Home > vita da jester, web 20 > Tre dubbi su Passpack

Tre dubbi su Passpack

Passpack è un gestore di password che permette di loggarsi facilmente (al limite con un solo click) in una marea di siti. Esistono diversi oggetti che fanno questo lavoro (sxipper, roboform per dire), ma Passpack ha la caratteristica di essere online.

Ci si registra, si assegnano le password ai siti e, visto che per accedere ai vari login bisogna essere online, perché non tenere online anche il repository delle password? Fin qui, tutto bene. Mi piace anche il sistema di protezione del forziere delle password con doppia chiave (tipo cassetta di sicurezza) e comunque sui siti davvero delicati (tipo la banca) si può sempre fare il login a mano.

Ci sono due o tre dubbi che mi rimangono. Prima di dirveli, però, ci vuole una premessa.

I siti che richiedono un login sono una marea ormai e le password di conseguenza sono altrettante. La cosa ideale da fare sarebbe scegliere una password diversa per ciascuno e possibilmente lunga e complessa. Si dice, al contrario, che molti utenti scelgano password facili, corte e sempre le stesse (nomi di cani, di mogli, di figli, date di nascita, parolacce) tutte rigorosamente solo minuscole o solo numeri.

Io non arrivando a questo punto ho adottato nel tempo una strategia intermedia. Ho un numero limitato di password diverse fra loro e con diverse variazioni di spelling che alterno e associo ai siti secondo la delicatezza dei contenuti che devono proteggere.

Le password in sé sono abbastanza complesse, ma il fatto di essere alla fine non più di una dozzina (variazioni comprese), mi espongono al rischio “scoperta una, scoperte tutte”.

Per questo vorrei avvicinarmi, il più possibile all’ideale: password randomiche, diverse per ciascun sito, complesse e gestite centralmente da un terzo (non da me).

Descritta la situazione di partenza e indicato l’obiettivo, veniamo ai dubbi su Passpack.

L’utilizzo pratico di Passpack è, comprensibilmente, browser centrico. Per poterlo usare facilmente bisogna installare un “bottone” sul browser, cliccando sul quale si effettua il login sul sito sul quale ci si è posizionati. Comodo, quando sei sul tuo / sui tuoi computer, ma se sei a spasso, magari su computer pubblico? Che fai? Ci monti passpack sopra? In fondo il bello dei servizi web è proprio il poterli utilizzare ovunque ci sia una connessione a internet. Il problema, badate, non si risolve effettuando il login “a mano”, perché lo scopo del tutto non sarebbe “evitare di digitare”, ma avere password complesse, diverse e randomiche, ergo irricordabili e praticamente ignote anche a me che ne sarei titolare legittimo.

Il secondo dubbio è affine al primo e sempre legato al browser-centrismo. Sul Blackberry utilizzo, con soddisfazione, molti servizi online mediante le rispettive applicazioni mobile che eseguono l’accesso mediante le stesse credenziali immesse nel browser. Anche qui, per usarle dovrei conoscerle, ricordarmele e, cosa non da poco, essere in grado di digitarle facilmente con la tastiera del telefono, che è Qwerty quanto vuoi, ma non è una vera e propria tastiera.

L’ultimo dubbio riguarda la convenienza o meno di tenere online l’arcone contenente le password, non tanto per discorsi di sicurezza o protezione da accessi indesiderati che richiedono comunque un atto di fede, quanto per il fatto che un domani Passpack potrebbe non esserci più. Un atteggiamento un po’ più razionale e una sana strategia di back-up probabilmente farebbero bene, nondimeno la cosa non mi tranquillizza.

Ho scritto a Passpack questi miei dubbi, vediamo che dicono…

Annunci
  1. 19 febbraio 2011 alle 05:45

    Non abbiamo ancora ricevuto nessun messaggio da parte tua ma il mio reader è stato più veloce del vento ed ecco le risposte per te:

    1. Puoi usare delle disposable logins. Le trovi nei settings di sicurezza. Nel piano Free ne puoi generare solo tre per volta, ma valgono per un mese.

