Fate mente locale, e rispondete: "Quante password dovete ricordare, giornalmente, fra servizi online e offline"?.
Vi do qualche suggerimento:
- login del vostro computer
- posta elettronica (sperando che tutte le caselle non abbiano password diverse)
- eBay
- calendario online
- task manager online
- Jaiku
- Flickr
- digg
- del.icio.us
- feed reader online
- online banking (a volte più di uno)
- pin di bancomat e carte di credito (più di una)
- forum (magari con diversi nomi utente e password)
- … e molte, molte, moltre altre password, credetemi… 😛
Se usate una password "generale" per tutto, ok… vi siete risparmiati tanta fatica mnemonica ma… se questa password viene compromessa, vi tocca cambiarla in tutti i servizi che usate. Se usate due o tre password di complessità differente, a seconda della sicurezza che dedicate ad un determinato servizio, poi vi tocca ricordare quale password è abbinata a tale servizio. Se usate password differenti per ogni servizio, avrete SICURAMENTE da qualche parte un foglietto/documento/nota (se è un file elettronico, spero protetto da un’ulteriore password sicuramente diversa da tutte le altre e sicuramente più complessa) che le riepiloghi tutte (ricordate che il primo cassetto della scrivania NON è un buon posto per conservare le vostre password, specie se lasciate tale foglietto sopra tutto il resto e non chiudete questo cassetto per fare prima). 😛
Quello delle password da ricordare è uno dei problemi più sentiti della "nuova era digitale". Fortuna che… esistono prodotti come Clipperz! 🙂
Clipperz è un password manager online di nuova generazione realizzagto in AJAX, che fa della sicurezza e della privacy i suoi punti forte.
Qualche caratteristica interessante:
– è totalmente gratuito
– non richiede dati personali per la registrazione (neanche l’email)
– nessun software da installare
– i server di Clipperz conservano solo la versione criptata dei vostri dati e non possono accedere in nessun modo ai dati in chiaro
– è possibile scaricare il codice sorgente e verificarlo personalmente
Registrarsi per utilizzare Clipperz è semplicissimo, basta fornire un nome utente ed una password (possibilmente "forte", con caratteri alfanumerici). ATTENZIONE: essendo la sicurezza e l’anonimato uno dei punti di forza di Clipperz, non esiste una procedura di recupero dei dati di login, se ve li scordate non avrete più modo di accedere ai dati conservati in Clipperz!
Effettuato correttamente il login, si verrà indirizzati alla propria "area personale".
Clicca sulle immagini per ingrandirle
All’interno della propria area personale (tutto il trasferimento dati è ovviamente criptato e sicuro con SSL) è possibile creare le "schede" contenenti i propri dati di accesso, utilizzando modelli predefiniti adatti a vari scopi ed ai diversi dati che dovete conservare (vedi sotto).
Se avete necessità di inserire MOLTI login a siti web, l’operazione potrebbe portarvi via parecchio tempo. In tal caso Clipperz vi viene in auto, dandovi la possibilità (tramite una bookmarklet da inserire nella vostra barra dei segnalibri) di creare automaticamente il codice di login per un determinato sito, da incollare nella scheda "Login diretto" (vedi l’ultima voce sopra).
Perchè la bookmarklet funzioni, è sufficiente andare alla pagina di login del sito in questione e compilare i dati di login (senza inviarli); cliccando sulla bookmarklet si aprirà la finestra di clipperz con in evidenza il codice che dovrete copiare.
Utilizzando questa procedura per i siti che utilizzate di frequente, avrete in breve tempo la possibilità di utilizzare una delle feature più interessanti di Clipperz, ovvero i "direct logins"; cliccando infatti sulle voci presenti nel box "Login diretti", avrete la possibilità di accedere automaticamente ai siti in questione senza dover inserire nuovamente nè nome utente nè password.
Considerate tutti gli aspetti positivi dell’utilizzo di Clipperz, in questo caso:
- niente più password da ricordare (tranne quella di accesso a Clipperz, ovviamente)
- estrema sicurezza in ogni fase di utilizzo
- login automatico a tutti i siti che utilizzate
Inoltre, è possibile utilizzare una versione ottimizzata di Clipperz da "far girare" nella barra dei preferiti di Firefox chiamata "Clipperz Compact", in modo da avere i vostri login diretti sempre disponibili senza dover accedere al sito (vedi sotto)
Altra feature degna di nota (e per alcuni versi importante così come l’applicazione online) è la possibilità di esportare una "copia offline" di Clipperz (con la stessa sicurezza della versione online) da tenere con se su un pendrive, un cd o altro.
