ℒa sicurezza delle password per accedere ai siti
come le banche on-line con il
browser Firefox non è impossibile. Questo testo descrive l'uso di
parole segrete super sicure da usare in modo comodo per accedere ai propri
siti importanti come quelli finanziari.
Quello che viene richiesto all'utente è di ricordare una unica password complessa che servirà per gestire tutte le altre password.
In caso di disastro come il proprio PC che va in fumo viene richiesto di ricordare poco di più che la password complessa di cui sopra.
Esistono software che permettono la creazione di parole segrete casuali (o pseudocasuali), consentono l'inserimento automatico sui form (spazio della pagina web in cui si scrive un testo) di user name e password protetti da una super parola segreta (master password).
L'insieme delle parole segrete non deve essere assolutamente smarrito ma non è necessario ricordarle a memoria, l'unica password da ricordare quotidianamente è la Master password. Per l'insieme delle parole segrete si possono eseguire due livelli di backup.
Primo livello di back up
I dati di login e le password che Firefox inserisce automaticamente nei siti vanno salvati in modo sicuro. È importante che tali dati non siano in chiaro ma siano crittografati in modo che chiunque li legga non sia in grado di sapere le nostre password.
Il primo livello di back up è quindi quello di criptare questi dati sensibili e di memorizzarli automaticamente in un server on-line, questo viene fatto da Firefox mediante la funzione integrata Sync.
Secondo livello di back up
Il secondo livello di backup è un normale salvataggio in locale (chiavetta usb, CD, HD secondario, ecc.) con criptazione sicura eseguita tramite un normale programma di crittografia simmetrica come gpg o altri equivalenti.
Norme di sicurezza
Prima di tutto questo occorre avere un sistema operativo e un comportamento come utenti, adeguato. Da evitare è il sistema operativo windows in tutti i suoi gusti in particolare di XP, da evitare è scaricare ed eseguire software di dubbia provenienza. Poi avere i software aggiornati soprattutto quelli che usiamo per Internet. Non accedere ai propri account finanziari o importanti da computer altrui o ancora peggio da computer pubblici. Avere scelte di buon senso evitando l'accoppiata terribile Windows+Internet Explorer, almeno usare firefox.
Software
Con Firefox uso i seguenti addon o funzioni integrate che sono o saranno molto presto disponibili anche per Google Chrome:
Si usi il generatore di password casuali e se ne generi una per un proprio sito importante, per esempio la propria banca on-line. Si generi una pwd (password) di 8-12 caratteri di lunghezza e la si faccia diventare la nuova parola segreta per accedere alla nostra banca modificando le impostazioni all'interno del sito della banca.
In Firefox si aprano le preferenze, si vada in Sicurezza e si visti le opzioni Usa Master Password e Ricorda le Password.
Si svuoti la lista delle eccezioni alla memorizzazione delle parole segrete.
In tal modo vedremo che nei prossimi passi che descriverò Firefox ci chiederà se vogliamo o meno memorizzare l'user name e la password inseriti nei siti.
Va inserita la Master password che deve essere abbastanza sicura e che è l'unica password da ricordare.
Si noti che la Master password permette di ottenere da parte di chiunque tutti i dati di login e le password compresa quella della banca, quindi è da non perdere e da non fare conoscere a nessuno. Se si perde la Master password si perdono tutte le password in modo irrimediabile.
Adesso si visiti il sito della propria banca on line, si introducano i dati di accesso (user name e parola segreta) e premendo il bottone di accesso comparirà in alto una segnalazione di Firefox in cui ci viene chiesto se vogliamo memorizzare i dati di accesso al sito. Rispondiamo di SI. In tal modo agli accessi seguenti i campi di login saranno compilati automaticamente da Firefox.
Doppio livello di sicurezza
Per tutti i siti importanti come la nostra banca on line usiamo l'addon che genera password casuali e impostiamo queste password, cambiando quelle vecchie e poco sicure. Usiamo password diverse e casuali per ogni sito finanziario/importante.
Per i siti poco importanti come i forum usiamo una unica password facile da ricordare anche se non molto sicura.
In tal modo abbiamo due livelli di protezione, uno molto sicuro con le password casuali diverse per ogni sito e uno debole con una unica pwd semplice.
