|
|
|
|
Strumenti |
28-04-2014, 09:08 | #1 |
Messaggi: n/a
|
[password manager] soluzione "casalinga"
Buongioron a tutti voi cari utenti
Non so se questa sia il forum adatto e nel caso mi scuso. É da molto tempo che, per gestire le mie password, utilizzo una soluzione da me pensata. Recentemente, per curiositá, ho provato alcuni client gestori di password (es. keepass) ed ho constatato che fondamentalmente seguono lo stesso funzionamento. Io faccio cosi: creo all inizio ua cartella dentro questa cartella ci metto vari file txt es. accounts.txt emails.txt vari.txt e, in base alle caratteristiche dei dati contenuti, li riempio seguendo una determinata formattazione, es. per il file accounts.txt gruppo,url,email,username,password,note es shop,amazon.it,pippo@pluto.it,pippo,password123,ev enutali_note forum,html.it,paperino@topolino,it,password456 alla fine comprimo il tutto dentro un unico file (.7z) protetto da una password (che in pratica sarebbe una sorta di master password). ogni volta che devo leggere o inserire un nuovo recordo lo apro (non estraggo) e ci lavoro sopra. questa mia soluzione, a parere mio, ha enormi vantaggi, tra cui: 1) client indipendente e quindi portabilitá al massimo: tutti gli OS (windows,linux,mac,android,etc) hanno programmi per gestire archivi ed editor di testo. non serve nessuna applicazione specifica 2) la dimenzione del file é piccolissima 3) affidabile sul lunghissimo periodo, non dipende dall' evoluzione da nessun software Avrei un paio di domande per voi. Notate qualche pecca o vulnerabilitá? Quando apro in sola lettura l' archivio crittografato (protetto da password) sapete dove vengono salvati i dati temporanei e se vengono cancellati in modo sicuro una volta terminato il gestore degli archivi? (so che dipende da ambiente e ambiente, da programma a programma). Grazie tante a tutti! ogni osservazione é ben accetta |
28-04-2014, 10:18 | #2 |
Member
Iscritto dal: Nov 2013
Messaggi: 177
|
Mi ricorda molto pass http://www.zx2c4.com/projects/password-store/
Comunque si, secondo me l'unica cosa veramente problematica è se 7zip estrae l'archivio in una cartella temporanea, e poi non la cancella una volta chiuso. In Windows mi sembra fosse %tmpdata% o qualcosa del genere.
__________________
Linksys e3200 @ AdvancedTomato 1.27.17 + TP-Link TD-8960Nv4 @ 1.1.1 28/02/14 build + Telecom Italia 10 mega ^ Bricked Aspetto cavo USB<->TTL per riportarlo in vita. Mai giocare con i sorgenti senza averne uno sotto mano! |
28-04-2014, 10:42 | #3 | |
Messaggi: n/a
|
Quote:
io uso principalmente linux, insieme a windows ed android... e sinceramente non saprei dove andare a vedere i file temporanei...su linux, nella directory /tmp non cé niente edit: in linux lho trovato e quando chiudo il txt aperto che si trova nell archivio criptato il file temporaneo viene cancellato... Ultima modifica di sgdfgsgfsgs : 28-04-2014 alle 10:45. |
|
05-05-2014, 19:06 | #4 |
Senior Member
Iscritto dal: Feb 2008
Messaggi: 9581
|
quindi è accertato che non restano tracce ne in windows ne in linux?
inoltre, come fai ad aggiungere dati alla lista senza estrarre il file? |
05-05-2014, 20:19 | #5 | |
Messaggi: n/a
|
Quote:
per aggiornare i file txt basta aprire, non estrarre, i files txt che sono dentro l archivio criptato protetto da password ed editarli, poi quando li chiudi e salvi le modifiche ti verra chiesto se aggiornare o meno anche l archivio criptato e tu dirai di si |
|
06-05-2014, 00:00 | #6 |
Senior Member
Iscritto dal: Feb 2008
Messaggi: 9581
|
ottimo, grazie per il contributo
|
09-05-2014, 10:30 | #7 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Mai provato LastPass ?
