KeePass – Cassaforte per password con database

La notizia diffusa dall’Ufficio federale per la sicurezza informatica (BSI) il 21 gennaio 2014 ha spaventato non pochi utenti di Internet: analizzando le botnet, i ricercatori e le autorità si sono imbattuti in circa 16 …

KeePass – Cassaforte per password con database

  1. Rivista
  2. »
  3. Articolo
  4. »
  5. Software
  6. »
  7. KeePass – Cassaforte per password con database

La notizia diffusa dall’Ufficio federale per la sicurezza informatica (BSI) il 21 gennaio 2014 ha spaventato non pochi utenti di Internet: analizzando le botnet, i ricercatori e le autorità si sono imbattuti in circa 16 milioni di account utente compromessi. Il furto di identità è tanto più minaccioso in quanto molti utenti utilizzano gli stessi dati – in questo caso il nome utente sotto forma di indirizzo e-mail e password – per diversi servizi contemporaneamente. Almeno questa può essere facilmente modificata, ad esempio con l’aiuto di KeePass. Vi mostriamo come fare.

Che si tratti di account di posta e web, di forum e siti di shopping o di programmi stessi: Tutti richiedono password che non riusciamo a ricordare quanto più sono numerose. Avete anche voi un pezzo di carta ingiallito sotto il vostro portatile su cui sono scritte le password? Avete le password salvate dal browser? Nessuna delle due cose è sicura, inoltre il browser non può memorizzare tutte le password. Abbiamo dato un’occhiata allo strumento open-source KeePass, che memorizza tutte le password e i dati di accesso in forma criptata e offre un generatore di password e un database.

Le differenze

KeePass è disponibile in due edizioni: “Classic Edition Version 1.x” e “Professional Edition Version 2.x”.

Laversione 1.x funziona su sistemi Windows con GDI+ (già incluso da XP) e contiene meno funzioni rispetto alla versione 2.x: non supporta Unicode, non è possibile aprire un database tramite URL, né la sincronizzazione. Non è disponibile un cestino, manca anche il sistema di trigger e la versione stampa solo in forma tabellare. Tuttavia, è ancora in fase di sviluppo.

Laversione 2.x funziona su sistemi Windows con NET Framework 2.0 o superiore (già incluso da Vista in poi) e anche su altri sistemi operativi come Linux, Mac OS X, BSD, ecc. Sono possibili l’apertura di database tramite URL e la sincronizzazione, la versione stampa in modo tabellare e dettagliato, inoltre è disponibile un sistema di trigger per automatizzare i flussi di lavoro.

In quanto applicazioni portatili, entrambe le versioni non necessitano di installazione, sono programmi open source, sono compatibili con i plug-in e possono essere adattate tramite file di lingua. Come algoritmo di crittografia del database viene utilizzato Rijndael (chiamato anche AES) a 256 bit, mentre le password vengono memorizzate con SHA-256.

Nota: la versione con installatore richiede i diritti di installazione locale, che la versione portatile non richiede.

È possibile vedere un elenco dettagliato delle due versioni nel confronto delle edizioni.

Siamo particolarmente interessati alla versione 2, poiché contiene anche diverse funzioni interessanti.

L’installazione

Dopo aver scaricato e scompattato la versione portatile e il file in lingua tedesca in una cartella appositamente creata sulla chiavetta USB o sul disco rigido, includere il file in lingua tedesca. Se avete scelto la versione installer, scompattate il file della lingua nella directory del programma KeePass.

KeePass
KeePass ancora in inglese

Nel menu “Visualizza” alla voce “Cambia lingua…” troverete il file in lingua tedesca, che dovrete selezionare. Riavviare quindi KeePass per applicare le modifiche.

KeePass
Selezionare la lingua
KeePass
KeePass in tedesco

KeePass ha un’interfaccia utente semplice e senza fronzoli. Tutto sembra ancora piuttosto vuoto, ma la situazione è destinata a cambiare.

Creare il database

Per lavorare con KeePass, è necessario creare un database. Utilizzate “File” – “Nuovo…” per creare un file di database (*.kdbx), a cui darete un nome, nella cartella della chiavetta USB o del disco rigido. Nel nostro esempio, questo è “NewDatabase.kdbx” nella sottocartella “KeePass Password Safe 2.24”.