Se vogliamo che Firefox memorizzi le nuove password per un sito è necessario come detto in precedenza che sia svuotata la lista delle eccezioni alla memorizzazione delle parole segrete.
Inoltre quando si inseriscono l'user name e la nuova password e si preme il pulsante per entrare nel sito, occorre fare attenzione alla barra superiore di Firefox che pone la domanda se si vuole cambiare i dati di login, si risponda Cambia o Change, in modo da fare sapere al browser che vogliamo cambiare i dati che ha memorizzato.
Per i nuovi siti di cui vogliamo memorizzare il nome utente e la parola segreta, Firefox ci chiederà se vogliamo memorizzare questi dati, ovviamente rispondiamo di Si.
Firefox Sync (primo livello di back up)
Sync di Mozilla è uno strumento integrato in Firefox molto potente che consente di memorizzare i dati di accesso su un server remoto gestito da Mozilla in modo crittografato, inoltre se vogliamo salva anche molti altri dati come i nostri bookmarks. È possibile anche usare un proprio server ma la configurazione è più complicata. Non mi occuperò di quest'ultimo caso.
Per usare Sync occorre dare la coppia user name + password che sarà usata per creare un account sul server di Mozilla. I dati memorizzati sul server remoto non sono dati sensibili in quanto sono crittografati e perciò inutilizzabili da qualsiasi cracker o dagli americani che vogliano avere le nostre password.
Per la coppia user name + password si usi la password semplice che si usa per i forum, questo per semplificare la gestione del sistema.
In più serve la parola segreta per criptare l'insieme delle password e degli user name che Firefox ha memorizzato sul nostro pc e che ci serve per accedere a tutti i nostri siti, sia quelli importanti che i forum. Quest'ultima parola segreta è molto importante e deve essere ben conservata, se la perdessimo non avremmo più modo di decrittare i dati sul server di Mozilla.
Riassumendo abbiamo da ricordarci tre password (pwd dei forum/pwd dell'account di Sync, master pwd e Sync key o Recovery key) e un user name dell'account di sync che è l'email che si è usato per iscriversi al servizio di Mozilla.
Password exporter (secondo livello di back up)
Adesso installiamo l'addon di Firefox Password exporter che crea un tasto nelle preferenze di Firefox (sezione Sicurezza/Password) che permette il salvataggio in locale (nel proprio hard disk) delle proprie parole segrete.
Il file in chiaro va crittografato con un programma sicuro come ad esempio GnuPG (che però è complicato da usare: gpg -c nomedelfiledacrittografare) o con un programma consigliato dagli esperti, obbligatoriamente open source. Come password per generare il crittogramma si usi la Master Password perché c'è bisogno di una password sicura. Traferire poi il file cifrato in una chiavetta usb o in un CD o in un separato HD.
In alternativa si può accedere alla cartella dove sono memorizzate i dati di accesso di Firefox e salvarla in una altra posizione dell'HD o meglio in una chiavetta esterna. Cercando in Internet si trova la posizione dove Firefox memorizza le login sul nostro HD.
Master password
Come abbiamo visto la master password deve essere sicura per cui si danno alcuni consigli su come crearla. Avrete certamente una lunga frase che vi ricordate, supponiamo che vi sia rimasta impressa la frase "Vodafone Life is now", prendiamo anche una seconda frase "Un diamante è per sempre", prendiamo le iniziali che danno "vlinudeps".
vlinudeps è già una buona master password che però può essere migliorata inserendo un numero che vi ricordate facilmente solo voi, supponiamo sia 628 che inseriremo tra le due frasi famose: vlin628udeps.
L'ultima parola segreta è abbastanza buona per costituire la nostra Master password. ovviamente non usate mai questa parola ma usate solo il metodo. Ancora meglio se usate frasi che non sono di dominio pubblico, per esempio una frase che vostra madre vi dice spesso tipo "copriti con la sciarpa perché fa freddo".
Se non ho sbagliato i calcoli una password del genere (vlin628udeps) è una tra le 7·1015 possibili e che con un attacco forza bruta, cioè provando tutte le possibili combinazioni, richiede molti pc e molti anni per essere trovata.
Disaster Recovery
Con disaster recovery si intende quello che si può fare dopo un problema o un disastro. Immaginiamo diversi scenari.