Si integra nei browser è funziona su tutti i sistemi I dati sono conservati al sicuro in forma cifrata e prevede un ottimo compilatore di campi. Ne consegue che le tue password non verranno inserite in alcun sito fasullo (phishing) ed inoltre verranno inserite senza essere mostrate. Nulla ti impedisce poi di creare una copia del tuo database password in formato txt o excel e tenerlo criptato su Computer o smartphone. Lavorare sulle password come fai tu, in ogni caso espone a dei rischi in caso di keyloggers o screenloggers. *Aggiungo che la protezione offerta da 7zip o qualsiasi archiviatore zip è inferiore a quella di specifici software di criptatura come Axcript. Puoi eseguire il tuo paziente lavoro sulle password in formato txt criptandole efficacemente senza scomodare gli archivi zip. Ciao Ultima modifica di Spadone75 : 09-05-2014 alle 10:35. Motivo: integrazione |
09-05-2014, 14:50 | #8 |
Senior Member
Iscritto dal: Feb 2008
Messaggi: 9581
|
|
09-05-2014, 16:25 | #9 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
si, Axcrypt o altro.
Trovo Axcrypt particolarmente comodo per la sua integrazione nel menù contestuale di windows (clicchi tasto destro sul file per poterlo criptare, aprire etc) e per la sua stabilità. In tanti anni mai un errore. Pur adoperando programmi specifici per criptare i dati, in ogni caso il tuo sistema espone a più rischi rispetto alla soluzione offerta da Lastpass. Ultima modifica di Spadone75 : 09-05-2014 alle 16:26. Motivo: correzione ortografica |
09-05-2014, 16:30 | #10 |
Senior Member
Iscritto dal: Feb 2008
Messaggi: 9581
|
ah ok, quindi questo potrebbe perfezionare ulteriormente il sistema proposto da stl (quindi usando uno di questi tool al posto di winrar o 7zip)
|
09-05-2014, 16:37 | #11 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Migliora la robustezza della cifratura.
|
15-05-2014, 15:49 | #12 | |||
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
Quote:
E cmq anche keepass funziona in tutti i sistemi Vabbè, non sono 10 kilobyte in più a uccidere... Quote:
Si. 1- 7-zip non è affidabile come protezione della password. Se si usa il sistema "archivio" molto meglio usare winrar che ha una protezione da attacchi bruteforce enormemente superiore. 2- Come già consigliato per rendere la sicurezza dell'archivio ai livelli di keepass meglio usare software di criptazione. WInrar è meglio anche perché permette di inserire delle informazioni per il recupero dei file nel caso l'archivio si danneggiasse. 3- C'è sempre il pericolo dei file temporanei. Non parlo solo di estrazione, ma anche quando apri l'editor di testo i file sono in chiaro sul pc. Comunque per un uso normale penso sia un sistema abbastanza rodato (anch'io a volte lo consiglio). Se invece si vuole qualcosa di più specializzato e flessibile allora keepass resta una scelta migliore (è anche più ordinato da gestire). Per dire, keepass può usare come password anche un file, che per alcuni versi può rivelarsi molto più comodo (niente password da ricordare)
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro Ultima modifica di marcos86 : 15-05-2014 alle 15:54. |
|||
16-05-2014, 14:52 | #13 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Ciao Marcos86,
Secondo me ci sono alcune imprecisioni nelle tue affermazioni. Ad esempio dici che 7Zip non è affidabile nella protezione delle password rispetto a WinRar. In base a cosa ? Ad esempio 7Zip supporta cifratura AES a 256bit mentre WinRar AES 128bit....l'enorme differenza è a favore del primo. Inoltre mentre 7Zip è opensource, WinRar è un software commerciale in versione Trial. A parte il costo da tenere in considerazione, per numerose ragioni, il più delle volte, i software opensource dovrebbero essere reputati più sicuri di quelli commerciali. Inoltre basta cercare su google "rimuovere password Rar" per trovare Rar Password finder e centinaia di alternative per formati rar e zip. Secondo me però la questione non è poi tanto il numero di bit del protocollo AES supportato, quanto la gestione dei dati. Spiegherò il perchè. Si può montare la porta blindata più spessa e resistente al mondo, ma essa sarà inutile se i cardini e le pareti circostanti sono deboli. Con il sistema empirico di salvare i dati in file txt cifrati in un archivio compressi, l'elenco delle password sarà in chiaro su un file txt nella memoria Ram ed inoltre ben visibile a video... Da ciò scaturiscono due debolezze palesi e non risolvibili : 1) Qualsiasi keylogger, o software che può catturare screenshot o malware che può accedere alla clipboard o anche chiunque possa accedere da remoto al PC (si pensi ad esempio a come funziona Teamviewer) potrà carpire tutte le informazioni al momento in cui esse verranno decifrate per poter essere consultate, copiate ed incollate. 