    2. Passpack ha una versione mobile che gira su Safari (iphone, ipod), Android, Opera Mini (iphone, android, symbian) ed altri browser web. Su Blackberry credo dipenda dal terminale, quindi non so dirti se sul tuo funziona. Ti faccio una anticipazione, a breve introdurremo una nuova tecnologia che renderà l’accesso da mobile velocissima 🙂

    3. Mai tenere tutto da una parte. Pertanto ti conviene installarti Passpack Desktop e farti un backup di sicurezza offline. Se proprio vuoi essere super sicuro puoi per esempio installarti sul pc Keypass. Poi esporti le password da Passpack Desktop e le importi in Keepass.

    Spero di everti chiarito i dubbi. Ma non ti fare scrupolo a chiedermi altro.
    Grazie dell’articolo. Ciao,
    Francesco

    • 19 febbraio 2011 alle 23:46

      Grazie Francesco.
      Siete tentacolari… 🙂

      E avete trovato un utente.

      Ciao
      J

  2. one
    20 febbraio 2011 alle 13:05

    Premessa: l’anno scorso ho testato quasi tutti i tools per gestione di password esistenti (non per lavoro ma per l tuo stesso motivo).
    Criteri di scelta:
    (1) NON ONLINE per questo Passpack era escluso. (poi ti spiego perche” il non online)
    (2) Multi platform: sicuramente linux & windows (per motivi ovvi per me) e possibilmente “mobile devices”
    (3) Esistenza di versione portabile: da far partire da stick senza dover installare nulla da un qualsiasi PC.
    (4) Possibilità’ di sync (vero) tra più’ “sorgenti”
    (5) Easy-to-use e possibilmente con key combination per inserire user/password o entrambi.
    (6) Mostrare i dati sensibili sullo schermo SOLO su richiesta (senno’ pallocchetti), e possibilità’ di decidere quali sono i dati sensibili (password, pin di bancomat etc)

    Lo so chiedo molto. In realtà’ molti tool fanno molte di queste cose, praticamente nessuno (tranne uno :-)) le fa tutte.

    Intanto perche” non online? Semplicemente perche’ …
    tu daresti in affido ad una persona che incontri per strada (mai vista e mai conosciuta) le tue chiavi di casa, le tue chiavi della moto, il tuoi conti di accesso in banca, i tuoi pin della carta di credito etc etc etc …?? credo di no.

    A me non preoccupa come tu utente accedi alle tue password. A me preoccupa che le tue password sono salvate su un server da qualche parte del mondo. Chi ha accesso ai dati di questo server non lo so. Che sistemi di sicurezza ci sono su questo server (computer center o quel che vuoi) non lo so, quanto facilmente puo” essere hackerato questo server non lo so … indi, certo, tutto on-the-cloud e’ cool, molto “in” e comodo MA soprattutto per dati sensibili come password non lo userei nemmeno con una pistola alla tempia.

    Adesso rapidamente le mie soluzioni:
    La mia scelta e’ caduta su Keepass: semplicemente GENIALE. TUTTE le mie necessita’ sono soddisfatte.
    In seconda posizione c”e” eWallet. Un mio collega ci metterebbe la mano sul fuoco.
    Il mio commento e”: piu’ carino perche’ ha piu’ possibilita’ di configurare diverse entry out-of-the-box (se salvi una password di login hai bisogno di altri campi rispetto al pin della carta di credito), pero” non e’ linux compatibile e mi sa, se non ricordo male, non ha una versione portabile

    • 23 febbraio 2011 alle 08:18

      One, capisco il tuo punto. Vorrei però che considerassi che siamo online dal 2006 e in 4 anni abbiamo subito decine di attacchi senza che ne sia venuto fuori niente. Prendi che il tuo pc si rompa e finisca in mano a un riparatore, questo potrebbe appropriarsi del tuo database Keepass e con tutta la calma del mondo fare un attacco di forza bruta. Questo perché la sicurezza di un sistema è la sicurezza nel complesso. Noi, su questo aspetto ci giochiamo le credibilità e, se permetti, stiamo molto attenti a non perderla. Del resto Passpack è host-proof hosting per cui un eventuale attaccante dovrebbe fare un code inject e sperare di beccare qualcosa prima che noi ce ne accorgiamo, avrebbe forse un minuto se proprio gli va bene. Keepass è un grande prodotto, ma se per caso ti perdi i dati, come fai? Con Passpack i dati li puoi tenere online, backupparli offline con la versione Desktop, usarli su mobile e via dicendo. E, soprattutto, li puoi condividere. Insomma, qualche vantaggio lo offre. Di contro ti devi fidare e su questo non ci posso fare niente, perché non dipende da me 🙂
      Ti dirò che io uso principalmente Passpack, Keepass in qualche caso e Firefox (via master password) in qualche altro. Insomma, come si dice: mai mettere il tesoro tutto da una parte 🙂

      • 23 febbraio 2011 alle 10:03

        Occhio Francesco… Che One è un osso duro.
        🙂

        J

        PS: comunque io sono d’accordo con te. (E lei lo sa).