Nel caso 1 si può aprire Sync ed eseguire un download dei dati che abbiamo sul server Mozilla.
Nei casi 2, 3 si può reinstallare Firefox, in Sync si inseriscono i dati dell'account quali login (email) e password (quella facile per accedere al server che coincide con la parola segreta dei forum) e la Sync key (che abbiamo salvato in un posto sicuro) per decrittare il data base degli accessi. Quindi si opera come nel caso 1.
Nel caso 4 basta fare un upload dei dati del nostro pc sul server Mozilla (Reset sync).
Nel caso 5 possiamo solo salvarci se abbiamo i dati memorizzati in una chiavetta esterna e ovviamente avremmo perso i dati non ancora salvati.
Esiste un problema ulteriore nel caso 1 se non ci accorgiamo che le password che firefox ha memorizzato, sono corrotti. Se eseguiamo un sync corrompiamo anche i dati che sono sul server di Mozilla. Penso però che ci sia un controllo di inegrità dei dati prima di spedirli nel server di Mozilla in modo crittografato.
Si noti che le informazioni essenziali per questo disaster recovery sono l'intera procedura, la Master password e i dati dell'account di Sync (user name (email) e password facile uguale a quella usata nei forum) oltre alla Sync key che è memorizzata da Password exporter in un file crittografato da Gpg con chiave uguale alla Master password:
$gpg -c password-export-2011-03-13.xml.gpg).
Metodi alternativi
Esiste un metodo alternativo che fa tutto questo in modo molto più semplice e si basa sugli algoritmi di hash che coinvolgono una password e l'URL del sito e che restituiscono un unica stringa che viene inserita come password nei form.
Questo metodo ha dei punti deboli che non ho gradito come ad esempio il fatto di non avere disponibili le pwd da inserire nei siti, di essere dipendente da un algoritmo di hash che potrebbe non essere più disponibile per le versioni future di Firefox o di altri browser, di non dare la password giusta se il sito cambia il nome a dominio.
Trovo sia più sicuro avere le password da qualche parte che non averle e basarsi su un algoritmo che funziona solo su Firefox fino a una certa versione.
Il metodo descritto in questo articolo è più complicato ma anche più "usuale".
Nota su Firefox e sulla non memorizzazione delle password
Firefox in alcuni casi non memorizza e non compila automaticamente i form, questo succede ad esempio per il sito di Paypal e in quello di alcune banche. Il motivo è che esiste la possibilità per i siti che lo vogliono di comunicare a Firefox di non memorizzare/compilare i form mediante il flag autocomplete posto a Off. Vediamo come fare un override di questa impostazione.
Nel caso di Linux si seguano le istruzioni seguenti. Per gli altri sistemi operativi si veda questa guida.
Se siamo sicuri di operare in sicurezza e quindi vogliamo superare questa impostazione del sito è sufficiente modificare un valore nel file:
Si vada nella sezione del file che contiene il tag _isAutoCompleteDisabled e si modifichi
Nota:
prima stesura di questo articolo: 20 dic 2009
riscrittura completa di questo articolo: 14 mar 2011
Quello che viene richiesto all'utente è di ricordare una unica password complessa che servirà per gestire tutte le altre password.
In caso di disastro come il proprio PC che va in fumo viene richiesto di ricordare poco di più che la password complessa di cui sopra.
Esistono software che permettono la creazione di parole segrete casuali (o pseudocasuali), consentono l'inserimento automatico sui form (spazio della pagina web in cui si scrive un testo) di user name e password protetti da una super parola segreta (master password).
L'insieme delle parole segrete non deve essere assolutamente smarrito ma non è necessario ricordarle a memoria, l'unica password da ricordare quotidianamente è la Master password. Per l'insieme delle parole segrete si possono eseguire due livelli di backup.
Primo livello di back up
I dati di login e le password che Firefox inserisce automaticamente nei siti vanno salvati in modo sicuro. È importante che tali dati non siano in chiaro ma siano crittografati in modo che chiunque li legga non sia in grado di sapere le nostre password.
Il primo livello di back up è quindi quello di criptare questi dati sensibili e di memorizzarli automaticamente in un server on-line, questo viene fatto da Firefox mediante la funzione integrata Sync.