2) Essendo le informazioni necessariamente mostrate a video, potrebbero essere rubate da occhi o videocamere indiscrete. Ad esempio quando si è in compagnia di qualcuno o anche in un internet point. Dicevo poi che il numero di bit della chiave di cifratura è importante ma non necessariamente l'unico aspetto indicativo della sicurezza. Ad esempio Axcrypt che menzionavo nel mio post precedente offre protezione AES 128bit al pari di WinRar. Tuttavia esso è molto più sicuro per altre ragione tra cui 1) l'implementare un contatore contro attacchi bruteforce (raggiunto un certo numero di tentativi falliti, i dati verranno cancellati o resi inaccessibili) 2) Una gestione più sicura dei dati (impossibile trascriiverli involontariamente nel file di paging) 3) L'implementazione di uno shredder che cancella in maniera sicura i dati aperti e visibili, appena essi vengono chiusi. 4) I file criptati che vengono aperti per essere letti, appena chiusi vengono automaticamente re-criptati senza necessità di digitare nuovamente la password. Detto questo, mi ripeto nel dire che offre molta più protezione la gestione delle password tramite stumenti come keepass o Lastpass. A mio modesto parare Lastpass ancora più sicuro rispetto a keepass in quanto libera dal dover conservare i propri dati sensibili su un Hard Disk o una pendrive. Le password sono accessibili da qualunque macchina e qualsiasi luogo connesso, protette sempre nella stessa maniera, a prova di keyloggers e senza alcun trasporto materiale di penne usb. Inoltre, essendoci la possibilità di creare un file con le proprie password, nulla impedisce di salvare e aggiornare tale file periodicamente, tenendolo poi in luogo sicuro. |
16-05-2014, 18:02 | #14 | ||||||||
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
Quote:
Quote:
7Zip userà anche un blocco maggiore, ma winrar usa uno schema di derivazione proprietario per criptarla. Il decriptare tramite bruteforce una password wirar è un'operazione molto, molto più lunga di un attacco su un archivio 7zip. Quote:
Per esempio recentemente sono sorti parecchi dubbi su truecrypt, il software open source più potente e usato in crittografia. Quote:
La robustezza dell'archivio deriva dalla password, se si sceglie una buona password non c'è bruteforce che tenga, a meno che non ci sia di mezzo la nsa. Quote:
Quote:
Basta fare una copia del file prima di procedere con l'attacco. Ci sono programmi di bruteforce che permettono di riprendere l'attacco dalle ultime combinazioni, basta dargli più volte in pasto il file (per quanto possa essere scomodo) Quote:
Quote:
Già una volta i server di lastpass sono stati violati (anche se mi pare gli account si fossero salvati, vado a memoria).
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro Ultima modifica di marcos86 : 16-05-2014 alle 18:05. |
||||||||
16-05-2014, 19:11 | #15 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Grazie per le spiegazioni.
Poichè sono interessato ad approfondire, se ti è possibile potresti indicarmi le fonti/link su dove ti sei documentato sui blocchi e schemi di derivazione di winrar e 7zip ? Ho cercato qualche info sul sito di winrar ma senza successo. Grazie Non intendo dire che i software opensource siano esenti da difetti o rischi nella loro gestione. Semplicemente un sistema aperto è generalmente più "aperto" anche riguardo i test e le correzioni. nel 2011 Lastpass subì un attacco e poche password in forma cifrata furono rubata. Per il fatto che sono conservate e trasmesse in forma cifrata, non vi furono conseguenze. Tuttavia fu consigliato agli utenti di cambiare la password mentre la società pensava a risolvere alcune debolezze strutturali. |
17-05-2014, 17:40 | #16 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
http://www.tomshardware.com/reviews/...-gpu,2945.html
Tuttavia devo correggermi, cercando bene ho scoperto 2 cose La prima è che winrar dalla nuova versione 5 ora supporta la crittografia a 256bit. La seconda è che 7zip usa lo stesso sistema di winrar, ovvero schema proprietario e di conseguenza maggior resistenza agli attacchi bruteforce. Quindi in realtà rar e 7zip sono comparabili quanto a sicurezza della password (ovviamente le password brevi e semplici si beccano subito lo stesso)
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro |
18-05-2014, 08:13 | #17 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Ottimo.
