|
Gestione delle password
Sicurezza |
|
|
|
Per siti come la propria banca on line e paypal occorrono password di accesso sicure come quelle casuali e contemporaneamente comode da usare e facilmente ricordabili. Esiste più di un approccio a questa problematica, qui si illustrerà una soluzione.
L'approccio è di avere due livelli di protezione, uno molto sicuro con le password casuali diverse per ogni sito importante e uno debole con una unica pwd semplice per gli altri siti. Da ricordare sarà una sola password sicura e complicata che si userà ogni giorno.
In caso di disastro si dovranno ricordare la password complicata, quella semplice e un username.
Esistono software che permettono la creazione di parole segrete casuali (o pseudocasuali), permettono l'inserimento automatico sui form (spazio della pagina web in cui si scrive un testo) di login e password protetti da una super parola segreta (master password).
L'insieme delle parole segrete non deve essere assolutamente smarrito, per questo si possono eseguire due livelli di backup. Il primo è quello di crittare questi dati sensibili e di memorizzarli un un server on-line, questo lo si deve fare con un click appena al data base delle password è stato aggiunto un nuovo elemento. Il secondo livello di backup è un normale salvataggio in locale con crittazione sicura.
Prima di tutto questo occorre avere un sistema operativo e un comportamento come utenti, adeguato. Da evitare è il sistema operativo windows in tutti i suoi gusti, da evitare è scaricare ed eseguire software di dubbia provenienza. Poi avere i software aggiornati soprattutto quelli che usiamo per Internet. Non accedere ai propri account finanziari o importanti da computer altrui o ancora peggio da computer pubblici. Avere scelte di buon senso evitando l'accoppiata terribile Windows+Internet Explorer, almeno usare firefox.
Con Firefox uso i seguenti addon che sono o saranno molto presto disponibili anche per Google Chrome:
- Secure password generator: addon che permette la generazione casuale delle password
- Master password: funzionalità integrata in firefox che protegge tutte le password tramite una master password
- Master password time out: addon che limita la validità temporale della master password (va reinserita dopo un certo tempo per avere accesso alle parole segrete)
- Compilazione automatica dei form: funzionalità integrata in firefox che salva login+password e alle visite successive compila automaticamente i campi
- Xmarks: addon che critta il data base delle parole segrete che abbiamo in firefox e che memorizza il risultato in un server di xmarks
- Password exporter: addon che permette il salvataggio in locale (nel proprio hard disk) delle parole segrete
- GnuPG o altri: software che critti in modo sicuro le password
In questo modo. In firefox si apra preferenze, si vada in Sicurezza e si visti le opzioni Usa Master Password e Ricorda le Password, si svuoti la lista delle eccezioni alla memorizzazione delle parole segrete. Va inserita la Master password che deve essere abbastanza sicura e che è l'unica password da ricordare.
Adesso si visiti il sito più importante, il sito della propria banca on line o quello di paypal, si introducano i propri dati e premendo il bottone di login comparirà in alto una barra di firefox in cui ci viene chiesto se vogliamo memorizzare i dati di accesso. Rispondiamo di si. Agli accessi seguenti i campi di login saranno compilati automaticamente da firefox.
Cambiamo le password che avevamo usando l'addon Password generator e anche per i nuovi siti importanti usiamo le pwd di Password generator. Per i siti poco importanti come i forum usiamo una unica password facile da ricordare anche se non molto sicura. In tal modo abbiamo due livelli di protezione, uno molto sicuro con le password casuali diverse per ogni sito e uno debole con una unica pwd semplice.
Se vogliamo che firefox memorizzi le nuove password per un sito è necessario cancellare i dati di accesso vecchi per il sito in questione. Si aprano le preferenze di firefox e si vada nella sezione Sicurezza/password, si clicchi sul pulsante "Password salvate", quindi si cancelli la riga relativa al sito in questione.
Installiamo l'addon Xmarks che è uno strumento molto potente che consente di memorizzare i dati di accesso su un server remoto in modo crittografato, inoltre salva in chiaro i nostri bookmarks che l'azienda usa per fare statistiche che poi vende. È possibile anche usare un proprio server mediante Xmarks Byos ma la configurazione è più complicata. Non mi occuperò di quest'ultimo caso.
