[password manager] soluzione "casalinga"

Buongioron a tutti voi cari utenti

Non so se questa sia il forum adatto e nel caso mi scuso.

É da molto tempo che, per gestire le mie password, utilizzo una soluzione da me pensata.

Recentemente, per curiositá, ho provato alcuni client gestori di password (es. keepass) ed ho constatato che fondamentalmente seguono lo stesso funzionamento.

Io faccio cosi:
creo all inizio ua cartella dentro questa cartella ci metto vari file txt es.
accounts.txt
emails.txt
vari.txt

e, in base alle caratteristiche dei dati contenuti, li riempio seguendo una determinata formattazione, es. per il file accounts.txt

gruppo,url,email,username,password,note
es
shop,amazon.it,pippo@pluto.it,pippo,password123,ev enutali_note
forum,html.it,paperino@topolino,it,password456

alla fine comprimo il tutto dentro un unico file (.7z) protetto da una password (che in pratica sarebbe una sorta di master password).

ogni volta che devo leggere o inserire un nuovo recordo lo apro (non estraggo) e ci lavoro sopra.

questa mia soluzione, a parere mio, ha enormi vantaggi, tra cui:

1) client indipendente e quindi portabilitá al massimo: tutti gli OS (windows,linux,mac,android,etc) hanno programmi per gestire archivi ed editor di testo. non serve nessuna applicazione specifica
2) la dimenzione del file é piccolissima
3) affidabile sul lunghissimo periodo, non dipende dall' evoluzione da nessun software

Avrei un paio di domande per voi.

Notate qualche pecca o vulnerabilitá?
Quando apro in sola lettura l' archivio crittografato (protetto da password) sapete dove vengono salvati i dati temporanei e se vengono cancellati in modo sicuro una volta terminato il gestore degli archivi? (so che dipende da ambiente e ambiente, da programma a programma).

Grazie tante a tutti! ogni osservazione é ben accetta

[Spittie]

Mi ricorda molto pass http://www.zx2c4.com/projects/password-store/

Comunque si, secondo me l'unica cosa veramente problematica è se 7zip estrae l'archivio in una cartella temporanea, e poi non la cancella una volta chiuso.
In Windows mi sembra fosse %tmpdata% o qualcosa del genere.

Quote:

Originariamente inviato da Spittie

Mi ricorda molto pass http://www.zx2c4.com/projects/password-store/

Comunque si, secondo me l'unica cosa veramente problematica è se 7zip estrae l'archivio in una cartella temporanea, e poi non la cancella una volta chiuso.
In Windows mi sembra fosse %tmpdata% o qualcosa del genere.

grazie per la risposta!

io uso principalmente linux, insieme a windows ed android... e sinceramente non saprei dove andare a vedere i file temporanei...su linux, nella directory /tmp non cé niente

edit: in linux lho trovato e quando chiudo il txt aperto che si trova nell archivio criptato il file temporaneo viene cancellato...

[Jeremy01]

quindi è accertato che non restano tracce ne in windows ne in linux?

inoltre, come fai ad aggiungere dati alla lista senza estrarre il file?

Quote:

Originariamente inviato da Jeremy01

quindi è accertato che non restano tracce ne in windows ne in linux?

inoltre, come fai ad aggiungere dati alla lista senza estrarre il file?

yes, ho controllato e quando termino il gestore degli archivi i files temporanei vengono cancellati sia su win che su linux.

per aggiornare i file txt basta aprire, non estrarre, i files txt che sono dentro l archivio criptato protetto da password ed editarli, poi quando li chiudi e salvi le modifiche ti verra chiesto se aggiornare o meno anche l archivio criptato e tu dirai di si

[Jeremy01]

ottimo, grazie per il contributo

[Spadone75]

Mai provato LastPass ?
Si integra nei browser è funziona su tutti i sistemi
I dati sono conservati al sicuro in forma cifrata e prevede un ottimo compilatore di campi. Ne consegue che le tue password non verranno inserite in alcun sito fasullo (phishing) ed inoltre verranno inserite senza essere mostrate.
Nulla ti impedisce poi di creare una copia del tuo database password in formato txt o excel e tenerlo criptato su Computer o smartphone.