Presto sarà inoltre disponibile la possibilità di condividere alcuni dati con altri utenti (pensate ad esempio ai dati di login di aree condivise, caselle di posta elettronica di gruppo e via dicendo).
Il team di Clipperz, inoltre, ha un blog ed ha reso disponibili un video illustrativo del direct login nell’apposita pagina del sito.
Giudizio di Giovy: Clipperz è una delle applicazioni web più utili che conosca per chi, come me, utilizza quotidianamente decine di login ad altrettanti siti. E’ gratuita (anche se una donazione non fa mai male) ed è da apprezzare il fatto che abbiano reso disponibile il codice sorgente dell’applicazione, operazione di vera trasparenza che di rado è possibile osservare. L’uso è semplice ed intuitivo, reso ancora più piacevole dall’utilizzo di AJAX.
Da provare… potrebbe risolvere molti vostri problemi!
E se ti manca la connessione? E se ti trovi in una zona non coperta neanche dall’umts? E se ti serve una password urgentemente e il sito è down e non hai aggiornato la versione offline?
E aggiungo pure: e la possibilità che uno smanettone si metta ad attaccare qualche account considerata la sua perenne disponibilità online? E i dati in chiaro che finiscono tra i file temporanei? (la connessione è cifrata ma i dati che risiedono sul tuo computer no…).
Personalmente continuo a preferire Keepass come password manager che oltre ad essere opensource, “portable” (entra persino in un floppy) e praticamente esistente per ogni tipo di sistema operativo, ha una sicurezza intrinseca maggiore. I dati sono cifrati persino quando è in ram (così è impossibile leggerli con altri programmi) e il database non è “sempre disponibile” alla mercè di ogni piccolo lamer che voglia perder tempo…
Ciao,
P|xeL
PS: si lo so… sono paranoico! 😉
P|xeL,
anche noi siamo paranoici.
Non farti trarre in inganno dalla semplicita’ dell’applicazione. Ci sono una serie molto consistente di accorgimenti che sono stati opportunamente nascosti all’utilizzatore comune.
Se pero’ sei veramente interessato a sapere come tuteliamo la sicurezza dei dati, oltre a controllare direttamente sui sorgenti, abbiamo un forum in cui invitiamo tutti a discutere di queste questioni:
http://www.clipperz.com/forum.
Grazie,
Giulio Cesare Solaroli
Clipperz co-Founder and CTO
Giovy, mi permetto di segnalarti anche PassPack, un progetto di password manager in cui sono coinvolto che va cose simili a quelle che fa Clipperz.
Ti segnalo anche una lista di recensioni (http://del.icio.us/tag/passpack) su PassPack e di confronti tra PP e Clipperz, da cui usciamo generalente vincenti 😉 Se hai tempo per fare un confronto, mi fa piacere sapere cosa ne pensi…
Ciao
Nicola
Nicola,
direi che e’ abbastanza difficile uscire “perdenti” da una lista di recensioni quasi tutte segnalate da voi stessi.
8)
L’esistenza di vari programmi di password manager mi fa dedurre che la banale scelta di avere le password “in memoria” nel browser (firefox) sia insicura.
Non avevo mai considerato questa possibilità. E’ così?
Alberto,
se non hai problemi a leggere l’inglese, prova di dare un’occhiata qui:
http://www.clipperz.com/users/marco/blog/2007/01/25/when_passwords_are_low_hanging_fruits
Giulio Cesare
Molto interessante lo proverò sicuramente grazie Giovy
Ma davvero c’è da fidarsi? Boh…
Un dubbio… ma che grado di affidabilità secondo te danno questo tipo di servizi on line e in
particolare questo. Come si fà esattamente a saper chi c’è dietro questo sistema di salvataggio
di pass and users e l’effettivo utilizzo che ne verrà fatto… che sia da fidarsi? Sembra un bel servizio!!!
Mah 🙂 ciao
Napolux, Man of Colours,
capisco che la tecnologia che che serve per implementare questo servizio non sia di facilissima comprensione, ma per rispondere a chi ha dubbi come i vostri noi abbiamo adottato quella che riteniamo essere l’unica risposta possibile: la completa trasparenza.
Chiunque puo’ venire sul nostro sito, scaricare i sorgenti e controllare cosa fanno. Se poi volete vedere che dati effettivamente memoriziamo, e’ sufficiente scaricare la copia offline dei dati del proprio account per avere (dentro il file dump.js) la copia completa di tutti i dati che noi archiviamo.
Se questo vi incuriosisce e volte saperne di piu’ siamo piu’ che disponibili a rispondere alle vostre domande sul forum.
Giulio Cesare
@P|xeL
Be’, hai ragione ad avere dubbi ma ti ribalto la domanda:
e se hai Keypass e ti serve una password ma stai da un’altra parte e non hai dietro la tua chiavetta USB?