Per usare Xmarks occorre dare la coppia username+password che sarà usata per creare un account sul server di xmarks, per la coppia si usi la password semplice che si usa per i forum. In più serve la parola segreta (chiamata PIN) per crittare il data base di firefox, il risultato sarà inviato ai server remoti di xmarks. Si usi come PIN la Master password perché è una pwd sicura.
Si dica all'addon Xmarks di fare il sync (memorizzare sul server) anche dei dati di accesso ai siti oltre che dei bookmarks, quindi si esegua una sincronizzazione (memorizzazione), saranno salvati i segnalibri e le login sul server di xmarks. Dalla mia esperienza è meglio non eseguire la sincronizzazione automatica ma quella manuale quando se ne ha la necessità.
Adesso installiamo Password exporter che crea un tasto nelle preferenze di firefox (sezione Sicurezza/Password) che permette il salvataggio in locale delle proprie parole segrete. Il file in chiaro va crittografato con un programma sicuro come ad esempio GnuPG (che però è complicato da usare) o con un programma consigliato dagli esperti, obbligatoriamente open source. Come password per generare il crittogramma si usi la Master Password.
In alternativa si può accedere alla cartella dove sono memorizzate i dati di accesso di Firefox e salvarla in una altra posizione dell'HD o meglio in una chiavetta esterna. Cercando in Internet si trova la posizione dove FF memorizza le login sul nostro HD.
Disaster Recovery
Con disaster recovery si intende quello che si può fare dopo un problema o un disastro. Immaginiamo diversi scenari.
- Il data base degli accessi di Firefox è rovinato
- L'hard disk del nostro pc si rompe
- Perdiamo il nostro pc
- Il server di Xmarks perde i nostri dati
- Perdiamo il nostro pc e contemporaneamente Xmarks perde i nostri dati
Nel caso 1 si può aprire l'addon Xmarks ed eseguire un download dei dati che abbiamo sul server.
Nei casi 2,3 si può reinstallare Firefox e gli addon elencati in questo testo, nell'addon xmarks si inseriscono i dati dell'account quali login e password (quella facile per accedere al server) e il PIN (uguale alla Master password) per decrittare il data base degli accessi. Quindi si opera come nel caso 1.
Nel caso 4 basta fare un sync o un upload (sono due funzionalità distinte di cui non ho compreso la differenza comunque meglio un upload). Nel caso 5 possiamo solo salvarci se abbiamo i dati memorizzati in una chiavetta esterna e ovviamente avremmo perso i dati non ancora salvati.
Esiste un problema ulteriore nel caso 1 se non ci accorgiamo che i dati degli account che firefox ha memorizzato, sono corrotti. Se eseguiamo un sync manuale corrompiamo anche i dati che sono sul server di xmarks. Per i bookmarks xmarks tiene una history, praticamente è possibile ripristinare i segnalibri che si avevano in una certa data in cui si è eseguito il sync, per gli account questa possibilità non c'è ancora.
Si noti che le informazioni essenziali per questo disaster recovery sono l'intera procedura, la Master password e i dati dell'account di Xmarks.
Note
Esiste un metodo alternativo che fa tutto questo in modo molto più semplice e si basa sugli algoritmi di hash che coinvolgono una password e l'URL del sito e che restituiscono un unica stringa che viene inserita come password nei form.
Questo metodo ha dei punti deboli che non ho gradito come ad esempio il fatto di non avere disponibili le pwd da inserire nei siti, di essere dipendente da un algoritmo di hash che potrebbe non essere più disponibile per le versioni future di firefox o per altri browser, di non dare la password giusta se il sito cambia il nome a dominio.
Trovo sia più sicuro avere le password da qualche parte che non averle e basarsi su un algoritmo che funziona solo su firefox versione x.x per averle.