Lavorare sulle password come fai tu, in ogni caso espone a dei rischi in caso di keyloggers o screenloggers.

*Aggiungo che la protezione offerta da 7zip o qualsiasi archiviatore zip è inferiore a quella di specifici software di criptatura come Axcript.
Puoi eseguire il tuo paziente lavoro sulle password in formato txt criptandole efficacemente senza scomodare gli archivi zip.

Ciao

[Jeremy01]

Quote:

Originariamente inviato da Spadone75

Puoi eseguire il tuo paziente lavoro sulle password in formato txt criptandole efficacemente senza scomodare gli archivi zip.

intendi con Axcript?

[Spadone75]

si, Axcrypt o altro.

Trovo Axcrypt particolarmente comodo per la sua integrazione nel menù contestuale di windows (clicchi tasto destro sul file per poterlo criptare, aprire etc) e per la sua stabilità. In tanti anni mai un errore.

Pur adoperando programmi specifici per criptare i dati, in ogni caso il tuo sistema espone a più rischi rispetto alla soluzione offerta da Lastpass.

[Jeremy01]

ah ok, quindi questo potrebbe perfezionare ulteriormente il sistema proposto da stl (quindi usando uno di questi tool al posto di winrar o 7zip)

[Spadone75]

Migliora la robustezza della cifratura.

[marcos86]

Quote:

Originariamente inviato da Stl

Io faccio cosi:
creo all inizio ua cartella dentro questa cartella ci metto vari file txt es.
accounts.txt
emails.txt
vari.txt

e, in base alle caratteristiche dei dati contenuti, li riempio seguendo una determinata formattazione, es. per il file accounts.txt

gruppo,url,email,username,password,note
es
shop,amazon.it,pippo@pluto.it,pippo,password123,ev enutali_note
forum,html.it,paperino@topolino,it,password456

alla fine comprimo il tutto dentro un unico file (.7z) protetto da una password (che in pratica sarebbe una sorta di master password).

Sono in molti a fare così

Quote:

Originariamente inviato da Stl

1) client indipendente e quindi portabilitá al massimo: tutti gli OS (windows,linux,mac,android,etc) hanno programmi per gestire archivi ed editor di testo. non serve nessuna applicazione specifica

Si, ma non sai la sicurezza con cui vengono gestiti quei file.
E cmq anche keepass funziona in tutti i sistemi

Quote:

Originariamente inviato da Stl

2) la dimenzione del file é piccolissima

Vabbè, non sono 10 kilobyte in più a uccidere...

Quote:

Originariamente inviato da Stl

3) affidabile sul lunghissimo periodo, non dipende dall' evoluzione da nessun software

Essendo file in un archivio l'archivio potrebbe danneggiarsi.

Quote:

Originariamente inviato da Stl

Notate qualche pecca o vulnerabilitá?

Si.

1- 7-zip non è affidabile come protezione della password.
Se si usa il sistema "archivio" molto meglio usare winrar che ha una protezione da attacchi bruteforce enormemente superiore.

2- Come già consigliato per rendere la sicurezza dell'archivio ai livelli di keepass meglio usare software di criptazione. WInrar è meglio anche perché permette di inserire delle informazioni per il recupero dei file nel caso l'archivio si danneggiasse.

3- C'è sempre il pericolo dei file temporanei. Non parlo solo di estrazione, ma anche quando apri l'editor di testo i file sono in chiaro sul pc.

Comunque per un uso normale penso sia un sistema abbastanza rodato (anch'io a volte lo consiglio).
Se invece si vuole qualcosa di più specializzato e flessibile allora keepass resta una scelta migliore (è anche più ordinato da gestire).
Per dire, keepass può usare come password anche un file, che per alcuni versi può rivelarsi molto più comodo (niente password da ricordare)

[Spadone75]

Ciao Marcos86,

Secondo me ci sono alcune imprecisioni nelle tue affermazioni.