KeePass
Creare un nuovo database

Dopo “Salva” appare una nuova finestra“Crea chiave master composita“.

Nel campo accanto a“Master Password” inserire una password per il nuovo database. Questa è l’unica password che dovrete ricordare.

Facendo clic sul pulsante con i tre punti, la password viene visualizzata nuovamente in testo normale. La qualità della password si può vedere dalle barre colorate sotto di essa: rossa è insufficiente, verde è buona.

Il file chiave/provider è responsabile della protezione aggiuntiva: qui è possibile creare un file chiave (*.key). Questo file viene generato automaticamente e salvato in una posizione a scelta. Se viene salvato su una chiavetta USB, ad esempio, i dati sono accessibili solo se la chiavetta USB è collegata al computer. La chiave deve essere aperta con la password principale.

L’account utente di Windows funziona solo con l’accesso utente di Windows e la password principale. Questa opzione è vincolata a un PC.

A voi la scelta di quale delle tre opzioni utilizzare singolarmente o in combinazione. È anche una questione di sicurezza.

Noi optiamo solo per la “password principale”.

KeePass
Creare la password principale

Dopo aver dato l'”OK” si apriranno le impostazioni del database, a cui dovreste dare un’occhiata – ma non è necessario modificarle, perché sono ottimali.

KeePass
Impostazioni del database

Il nuovo database è stato creato. Riceverete due voci di esempio che potrete eliminare senza problemi.

KeePass
2 voci di esempio

In “File” – “Esci” vi verrà chiesto se le modifiche devono essere salvate. Dopo aver selezionato “Salva”, KeePass si chiude con le nuove impostazioni. Ora KeePass può essere aperto solo con la password principale. È possibile creare altri database, ma in questo caso è necessario scegliere un nome significativo e non “NewDatabase”.kdbx come abbiamo fatto noi.

KeePass
Inserire la password principale

Le opzioni di KeePass

Sotto “Extra – Opzioni” ci sono 5 schede.

La scheda“Sicurezza” serve soprattutto quando non si lavora da soli sul PC. Ad esempio, se si è distratti, KeePass blocca il desktop dopo xx secondi.

KeePass
Scheda Rgister Sicurezza

Nella scheda Criteri è possibile bloccare o consentire le funzioni. Se si lavora solo con il database, consentire (quasi) tutte le opzioni. Per quanto riguarda la stampa

KeePass
Scheda Criteri

La schedadell’interfaccia ha 4 titoli: [Finestra principale] – [Elenco voci] – [Ricerca rapida (barra degli strumenti)] – [Avanzate].

Le voci sono autoesplicative. Ad esempio, abbiamo deciso di attivare la prima opzione sotto “Finestra principale”. La finestra si chiude rapidamente con il pulsante di chiusura (Riduci a icona, Massimizza, Chiudi) e si deve accedere nuovamente con la password principale. Se l’opzione“Il pulsante di chiusura [X] riduce a icona la finestra principale invece di chiudere l’applicazione” è attivata, questo non può accadere. È possibile chiudere l’applicazione solo tramite “File – Esci”.

KeePass
Scheda Interfaccia – Finestra principale

Nella schedaIntegrazione, è possibile impostare le scorciatoie da tastiera per la digitazione automatica o fare in modo che KeePass si avvii con Windows. È possibile associare i file KDBX a KeePass utilizzando il pulsante “Crea associazione” (se si dispone di più file KDBX). È quindi possibile aprire i file *.kdbx con KeePass facendo doppio clic.

KeePass
Integration

Il pulsante URL Schema Overrides

Il pulsanteSovrascrivi schema URL visualizza i comandi della riga di comando. Se, ad esempio, si desidera aprire i collegamenti web di KeePass con Firefox anziché con Internet Explorer come impostazione predefinita, è possibile impostare le spunte corrispondenti sotto “http” e “https”. È anche possibile modificarle in seguito per ogni singola voce.

KeePass
Sovrascritture URL specifiche per lo schema

L’opzione predefinita è“ssh” – cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}. Si tratta della creazione automatica di una connessione SSH (Secure Shell) con Putty (client Telnet/SSH). In questo elenco, gli standard non possono essere modificati con “Modifica”. È possibile definire solo i propri comandi, definiti dall’utente, facendo clic sul pulsante “Aggiungi”.

La connessione standard SSH è strutturata come segue:

[CMD_command][percorso file][tipo di connessione][nome utente]@[protocollo o URL][password].

Il comando si presenta quindi come segue:
cmd://”{APPDIR}putty.exe” -ssh {USERNAME}@{URL:RMVSCM} -pw {PASSWORD}

Spiegazione:

  • ssh – prefisso che si trova sotto schema nella finestra principale di KeePass (connessione SSH).
  • cmd:// – Il comando viene eseguito nella riga di comando di Windows in background.
  • “{APPDIR}putty.exe” – Percorso completo del file putty.exe da eseguire (sempre tra virgolette, poiché il percorso può contenere spazi). La variabile {APPDIR} sostituisce il percorso qui.
  • -ssh {USERNAME}@{URL:RMVSCM} – Stringa per stabilire una connessione SSH con trasferimento del nome utente @ percorso SSH completo : voce non visibile nello schema – {URL:SCM} = voce visibile nello schema
  • -pw {PASSWORD} – trasferimento della password in forma criptata

È inoltre possibile utilizzarlo per eseguire i propri programmi definiti dall’utente, a condizione che questi programmi accettino anche gli argomenti della riga di comando. In seguito è possibile eseguire altri comandi con le voci tramite Auto-Type. Ulteriori informazioni su AutoUrls.

KeePass
Override definiti dall’utente

La scheda “Avanzate

La scheda ha 5 voci, ma sono anche autoesplicative. Abbiamo attivato la voce “Salva automaticamente quando il database è chiuso/bloccato”. In questo modo, dopo il comando “File – Esci”, tutte le modifiche vengono salvate automaticamente senza doverle richiedere nuovamente.

KeePass
Scheda Avanzate

Crea voci di accesso

Nella finestra principale di KeePass, nel menu “Modifica”, selezionare “Aggiungi voce” e passare alla scheda “Voce”.

Alla voce“Titolo” inserire il nome, ad esempio, di un sito web, alla voceNomeutente” inserire il nome di login del sito. Cancellare le password predefinite e inserire la propria password di accesso al sito web. È possibile ignorare la qualità della password. Per far sì che KeePass vada direttamente alla pagina di login del provider, richiamare il sito di login nel browser e copiare l’indirizzo in KeePass alla voce“URL“. Alla voce“Commenti” è possibile lasciare una nota o creare una data di scadenza (“Valido fino a”), mentre alla scheda “Avanzate” è possibile aggiungere allegati (ad es. e-mail, GTC, PDF, ecc.). Quindi fare clic su “OK”. Ripetere la procedura con tutti i dati Internet.

KeePass
Aggiungi voce

Disporre le rubriche

Dopo aver dato l'”OK”, le nuove voci sono visibili nella finestra principale di KeePass sotto “NewDatabase”. Per salvare le modifiche al database, fare clic su “File – Esci”. Verrà quindi chiesto se si desidera salvare le modifiche. Solo dopo la conferma le nuove voci vengono salvate nel database. Nota: se nelle opzioni “Avanzate” è stata attivata la voce“Salva automaticamente quando il database è chiuso/bloccato“, come abbiamo fatto noi, le modifiche vengono salvate automaticamente dopo “File – Esci”.

Ora sono disponibili diversi gruppi in KeePass – Internet, eMail, Homebanking ecc. – e si può spostare la nuova voce dalla sezione “NewDatabase” a un’altra sezione utilizzando il drag & drop.

KeePass
Voce aggiunta e spostata nella sezione Internet

È possibile aggiungere gruppi, eliminare gruppi o modificare gruppi facendo clic sul gruppo a destra.

KeePass
Modifica gruppi

Se si crea un nuovo gruppo, questo gruppo sarà subordinato. È sufficiente trascinare il gruppo appena creato con il mouse e spostarlo nella sezione “NewDatabase” in modo che il nuovo gruppo non si trovi più nella sottocartella. A questo punto è possibile fare clic sul nuovo gruppo a destra e cliccare su “Riordina”. Si può scegliere tra “Raggruppa all’inizio”, “Raggruppa una riga in alto”, “Raggruppa una riga in basso” ecc.

KeePass
Aggiungere gruppi

Come funziona la digitazione automatica

Un rapido test: chiudere tutte le applicazioni tranne KeePass. Aprite un editor di testo (Notepad, Wordpad), fate clic su una voce della finestra principale di KeePass sulla destra e selezionate“Esegui Auto-Type” dal menu contestuale. Avete prestato attenzione?

KeePass ha scritto il nome utente {USERNAME} e la password {PASSWORD} nel file di testo. KeePass ha separato i dati con un tabulatore {TAB} e ha completato il trasferimento con il tasto [Invio] {ENTER}. La digitazione automatica funziona allo stesso modo per i campi di login nel browser: {USERNAME}{TAB}{PASSWORD}{ENTER}

KeePass
Eseguire Auto-Type

Accedere correttamente con Auto-Type

Lo strumento può richiamare la pagina di login di un servizio web direttamente dalla voce del database. La funzione Auto-Type può inserire automaticamente il nome utente e la password in una finestra di login e riconosce dalla finestra di login aperta quali dati di accesso devono essere prelevati dal database. Auto-Type riconosce anche il pulsante di login o di accesso.

Per una migliore visualizzazione, fare clic sulla voce “Mostra visualizzazione voci” nel menu “Visualizza” in modo che appaia un segno di spunta, e di nuovo sulla voce “Disposizione finestre” nel menu “Visualizza”. Selezionare “Uno sopra l’altro” o “Uno accanto all’altro”, come si preferisce.

KeePass
Disposizione finestra

Se si è selezionato “Uno sopra l’altro”, nell’area inferiore della finestra di KeePass verranno visualizzate le informazioni relative al gruppo, al titolo, al nome utente, alla password, all’URL, alla data di creazione e alla data di modifica. Nella finestra principale di KeePass, selezionare la voce con cui si desidera accedere. Fare clic su questa voce a destra e sotto “URL” fare clic su “Apri” o “Apri con” il browser; si apre la pagina di accesso. Se si è impostata la visualizzazione delle voci su “una sopra l’altra” o “una accanto all’altra” per una visione migliore, è possibile aprire la pagina di accesso anche da lì. Se si fa di nuovo clic con il tasto destro del mouse sulla voce e questa volta si sceglie“Esegui digitazione automatica“, si può vedere KeePass inserire il nome utente e la password nei campi di immissione ed effettuare il login.

KeePass
Apri URL

Ma se la finestra di login sul sito web presenta alcune caselle di spunta o campi simili che bisogna “saltare” per arrivare al pulsante di login, è possibile scegliere una sequenza diversa per l’inserimento della password. Come già sappiamo, l’impostazione predefinita è {USERNAME}{TAB}{PASSWORD}{INVIO}, che non deve essere modificata perché l’inserimento influisce su tutte le altre voci.

KeePass
Scheda Tipo automatico

Nella scheda Tipo automatico della voce della password problematica, fare clic su “Aggiungi” e selezionare“Usa sequenza di tasti personalizzata“. Aggiungete le TAB.

Esempi: {USERNAME}{TAB}{PASSWORD}{TAB}{INVIO} o

{USERNAME}{TAB}{PASSWORD}{TAB}{ENTER}

È sufficiente fare clic nel campo dopo {PASSWORD} e scrivere {TAB} senza una riga vuota o una barra spaziatrice, quindi fare clic sul pulsante “OK”.

Ogni {TAB} corrisponde a un campo di immissione nella pagina Web che deve essere saltato. Questo può essere anche dopo {USERNAME}.

KeePass
Prima
KeePass
Dopo

Offuscamento del tipo automatico a due canali

Sotto la scheda Tipo automatico, c’è un’altra opzione interessante:“Offuscamento del tipo automatico a due canali” per una protezione ancora maggiore.

KeePass
Offuscamento del tipo automatico a due canali

Lo scopo di questa opzione è quello di confondere i keylogger eventualmente installati. KeePass non copia la password in chiaro nella cache per poi incollarla nel campo della password, ma simula la pressione di un tasto [Ctrl]+[c] per poi inviare un [Ctrl]+[v] nel campo della password. Inoltre, salva vari passaggi avanti e indietro tramite i tasti freccia per creare ulteriore confusione. L’eventuale keylogger può registrare solo questi comandi [Ctrl] e quindi non vedere la password in chiaro. È necessario attivare questa opzione per ogni singola immissione di password. Il messaggio di avviso che appare ogni volta che si fa clic sull’opzione può essere tranquillamente confermato. L’opzione funziona solo con campi di accesso semplici, come quelli utilizzati nei browser.

KeePass
Offuscamento automatico a due canali

Comandi di auto-tipizzazione

Nella scheda Tipo automatico della voce password, pulsante “Aggiungi”, è possibile visualizzare e modificare la sequenza esatta della tastiera. Ci sono campi standard come {Titolo}, {Nome utente}, {Password}, {URL} e {Note}.

KeePass
Edit Auto-Type

Facendo clic su {Titolo}, viene visualizzato prima il “Titolo” anziché l’URL e si controlla, ad esempio, se il titolo del browser web corrisponde al {Titolo} inserito, ad esempio {google}. Questa funzione è utile se si hanno due indirizzi e-mail nello stesso portale di posta elettronica. Se KeePass è in esecuzione in background, se si dispone di più di un account Google, nella pagina di accesso viene visualizzata una finestra di selezione quando si esegue [Ctrl]+[Alt]+[a]. La combinazione di tasti è memorizzata nelle opzioni del database, scheda “Integrazione”. Naturalmente, entrambi gli account Google devono essere creati in KeePass.

Inoltre, esistono tasti speciali come {TAB} e {ENTER} o segnaposto come {GROUP}, {URL:SCM} o {DELAY 1000} (aspettate un attimo), alcuni dei quali sembrano familiari. Anche il pulsante “Sovrascrittura dello schema URL” contiene questi parametri.

KeePass
Altri segnaposto

Avvio di programmi con richiesta di password

Esiste anche la possibilità di avviare un programma invece di un URL, se si mettono insieme i parametri giusti. Come già detto, il comando:

cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}

È anche possibile stabilire una connessione desktop remota:

cmd://mstsc.exe /v:192.168.1.211 /w:1280 /h:1024

Auto-Tipo di finestra: 192.168.1.211 – Desktop remoto*

KeePass
Remote Desktop

La funzione Auto-Type può essere utilizzata anche per automatizzare l’accesso a un’unità crittografata.

Selezionare l’unità che richiede una password. Andare su KeePass e creare una voce, aprire la scheda Tipo automatico e fare clic su “Aggiungi”.

KeePass
Creare una voce dal disco rigido

Nella “Finestra di destinazione”, selezionate l’unità e spuntate“Seleziona sequenza di chiavi personalizzata“. Rimuovere {USERNAME} e {TAB} se viene richiesta solo la password. Se viene richiesto il nome utente E la password per l’unità crittografata, rimuovere SOLO {TAB}.

KeePass
Selezionare l’unità di destinazione della finestra
KeePass
Selezionare la sequenza di tasti personalizzata
KeePass
Risultato finale

La funzione Auto-Type è molto completa, così come il pulsante URL Schema Overrides. Per ulteriori informazioni, vedere la funzione Auto-Type (finestra Auto-Type).

Generatore di password

Nella finestra principale di KeePass, nel menu Strumenti, si trova il Generatore di password (Genera password, Genera elenco password) che aiuta a creare una nuova password.

KeePass
Menu Extras – Generate Password
KeePass
Opzioni del generatore di password

In “Impostazioni” è possibile scegliere, alla voce Profilo, che le password appena generate debbano essere applicate ai nuovi inserimenti. Qui è possibile impostare la lunghezza e la complessità della nuova password oppure lasciarla così com’è. Una password forte dovrebbe essere il più lunga possibile (almeno 20 caratteri) e composta da un insieme di caratteri (lettere maiuscole e minuscole, numeri). È possibile aumentare la casualità della stringa di password generando ulteriori dati casuali. A tal fine, attivare l’opzione “Raccogli entropia aggiuntiva”.

KeePass
Password generate automaticamente per i nuovi inserimenti

Dopo aver dato “OK”, la password è già presente nella finestra principale di KeePass per il prossimo nuovo accesso.

Questo è pratico se ci si deve registrare su una nuova piattaforma. In questo caso è necessario solo un nome utente: la password è già disponibile.

KeePass
Inserimento vuoto con password

È possibile generare anche singole voci di password, ad esempio se la password è scaduta.

KeePass
Modifica della voce per il generatore di password

Il sistema di attivazione

Il sistema facilita i flussi di lavoro, ad esempio può sempre avviare la sincronizzazione o l’esportazione quando si salva il database.

KeePass
Sincronizzare il database

Esempio: Ogni volta che KeePass esce e il database viene salvato, deve essere creato un file di esportazione aggiornato del database.

Il sistema di trigger si trova nella finestra principale di KeePass, nel menu Strumenti. Il segno di spunta “Sistema di attivazione attivato” deve essere impostato. Cliccando su “Aggiungi”, appare la prima scheda “Proprietà” di quattro. Alla voce “Nome”, inserire l’evento; le due opzioni “Attivato” e “Inizialmente acceso” dovrebbero già includere i segni di spunta.

KeePass
Trigger – Scheda Proprietà

Passare alla scheda “Eventi” e fare clic su “Aggiungi”. Alla voce “Evento” selezionare“File di database salvato“.

KeePass
Selezionare l’evento

Campo File/URLConfronto = È uguale (impostato)

Campo File/URLFiltro = lasciare vuoto

[OK]

KeePass
Evento File/URL

È possibile saltare la scheda “Condizioni” e passare alla scheda “Azioni”.

Fare clic su “Aggiungi” e selezionare sotto “Azione” –“Esporta database attivo“.

Nel campo File/URL si deve inserire il percorso in cui deve essere memorizzato il file di esportazione. Creare prima una cartella, ad esempio Esporta sotto C: – copiare il file “NeueDatenbank.kdbx” in questa cartella.

Nel campo Formato file, digitare KeePass KDBX (2.x).

[OK] – [Fine] – [OK]

KeePass
Action File/URL File Format
KeePass
Scheda Azione

Il significato dei singoli eventi è riportato nella sezione “Trigger”.

Recupero del database KeePass via Internet

Sebbene l’archivio delle password venga definito un “database”, ciò non è vero. I database hanno un server con accesso in scrittura, permessi e diritti di lettura/modifica dei record. Oggi non è più così stretto il concetto di database.

Se si dispone di una propria homepage o di un proprio server, è possibile caricare il database kdbx e accedervi da lì. Quindi aprire KeePass, selezionare File – Apri – “Apri URL”. Nel primo campo “URL”, inserire l’indirizzo completo della propria homepage o del server FTP, compreso il percorso della directory e il nome del file KDBX.

KeePass
Dati del server FTP di KeePass

Inserite l’utente e la password e confermate con “OK”. Infine, inserire la password principale nella finestra “Inserisci chiave principale”. Si apre il database di accesso a KeePass.

KeePass
Connesso all’FTP

Alternativa

Ulteriori sincronizzazioni sono possibili con plugin come KeeCloud o KeePassSync (sotto “Backup e sincronizzazione & IO”) per Amazon S3, Dropbox, DigitalBucket.

Se si dispone di Dropbox, si può semplicemente inserire il database nella cartella Dropbox con una password sufficiente e poi avviarlo su Android o iOs, ad esempio, dalla cartella Dropbox con programmi adeguati. È necessario conoscere la password principale.

Il componente aggiuntivo del browser FireFTP trasferisce il file KDBX in una directory del server FTP.

A proposito di *Stampa

Ci sono due opzioni per la stampante nelle opzioni di KeePass nella scheda Criteri:

“Consenti la stampa degli elenchi di voci” e“Non richiedere l’inserimentodella chiave master corrente prima della stampa“.

Nella finestra principale di KeePass, tramite “File – Stampa” è possibile far stampare TUTTE le voci con password senza password principale. Già nell’anteprima viene visualizzato tutto e nella scheda “Layout” è possibile scegliere se stampare in modalità tabellare o dettagliata. Per impostazione predefinita, la voce “Password” è attivata, mentre la voce “URL” non contiene alcun segno di spunta – anche se riteniamo che, semmai, dovrebbe essere la voce “URL” a ricevere un segno di spunta e non la voce “Password”. Non si dovrebbe permettere di fare tutto da soli, anche se si lavora da soli sul database, per sicurezza.

KeePass
printer-layout

Fonte dell’immagine: KeePass

Articoli correlati