Secondo livello di back up
Il secondo livello di backup è un normale salvataggio in locale (chiavetta usb, CD, HD secondario, ecc.) con criptazione sicura eseguita tramite un normale programma di crittografia simmetrica come gpg o altri equivalenti.
Norme di sicurezza
Prima di tutto questo occorre avere un sistema operativo e un comportamento come utenti, adeguato. Da evitare è il sistema operativo windows in tutti i suoi gusti in particolare di XP, da evitare è scaricare ed eseguire software di dubbia provenienza. Poi avere i software aggiornati soprattutto quelli che usiamo per Internet. Non accedere ai propri account finanziari o importanti da computer altrui o ancora peggio da computer pubblici. Avere scelte di buon senso evitando l'accoppiata terribile Windows+Internet Explorer, almeno usare firefox.
Software
Con Firefox uso i seguenti addon o funzioni integrate che sono o saranno molto presto disponibili anche per Google Chrome:
- Secure password generator, Pwgen: addon che permette la generazione casuale delle password
- Master password: funzionalità integrata in Firefox che protegge tutte le password tramite una master password
- Compilazione automatica dei form: funzionalità integrata in Firefox che salva user name + password e alle visite successive compila automaticamente i campi
- Sync:
funzione di Firefox che cripta il data base delle parole segrete che
abbiamo in firefox e che memorizza il risultato nel server di Mozilla
- Password exporter: addon che permette il salvataggio in locale (nel proprio hard disk) delle parole segrete in modo da fare un ulteriore backup
- GnuPG o altri: software che cripti in modo sicuro le password e gli user name tramite algoritmi simmetrici quali il 3DES o l'AES.
Si usi il generatore di password casuali e se ne generi una per un proprio sito importante, per esempio la propria banca on-line. Si generi una pwd (password) di 8-12 caratteri di lunghezza e la si faccia diventare la nuova parola segreta per accedere alla nostra banca modificando le impostazioni all'interno del sito della banca.
In Firefox si aprano le preferenze, si vada in Sicurezza e si visti le opzioni Usa Master Password e Ricorda le Password.
Si svuoti la lista delle eccezioni alla memorizzazione delle parole segrete.
In tal modo vedremo che nei prossimi passi che descriverò Firefox ci chiederà se vogliamo o meno memorizzare l'user name e la password inseriti nei siti.
Va inserita la Master password che deve essere abbastanza sicura e che è l'unica password da ricordare.
Si noti che la Master password permette di ottenere da parte di chiunque tutti i dati di login e le password compresa quella della banca, quindi è da non perdere e da non fare conoscere a nessuno. Se si perde la Master password si perdono tutte le password in modo irrimediabile.
Adesso si visiti il sito della propria banca on line, si introducano i dati di accesso (user name e parola segreta) e premendo il bottone di accesso comparirà in alto una segnalazione di Firefox in cui ci viene chiesto se vogliamo memorizzare i dati di accesso al sito. Rispondiamo di SI. In tal modo agli accessi seguenti i campi di login saranno compilati automaticamente da Firefox.
Doppio livello di sicurezza
Per tutti i siti importanti come la nostra banca on line usiamo l'addon che genera password casuali e impostiamo queste password, cambiando quelle vecchie e poco sicure. Usiamo password diverse e casuali per ogni sito finanziario/importante.
Per i siti poco importanti come i forum usiamo una unica password facile da ricordare anche se non molto sicura.
In tal modo abbiamo due livelli di protezione, uno molto sicuro con le password casuali diverse per ogni sito e uno debole con una unica pwd semplice.
Se vogliamo che Firefox memorizzi le nuove password per un sito è necessario come detto in precedenza che sia svuotata la lista delle eccezioni alla memorizzazione delle parole segrete.
Inoltre quando si inseriscono l'user name e la nuova password e si preme il pulsante per entrare nel sito, occorre fare attenzione alla barra superiore di Firefox che pone la domanda se si vuole cambiare i dati di login, si risponda Cambia o Change, in modo da fare sapere al browser che vogliamo cambiare i dati che ha memorizzato.
Per i nuovi siti di cui vogliamo memorizzare il nome utente e la parola segreta, Firefox ci chiederà se vogliamo memorizzare questi dati, ovviamente rispondiamo di Si.