Nuovamente grazie Marcos86 aggiungo quest'altro articolo in italiano che ripropone ciò di cui si parlava http://www.tomshw.it/cont/articolo/e...r/33035/8.html Ultima modifica di Spadone75 : 18-05-2014 alle 08:15. Motivo: aggiunto link articolo |
19-05-2014, 08:49 | #18 |
Senior Member
Iscritto dal: May 2005
Messaggi: 8686
|
Prima di trovare una soluzione all'archiviazione sicura delle password ( a volte la cara vecchia carta e penna è la soluzione migliore ) bisognerebbe insegnare alle persone COME scegliere una password, c'è gente che fa cose del tipo:
1) Usare la stessa password per tutto, dall'email alla banca etc. trovata una trovate tutte 2) Usare password estremamente semplici, magari di sole lettere e brevi oppure tipo 123456 ( che risulta la più usata ed ho detto tutto... ) 3) Usare domande segrete del tipo "Il nome di tua figlia" che anche un idiota alla prime armi riuscirebbe a scoprire ( esempio un giro su facebook? ) Si può usare l'algoritmo più sicuro al mondo ma per prima cosa è fondamentale la scelta e la differenziazione della password. Non servono cento caratteri, ne bastano 12 usando lettere minuscole/mauscole e numeri se si usa appunto un algortimo forte.
__________________
. Thread Ufficiali: EasyCrypt ~ Old Files Manager ~ OSD Clock The real me is no match for the legend . Ultima modifica di x_Master_x : 19-05-2014 alle 08:55. |
19-05-2014, 09:39 | #19 |
Junior Member
Iscritto dal: Feb 2014
Messaggi: 27
|
Spero mio padre non ti legga mai... Sto lottando con lui affinchè abbandoni carta e penna !!
Sicuramente è il sistema più comodo per conservare una copia delle proprie info importanti indipendentemente da elettricità, connessioni, pc etc etc. Tuttavia è assolutamente poco sicuro e pratico in numerose altre situazioni, non ultima quella del semplice trasporto e consultazione. E' consigliabile tenerlo fermo e solo in un posto sicuro, altrimenti è facile smarrire un bigliettino, dimenticarlo oppure lasciarlo incustodito abbastanza da fargli fare una foto e perdere tutte le proprie password... La differenziazione delle password è importante come dici tu. Tuttavia è sempre più in contrasto con l'estremo aumentare di password da tenere a mente. Non è nè facile nè "normale" chiedere ad una persona di ricordare in qualsiasi situazione una ventina di password. Ecco che un software come Keepass o LastPass tornano utili. Infatti permettono anche la creazione di password sicure e la successiva gestione, liberando l'utente dal peso di ricordare tanti siti ed info di log-in. Si dovrà poi creare e ricordare bene solo una masterpassword per poter accedere al proprio archivio. L'anello debole è proprio là....vi sono degli aiuti come una white list di apparecchi che vi possono accedere, un controllo a tempo sulla posizione degli accessi (tentativi di accesso sospetti vengono bloccati e notificati, invio di codici tramite sms, etc etc) tuttavia il rischio non è mai nullo. Riguardo le domande di sicurezza per poter recuperare password e dati di accesso (sistema spesso adoperato per compiere truffe), basta semplicemente ricordarsi una risposta che non c'entra nulla con la domanda. Ad esempio scegliere un colore come propria risposta ad una qualsiasi domanda. Quale è il tuo cibo preferito ? Giallo Ocra. Detto tutto ciò, credo che la discussione si stia un pò spostando rispetto alla domanda iniziale. Ovvero se si notano errori e punti di debolezza nel sistema pensato ed adoperato da Stl. Si possono creare password da 64 caratteri e scegliere le domande di sicurezza più difficili, tuttavia se si conservano male le proprie informazioni, non serve a nulla. |
06-02-2018, 22:06 | #20 |
Senior Member
Iscritto dal: Sep 2006
Città: brindisi
Messaggi: 2316
|
salve.
ho l'esigenza di criptare cartelle nel mio google drive,e decriptarli nel gdrive del pc e del cellulare.ho Installato 7zip sul pc, e mi sono creato un'archivio criptato. mi sono accorto che , i file txt che ho nella cartella compressa con 7zip, non vengono salvati dopo eventuale modifica.in poche parole decripto la cartella inserendo la mia passw e mi si aprono i miei file .txt contenuti all'interno. se vado a modificare uno di questi .txt, dopo che chiede conferma di salvare e vado a chiuderlo, se lo riapro, non mi ritrovo la modifica salvata. come si puo' ovviare? grazie in anticipo
__________________
18/12/2010: IL BISCIONE E' CAMPIONE DEL MONDO
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:58.