      • Catia
        25 febbraio 2011 alle 15:06

        bada, non prendere la “mancanza di fiducia” come una cosa puntuale al caso specifico di passpack e dei sistemi che dietro ci sono, si tratta di una questione molto piu’ globale di tutto il cloud computing soprattutto quando si trattano dati sensibili (e le password lo sono).
        Come in tutte le cose uno si deve mettere una mano sulla coscienza e chiedersi se si fida o no. Se uno si fida, buon per lui e come gia’ ho postato quanto a comodita’ passpack e’ sicuramente comodo. Resto pero’ del mio parere: con tutto il rispetto del mondo … non mi fido (non vi conosco, non ho miai fatto un giro nel vostro computer center, non so come e’ certificato in ISO il vostro computer center, ne dove e’ “hosted” (in termini di sicurezza: intesa come sicurezza “interna” (rights), esterna (intrusion), desaster prevention etc) insomma … magari siete la compagnia piu’ sicura del mondo, io da “stupido utente” non posso esserne sicura e IO (e sottolineo IO) mi spiace ma non vi affido i miei dati sensibili.
        Quanto a cio’ che dici “Con Passpack i dati li puoi tenere online, backupparli offline con la versione Desktop, usarli su mobile e via dicendo. E, soprattutto, li puoi condividere.” nel momento in cui faccio un backup ho esattamente la stessa situazione di keepass: ho un file su un qualche disco locale con tutti i pro e i contro (chiaro se qualcuno ha accesso al file puo’ con calma fare un brute force attack). Una versione locale si puo’ backuppare in un milione di modi (ridondanza).
        Condividere .. beh sinceramente non vedo perche’ dovrei condiviere le mie pasword, e se dovesi volerlo potrei condividere anche un file (o parte di esso dato che posso esportare anche solo parti di esso) con keepass. Le versioni mobile le ha anche keepass, e non ha bisogno di essere online.

  3. Barnaba
    21 febbraio 2011 alle 13:25

    io per 9 dollari ho acquistato roboform(portabile).
    A suo tempo (2005) keepass non mi aveva soddisfatto perchè non gestiva i form, ma solo le password. E’ migliorato a proposito?
    Inoltre lo trovo comodo perchè gestisce anche le applicazioni, le password per i proxy.
    Magari è un po’ americano centrico e gestiche malino la provinica, ma il grosso lo fa.
    E portabile.
    e’ multipiattaforma.
    Non esco dalla mia bella cuccia calda di conoscenze.
    Per non uscire spendo 9 dollori, ma me ne fotto.
    In alternativa c’era lastpass.
    Avevo usato scarabay per molto tempo poi il tipo lo ha fatto diventare a pagamento e pagamento per pagamento ho preferito roboform

  4. 25 febbraio 2011 alle 19:47

    Catia :

    Condividere .. beh sinceramente non vedo perche’ dovrei condiviere le mie pasword, e se dovesi volerlo potrei condividere anche un file (o parte di esso dato che posso esportare anche solo parti di esso) con keepass. Le versioni mobile le ha anche keepass, e non ha bisogno di essere online.

    Capisco che tu da singola non abbia bisogno di condividere le tue password. Ma lo sharing è pensato per piccole aziende, come le agenzie di web design, che per ogni sito che realizzano hanno decine di password da condividere col cliente e via dicendo. Insomma, è una cosa che ha senso.

    In passato avevamo proposto alla comunità Keepass di creare un plugin per Keepass compatibile con Passpack, ma ci hanno risposto picche. Nel prossimo futuro, se risolvo tutti i problemi di sicurezza che implicano, rilasceremo delle API e spero che qualcuno ci rifaccia un pensierino su.
    Grazie del parere spassionato, che aiuta sempre.

  1. No trackbacks yet.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: