiamo destreggiare tra un numero crescente di password (più relativa username) e invecchiando, come succede a tutti, non è sempre facile ricordarsele.
Una soluzione potrebbe essere quella di usare un’unica password. Per quanto questa “unica” password possa essere sicura e generata con criteri di casualità, questa strategia presta il fianco a diversi inconvenienti e problemi. Se uno sconosciuto dovesse venire in possesso della password, l’intero dominio dei servizi di cui siamo titolari ne verrebbe compromesso. Non solo il malintenzionato potrebbe leggere la mia posta, ma potrebbe facilmente acquistare libri su Amazon addebitandoli a me, effettuare operazioni sul mio conto corrente, postare sul mio blog e chi più ne ha più ne metta. Non è un ipotesi peregrina: mi aspetto che la mia banca utilizzi una connessione criptata (su https) e questo mi metterebbe abbastanza al sicuro ma se poi utilizzo la stessa password per mandare sms con internet per cui non è richiesta un’autenticazione sicura (dati che viaggiano su una normale connessione http) ecco che mi espondo ad un rischio potenziale. A questo si aggiungano i tentativi (più o meno maldestri e invitanti) di phishing. Insomma può succedere che la nostra password non sia più segreta (e può succedere in una miriade di modi differenti) e se questo succede vorremmo che i danni fossero limitati.
Una strategia “a compartimenti stagni” (un servizio – una password) offre un ridotto profilo di rischio: se una password viene compromessa, il solo servizio corrispondente viene compromesso ma gli altri restano al sicuro. Questo ci riporta al punto di partenza con miriadi di password e users da ricordare. è a questo punto che un password manager potrebbe fare la sua comparsa in scena e venirci in aiuto. In ambiente Linux uno dei più conosciuti è MyPasswordSafe.
Il principio alla base di MyPasswordSafe è piuttosto intuitivo. Detta in parole semplici, si crea un unico file in cui si mettono tutte le credentials (user e password) e si protegge l’accesso al file con una password. Potrebbe sembrare un circolo vizioso in quanto siamo tornati ad avere un’unica password (e relativi rischi di compromissione di tutto il nostro registro di credentials) ma a ben vedere ci sono delle differenze. La password con cui proteggiamo il file di MyPasswordSafe deve ovviamente essere sicura e casuale. Ma non viene (o non dovrebbe) essere trasmessa in rete ma solo immagazzinata nella nostra testa e usata solo per MyPasswordSafe. Un eventuale compromissione di questa password inoltre richiederebbe comunque al malintenzionato un accesso alla nostra macchina (o al pc su cui il file di credentials risiede).
Alcune caratteristiche di MyPasswordSafe:
- possiamo generare password casuali
- le passwords che salviamo nel file vengono criptate e non sono visibili “in chiaro”
- non c’è bisogno di vedere la password immagazzinata in MyPasswordSafe. Una volta immessa nel file la possiamo recuperare con un click del tasto destro del mause selezionando la voce “fetch password”
MyPasswordSafe (parliamo di Ubuntu 7.04) è disponibile nei repository ufficiali per cui la procedura di installazione è la solita:
sudo apt-get install mypasswordsafe
oppure attraverso Synaptic (System -> Administration -> Synaptic Package Manager).
Una volta installato lo si può lanciare con il comando
MyPasswordSafe
e creare un “safe” (il file con usernames e passwords) selezionando la corrispondente voce da menu (Create new safe) e scegliendo la password (sicura) per il nostro file. Diamo l’ok e ora non ci rimane che inserire le nostre passwords. Da menu:
Edit -> Add Passwords
eventualmente possiamo creare più gruppi per password appartenenti alla stessa area (per esempio tutti gli accounts che abbiamo sul nostro pc con Linux). Salviamo prima di uscire e decidiamo il percorso dove il file verrà salvato.
Per maggiori info, la guida ufficiale è disponibile qui.
Ti consiglio di provare KeePassX che può immagazzinare anche i links e altre cose.