Firefox Sync (primo livello di back up)
Sync di Mozilla è uno strumento integrato in Firefox molto potente che consente di memorizzare i dati di accesso su un server remoto gestito da Mozilla in modo crittografato, inoltre se vogliamo salva anche molti altri dati come i nostri bookmarks. È possibile anche usare un proprio server ma la configurazione è più complicata. Non mi occuperò di quest'ultimo caso.
Per usare Sync occorre dare la coppia user name + password che sarà usata per creare un account sul server di Mozilla. I dati memorizzati sul server remoto non sono dati sensibili in quanto sono crittografati e perciò inutilizzabili da qualsiasi cracker o dagli americani che vogliano avere le nostre password.
Per la coppia user name + password si usi la password semplice che si usa per i forum, questo per semplificare la gestione del sistema.
In più serve la parola segreta per criptare l'insieme delle password e degli user name che Firefox ha memorizzato sul nostro pc e che ci serve per accedere a tutti i nostri siti, sia quelli importanti che i forum. Quest'ultima parola segreta è molto importante e deve essere ben conservata, se la perdessimo non avremmo più modo di decrittare i dati sul server di Mozilla.
Nota: Firefox Sync non permette di settare la parola segreta (Sync key o Recovery key) per criptare l'insieme delle password e degli user name che Firefox ha memorizzato sul nostro pc per poi inviare il file criptato al server Mozilla.Su come funziona Sync non mi dilungherò, ci sono molte informazioni in Rete. Sync serve anche per sincronizzare le password e i segnalibri tra due o più pc che hanno Firefox.
La Sync key o Recovery key è generata casualmente da Firefox e non è configurabile, va quindi salvata o stampata e messa in un luogo sicuro.
Kensan.it
Riassumendo abbiamo da ricordarci tre password (pwd dei forum/pwd dell'account di Sync, master pwd e Sync key o Recovery key) e un user name dell'account di sync che è l'email che si è usato per iscriversi al servizio di Mozilla.
Password exporter (secondo livello di back up)
Adesso installiamo l'addon di Firefox Password exporter che crea un tasto nelle preferenze di Firefox (sezione Sicurezza/Password) che permette il salvataggio in locale (nel proprio hard disk) delle proprie parole segrete.
Il file in chiaro va crittografato con un programma sicuro come ad esempio GnuPG (che però è complicato da usare: gpg -c nomedelfiledacrittografare) o con un programma consigliato dagli esperti, obbligatoriamente open source. Come password per generare il crittogramma si usi la Master Password perché c'è bisogno di una password sicura. Traferire poi il file cifrato in una chiavetta usb o in un CD o in un separato HD.
In alternativa si può accedere alla cartella dove sono memorizzate i dati di accesso di Firefox e salvarla in una altra posizione dell'HD o meglio in una chiavetta esterna. Cercando in Internet si trova la posizione dove Firefox memorizza le login sul nostro HD.
Master password
Come abbiamo visto la master password deve essere sicura per cui si danno alcuni consigli su come crearla. Avrete certamente una lunga frase che vi ricordate, supponiamo che vi sia rimasta impressa la frase "Vodafone Life is now", prendiamo anche una seconda frase "Un diamante è per sempre", prendiamo le iniziali che danno "vlinudeps".
vlinudeps è già una buona master password che però può essere migliorata inserendo un numero che vi ricordate facilmente solo voi, supponiamo sia 628 che inseriremo tra le due frasi famose: vlin628udeps.
L'ultima parola segreta è abbastanza buona per costituire la nostra Master password. ovviamente non usate mai questa parola ma usate solo il metodo. Ancora meglio se usate frasi che non sono di dominio pubblico, per esempio una frase che vostra madre vi dice spesso tipo "copriti con la sciarpa perché fa freddo".
Se non ho sbagliato i calcoli una password del genere (vlin628udeps) è una tra le 7·1015 possibili e che con un attacco forza bruta, cioè provando tutte le possibili combinazioni, richiede molti pc e molti anni per essere trovata.
Disaster Recovery
Con disaster recovery si intende quello che si può fare dopo un problema o un disastro. Immaginiamo diversi scenari.