Il metodo descritto in questo articolo è più complicato ma anche più "usuale" e ha un unico punto discutibile e cioè basarsi su codice proprietario (l'addon Xmarks) per crittografare e salvare i dati sensibili sui loro server. Una soluzione parziale è quella di fare uso di Byos per il salvataggio dei dati in un proprio server ma comunque rimane il problema del codice chiuso e non Open Source.
Per il futuro è in cantiere la soluzione open source e free software Mozilla wave che permetterà il backup di tutti i dati importanti di Firefox sulle nuvole (server Mozilla). Per adesso wave implementa il sync (sincronizzazione) dei dati tra diverse implementazioni del browser Mozilla (per esempio Firefox sul pc fisso, su quello portatile e Fennec sullo smartphone), non è al momento pienamente implementata la funzione di backup, spero lo sarà in futuro.
Nota su Firefox e sulla non memorizzazione delle password
Firefox in alcuni casi non memorizza e non compila automaticamente i form, questo succede ad esempio per il sito di Paypal. Il motivo è che esiste la possibilità per i siti che lo vogliono di comunicare a Firefox di non memorizzare/compilare i form mediante il flag autocomplete posto a Off. Vediamo come fare un override di questa impostazione.
Nel caso di Linux si seguano le istruzioni seguenti. Per gli altri sistemi operativi si veda questa guida.
Se siamo sicuri di operare in sicurezza e quindi vogliamo superare questa impostazione del sito è sufficiente modificare un valore nel file:
/usr/lib/xulrunner-1.9.x.x/components/nsLoginManager.jsdove il file xulrunner deve essere quello relativo al firefox che si vuole aggiornare (ad esempio io ho due xulrunner, uno relativo a FF 3.0.x e uno a FF 3.5.x, ovviamente quest'ultimo è associato al xulrunner più recente).
Si vada nella sezione del file che contiene il tag _isAutoCompleteDisabled e si modifichi
_isAutocompleteDisabled : function (element) {in
if (element && element.hasAttribute("autocomplete") &&
element.getAttribute("autocomplete").toLowerCase() == "off")
return true;
return false;
},
_isAutocompleteDisabled : function (element) {In pratica il primo "return true" va modificato in "return false", in tal modo anche se l'opzione autocomplete è posta a off dal sito _isAutocompleteDisabled è false. Sfortunatamente questo file che abbiamo modificato verrà inesorabilmente sovrascritto al prossimo aggiornamento di Firefox e quindi sarà necessaria una nuova modifica.
if (element && element.hasAttribute("autocomplete") &&
element.getAttribute("autocomplete").toLowerCase() == "off")
return false;
return false;
},
| Sandro kensan |
Data: 20 dic 2009 Letture di questo articolo: 889 |
Firefox è stato scaricato 1 miliardi 312 milioni 797 mila 758 volte.
IL TUO 5 PER MILLE PER GLI OSPEDALI DI EMERGENCY codice fiscale:
971 471 101 55
lo scorso anno i fondi sono stati usati così
WANTED
Ricercato dall'Interpol, Reato: pedofilia, Residenza: Italia o Francia, parla perfettamente l'italiano, Nome: Christopher Ward DEININGER.
Scheda Interpol
(Il link all'argomento porta alla descrizione sommaria di tutti gli articoli aventi lo stesso tema)
argomento: Firefox, articoli: Firefox in dialetto (veneto, lombardo, friulano), Guerra dei browser (IE vs FF), Firefox logo
argomento: Progetti Liberi, articoli: Blender, Software libero (Conferenza di Kerala), Linux e i Negozianti, Linux nel comune di Pescara, Pc con Dragon chip, Lettori MP3/Ogg per Linux, Flattr
argomento: GnuPG, articoli: Chiave Pubblica (di Sandro kensan), Palladium, Anonymous Remailer (GnuPG e la posta elettronica)
Commenti sperimentali
by kensan & Mp |
|
I miei testi sono sotto la Licenza "Creative Commons 2.0 Italia": se sei interessato a pubblicare i miei articoli leggi le note aggiuntive. Questo sito usa Google AdSense come sistema pubblicitario e memorizza sul tuo pc uno o più cookie, leggi l'informativa sulla privacy che ti riguarda. |
Kensan geek
site |