Ad esempio dici che 7Zip non è affidabile nella protezione delle password rispetto a WinRar. In base a cosa ?

Ad esempio 7Zip supporta cifratura AES a 256bit mentre WinRar AES 128bit....l'enorme differenza è a favore del primo.
Inoltre mentre 7Zip è opensource, WinRar è un software commerciale in versione Trial. A parte il costo da tenere in considerazione, per numerose ragioni, il più delle volte, i software opensource dovrebbero essere reputati più sicuri di quelli commerciali.
Inoltre basta cercare su google "rimuovere password Rar" per trovare Rar Password finder e centinaia di alternative per formati rar e zip.

Secondo me però la questione non è poi tanto il numero di bit del protocollo AES supportato, quanto la gestione dei dati. Spiegherò il perchè.
Si può montare la porta blindata più spessa e resistente al mondo, ma essa sarà inutile se i cardini e le pareti circostanti sono deboli.

Con il sistema empirico di salvare i dati in file txt cifrati in un archivio compressi, l'elenco delle password sarà in chiaro su un file txt nella memoria Ram ed inoltre ben visibile a video...

Da ciò scaturiscono due debolezze palesi e non risolvibili :

1) Qualsiasi keylogger, o software che può catturare screenshot o malware che può accedere alla clipboard o anche chiunque possa accedere da remoto al PC (si pensi ad esempio a come funziona Teamviewer) potrà carpire tutte le informazioni al momento in cui esse verranno decifrate per poter essere consultate, copiate ed incollate.

2) Essendo le informazioni necessariamente mostrate a video, potrebbero essere rubate da occhi o videocamere indiscrete. Ad esempio quando si è in compagnia di qualcuno o anche in un internet point.

Dicevo poi che il numero di bit della chiave di cifratura è importante ma non necessariamente l'unico aspetto indicativo della sicurezza.

Ad esempio Axcrypt che menzionavo nel mio post precedente offre protezione AES 128bit al pari di WinRar.
Tuttavia esso è molto più sicuro per altre ragione tra cui

1) l'implementare un contatore contro attacchi bruteforce (raggiunto un certo numero di tentativi falliti, i dati verranno cancellati o resi inaccessibili)
2)
Una gestione più sicura dei dati (impossibile trascriiverli involontariamente nel file di paging)
3)
L'implementazione di uno shredder che cancella in maniera sicura i dati aperti e visibili, appena essi vengono chiusi.
4) I file criptati che vengono aperti per essere letti, appena chiusi vengono automaticamente re-criptati senza necessità di digitare nuovamente la password.

Detto questo, mi ripeto nel dire che offre molta più protezione la gestione delle password tramite stumenti come keepass o Lastpass.

A mio modesto parare Lastpass ancora più sicuro rispetto a keepass in quanto libera dal dover conservare i propri dati sensibili su un Hard Disk o una pendrive. Le password sono accessibili da qualunque macchina e qualsiasi luogo connesso, protette sempre nella stessa maniera, a prova di keyloggers e senza alcun trasporto materiale di penne usb.
Inoltre, essendoci la possibilità di creare un file con le proprie password, nulla impedisce di salvare e aggiornare tale file periodicamente, tenendolo poi in luogo sicuro.

[marcos86]

Quote:

Originariamente inviato da Spadone75

Ad esempio dici che 7Zip non è affidabile nella protezione delle password rispetto a WinRar. In base a cosa ?

In base a come viene criptata la password.

Quote:

Originariamente inviato da Spadone75

Ad esempio 7Zip supporta cifratura AES a 256bit mentre WinRar AES 128bit....l'enorme differenza è a favore del primo.

Sbagliato.
7Zip userà anche un blocco maggiore, ma winrar usa uno schema di derivazione proprietario per criptarla.
Il decriptare tramite bruteforce una password wirar è un'operazione molto, molto più lunga di un attacco su un archivio 7zip.

Quote:

Originariamente inviato da Spadone75

Inoltre mentre 7Zip è opensource, WinRar è un software commerciale in versione Trial. A parte il costo da tenere in considerazione, per numerose ragioni, il più delle volte, i software opensource dovrebbero essere reputati più sicuri di quelli commerciali.

Non è detto e non vale sempre. Così come può essere l'opposto.
Per esempio recentemente sono sorti parecchi dubbi su truecrypt, il software open source più potente e usato in crittografia.

Quote:

Originariamente inviato da Spadone75

Inoltre basta cercare su google "rimuovere password Rar" per trovare Rar Password finder e centinaia di alternative per formati rar e zip.

Che tanto non funzionano...
La robustezza dell'archivio deriva dalla password, se si sceglie una buona password non c'è bruteforce che tenga, a meno che non ci sia di mezzo la nsa.

Quote:

Originariamente inviato da Spadone75

Con il sistema empirico di salvare i dati in file txt cifrati in un archivio compressi, l'elenco delle password sarà in chiaro su un file txt nella memoria Ram ed inoltre ben visibile a video...

Concordo

Quote:

Originariamente inviato da Spadone75

1) l'implementare un contatore contro attacchi bruteforce (raggiunto un certo numero di tentativi falliti, i dati verranno cancellati o resi inaccessibili)

Il che mi pare abbastanza inutile.
Basta fare una copia del file prima di procedere con l'attacco.
Ci sono programmi di bruteforce che permettono di riprendere l'attacco dalle ultime combinazioni, basta dargli più volte in pasto il file (per quanto possa essere scomodo)

Quote:

Originariamente inviato da Spadone75

Detto questo, mi ripeto nel dire che offre molta più protezione la gestione delle password tramite stumenti come keepass o Lastpass.

Concordo ancora.

Quote:

Originariamente inviato da Spadone75

A mio modesto parare Lastpass ancora più sicuro rispetto a keepass in quanto libera dal dover conservare i propri dati sensibili su un Hard Disk o una pendrive. Le password sono accessibili da qualunque macchina e qualsiasi luogo connesso, protette sempre nella stessa maniera, a prova di keyloggers e senza alcun trasporto materiale di penne usb.
Inoltre, essendoci la possibilità di creare un file con le proprie password, nulla impedisce di salvare e aggiornare tale file periodicamente, tenendolo poi in luogo sicuro.

Però con lastpass si demanda la propria sicurezza a una società terza.
Già una volta i server di lastpass sono stati violati (anche se mi pare gli account si fossero salvati, vado a memoria).

[Spadone75]

Grazie per le spiegazioni.
Poichè sono interessato ad approfondire, se ti è possibile potresti indicarmi le fonti/link su dove ti sei documentato sui blocchi e schemi di derivazione di winrar e 7zip ? Ho cercato qualche info sul sito di winrar ma senza successo. Grazie

Non intendo dire che i software opensource siano esenti da difetti o rischi nella loro gestione. Semplicemente un sistema aperto è generalmente più "aperto" anche riguardo i test e le correzioni.

nel 2011 Lastpass subì un attacco e poche password in forma cifrata furono rubata. Per il fatto che sono conservate e trasmesse in forma cifrata, non vi furono conseguenze. Tuttavia fu consigliato agli utenti di cambiare la password mentre la società pensava a risolvere alcune debolezze strutturali.

[marcos86]

http://www.tomshardware.com/reviews/...-gpu,2945.html

Tuttavia devo correggermi, cercando bene ho scoperto 2 cose

La prima è che winrar dalla nuova versione 5 ora supporta la crittografia a 256bit.
La seconda è che 7zip usa lo stesso sistema di winrar, ovvero schema proprietario e di conseguenza maggior resistenza agli attacchi bruteforce.

Quindi in realtà rar e 7zip sono comparabili quanto a sicurezza della password (ovviamente le password brevi e semplici si beccano subito lo stesso)

[Spadone75]

Ottimo.