- Il data base degli accessi di Firefox è rovinato
- L'hard disk del nostro pc si rompe
- Perdiamo il nostro pc
- Il server di Mozilla perde i nostri dati
- Perdiamo il nostro pc e contemporaneamente Mozilla perde i nostri dati
Nel caso 1 si può aprire Sync ed eseguire un download dei dati che abbiamo sul server Mozilla.
Nei casi 2, 3 si può reinstallare Firefox, in Sync si inseriscono i dati dell'account quali login (email) e password (quella facile per accedere al server che coincide con la parola segreta dei forum) e la Sync key (che abbiamo salvato in un posto sicuro) per decrittare il data base degli accessi. Quindi si opera come nel caso 1.
Nel caso 4 basta fare un upload dei dati del nostro pc sul server Mozilla (Reset sync).
Nel caso 5 possiamo solo salvarci se abbiamo i dati memorizzati in una chiavetta esterna e ovviamente avremmo perso i dati non ancora salvati.
Esiste un problema ulteriore nel caso 1 se non ci accorgiamo che le password che firefox ha memorizzato, sono corrotti. Se eseguiamo un sync corrompiamo anche i dati che sono sul server di Mozilla. Penso però che ci sia un controllo di inegrità dei dati prima di spedirli nel server di Mozilla in modo crittografato.
Si noti che le informazioni essenziali per questo disaster recovery sono l'intera procedura, la Master password e i dati dell'account di Sync (user name (email) e password facile uguale a quella usata nei forum) oltre alla Sync key che è memorizzata da Password exporter in un file crittografato da Gpg con chiave uguale alla Master password:
$gpg -c password-export-2011-03-13.xml.gpg).
Metodi alternativi
Esiste un metodo alternativo che fa tutto questo in modo molto più semplice e si basa sugli algoritmi di hash che coinvolgono una password e l'URL del sito e che restituiscono un unica stringa che viene inserita come password nei form.
Questo metodo ha dei punti deboli che non ho gradito come ad esempio il fatto di non avere disponibili le pwd da inserire nei siti, di essere dipendente da un algoritmo di hash che potrebbe non essere più disponibile per le versioni future di Firefox o di altri browser, di non dare la password giusta se il sito cambia il nome a dominio.
Trovo sia più sicuro avere le password da qualche parte che non averle e basarsi su un algoritmo che funziona solo su Firefox fino a una certa versione.
Il metodo descritto in questo articolo è più complicato ma anche più "usuale".
Nota su Firefox e sulla non memorizzazione delle password
Firefox in alcuni casi non memorizza e non compila automaticamente i form, questo succede ad esempio per il sito di Paypal e in quello di alcune banche. Il motivo è che esiste la possibilità per i siti che lo vogliono di comunicare a Firefox di non memorizzare/compilare i form mediante il flag autocomplete posto a Off. Vediamo come fare un override di questa impostazione.
Nel caso di Linux si seguano le istruzioni seguenti. Per gli altri sistemi operativi si veda questa guida.
Se siamo sicuri di operare in sicurezza e quindi vogliamo superare questa impostazione del sito è sufficiente modificare un valore nel file:
/usr/lib/xulrunner-1.9.x.x/components/nsLoginManager.jsdove il file xulrunner deve essere quello relativo al firefox che si vuole aggiornare (ad esempio io ho due xulrunner, uno relativo a FF 3.0.x e uno a FF 3.5.x, ovviamente quest'ultimo è associato al xulrunner più recente).
Si vada nella sezione del file che contiene il tag _isAutoCompleteDisabled e si modifichi
_isAutocompleteDisabled : function (element) {in
if (element && element.hasAttribute("autocomplete") &&
element.getAttribute("autocomplete").toLowerCase() == "off")
return true;
return false;
},
_isAutocompleteDisabled : function (element) {In pratica il primo "return true" va modificato in "return false", in tal modo anche se l'opzione autocomplete è posta a off dal sito _isAutocompleteDisabled è false. Sfortunatamente questo file che abbiamo modificato verrà inesorabilmente sovrascritto al prossimo aggiornamento di Firefox e quindi sarà necessaria una nuova modifica.
if (element && element.hasAttribute("autocomplete") &&
element.getAttribute("autocomplete").toLowerCase() == "off")
return false;
return false;
},
Nota:
prima stesura di questo articolo: 20 dic 2009
riscrittura completa di questo articolo: 14 mar 2011