Nuovamente grazie Marcos86

aggiungo quest'altro articolo in italiano che ripropone ciò di cui si parlava http://www.tomshw.it/cont/articolo/e...r/33035/8.html

[x_Master_x]

Prima di trovare una soluzione all'archiviazione sicura delle password ( a volte la cara vecchia carta e penna è la soluzione migliore ) bisognerebbe insegnare alle persone COME scegliere una password, c'è gente che fa cose del tipo:
1) Usare la stessa password per tutto, dall'email alla banca etc. trovata una trovate tutte
2) Usare password estremamente semplici, magari di sole lettere e brevi oppure tipo 123456 ( che risulta la più usata ed ho detto tutto... )
3) Usare domande segrete del tipo "Il nome di tua figlia" che anche un idiota alla prime armi riuscirebbe a scoprire ( esempio un giro su facebook? )

Si può usare l'algoritmo più sicuro al mondo ma per prima cosa è fondamentale la scelta e la differenziazione della password. Non servono cento caratteri, ne bastano 12 usando lettere minuscole/mauscole e numeri se si usa appunto un algortimo forte.

[Spadone75]

Spero mio padre non ti legga mai... Sto lottando con lui affinchè abbandoni carta e penna !!

Sicuramente è il sistema più comodo per conservare una copia delle proprie info importanti indipendentemente da elettricità, connessioni, pc etc etc.
Tuttavia è assolutamente poco sicuro e pratico in numerose altre situazioni, non ultima quella del semplice trasporto e consultazione.
E' consigliabile tenerlo fermo e solo in un posto sicuro, altrimenti è facile smarrire un bigliettino, dimenticarlo oppure lasciarlo incustodito abbastanza da fargli fare una foto e perdere tutte le proprie password...

La differenziazione delle password è importante come dici tu. Tuttavia è sempre più in contrasto con l'estremo aumentare di password da tenere a mente.
Non è nè facile nè "normale" chiedere ad una persona di ricordare in qualsiasi situazione una ventina di password.

Ecco che un software come Keepass o LastPass tornano utili. Infatti permettono anche la creazione di password sicure e la successiva gestione, liberando l'utente dal peso di ricordare tanti siti ed info di log-in.

Si dovrà poi creare e ricordare bene solo una masterpassword per poter accedere al proprio archivio. L'anello debole è proprio là....vi sono degli aiuti come una white list di apparecchi che vi possono accedere, un controllo a tempo sulla posizione degli accessi (tentativi di accesso sospetti vengono bloccati e notificati, invio di codici tramite sms, etc etc) tuttavia il rischio non è mai nullo.

Riguardo le domande di sicurezza per poter recuperare password e dati di accesso (sistema spesso adoperato per compiere truffe), basta semplicemente ricordarsi una risposta che non c'entra nulla con la domanda. Ad esempio scegliere un colore come propria risposta ad una qualsiasi domanda. Quale è il tuo cibo preferito ? Giallo Ocra.

Detto tutto ciò, credo che la discussione si stia un pò spostando rispetto alla domanda iniziale. Ovvero se si notano errori e punti di debolezza nel sistema pensato ed adoperato da Stl.
Si possono creare password da 64 caratteri e scegliere le domande di sicurezza più difficili, tuttavia se si conservano male le proprie informazioni, non serve a nulla.

[fabiobr]

salve.
ho l'esigenza di criptare cartelle nel mio google drive,e decriptarli nel gdrive del pc e del cellulare.ho Installato 7zip sul pc, e mi sono creato un'archivio criptato.
mi sono accorto che , i file txt che ho nella cartella compressa con 7zip, non vengono salvati dopo eventuale modifica.in poche parole decripto la cartella inserendo la mia passw e mi si aprono i miei file .txt contenuti all'interno.
se vado a modificare uno di questi .txt, dopo che chiede conferma di salvare e vado a chiuderlo, se lo riapro, non mi ritrovo la modifica salvata.
come si puo' ovviare?
grazie in anticipo