Come fai in questi casi? A me succedeva spesso ed alla fine ho tirato fuori PassPack. Clipperz risponde alla stessa esigenza.
Sulla versione offline, be’, mi verrebbe da pensare che se non hai avuto il tempo di aggiornare la versione offline forse non hai trovato neanche il tempo di aggiornare i dati sulla chiavetta USB. Tu che dici?
Be’, qui sei in errore. Poiché l’intero processo è gestito in memoria non ci sono file temporanei.
Se qualcuno volesse fare un attacco di forza bruta a Clipperz o a Passpack o a KeepYouSafe o a quello che vuoi tu, si troverebbe di fronte il fatto che ha a che fare con dei web e quindi che la lentezza intrinseca del mezzo gli nega ogni possibilità di successo.
Ma se uno trovasse una chiavetta USB smarrita con sopra un file in formato KDB, be’, avviare un attacco di forza bruta sarebbe abbastanza semplice usando uno dei tanti programmini appositi e, se non hai usato una chiave abbastanza strong o sei caduto in uno delle tante ingenuità che si commettono con le password, allora beccare i tuoi dati mi potrebbe richiedere giusto un po’ di tempo di elaborazione. Sebbene io non sappia chi sia il possessore della chiavetta, anche solo per sfizio, potrei voler vedere se riesco a tirare fuori i dati in chiaro e se scopro cose interessanti potrei fare danni…
Insomma, caro pixel, la sicurezza è – come dice un grande del settore – quella dell’anello debole della catena e un sistema come Clipperz è più forte di quello che si potrebbe immaginare. Lo dico seppure nella mia posizione di competitore ufficiale di Clipperz, per dare il giusto valore alla categoria (smile)
Tante belle cose,
Francesco
http://www.passpack.com
Domanda idiota:
perché mi ha messo l’icona di Tara di fianco al commento?
Forse perché l’indirizzo di PassPack è collegato a lei?
Boh, adesso provo a cambiare…
Io uso il Portachiavi di Mac OS X, le password generate dalle applicazioni ci vanno in automatico, quelle dei siti le metto a manina e posso cercarle tutte al volo dall’apposita finestrella…
e se dimentichi la password di clipperz ? 🙂 a parte gli scherzi sembra molto interessante lo proverò
@federico
Ovviamente vale sempre il discorso che – per fare un esempio – se devi collegarti da casa di un amico per un qualsiasi motivo non hai come recuperare le tue password…
@basetta
Se perdi la password o, nel caso di PassPack, se perdi la Packing Key, come si dice a Roma… ti attacchi. Nel senso che ambedue i sistemi basano la loro sicurezza sul fatto che solo tu puoi decrittare i tuoi dati e quindi che se ti perdi le chiavi non c’è alcun modo di recuperarle. Non possiamo recuperale noi, non possono recuperale quelli di Clipperz, a maggior ragione non le potrà recuperare un eventuale hacker (smile)
Buone cose,
Francesco
PassPack
Io non riuscirei mai a fidarmi al 100% di un servizio del genere… Sono sempre le mie password e l’idea che vengano memorizzate su un server esterno non mi piace affatto. Anche se le informazioni sono cifrate, un meccanismo del genere porta le persone a trasmetterle di continuo in rete e, per quanto ne so, esponendo i dati alle intercettazioni non si fa altro che diminuirne inevitabilmente anche la sicurezza.
Siete sicuri che al server esterno non succeda mai nulla? E poi, anche se qualcosa accadesse veramente, vi pare che lo verrete a sapere? E se qualcuno intercetta le vostre informazioni? E’ vero sono cifrate, ma scommetto che in molti casi possono essere decifrate facilmente, con gli strumenti opportuni e la giusta dose di pazienza.
Meglio magari usare uno di quei tool che si installano in locale e permettono una gestione delle password sul proprio file system. Ma anche lì, se succede qualcosa al programma si rischia di perdere tutto! E poi come fidarsi ciecamente anche di questi programmi?
Sì lo so, in tema di sicurezza sono un po’ come San Tommaso… 😀
Maurizio,
le tue perplessità sono sensate, e la necessità di “toccare con mano” (come San Tommaso) è assolutamente legittima; e’ per questo Clipperz mette a disposizione tutti gli elementi che compongono il progetto, in modo che chiuque possa verificare come trattiamo i dati.
Per quanto riguarda la sicurezza dei dati criptati, prova di vedere se le argomentazioni che trovi qui sono sufficienti a rassicurarti:
When 128 bits are not enough to protect your passwords
Maurizio,
fidarsi è bene non fidarsi è meglio, si dice.
Il punto è che di qualcosa bisogna pure fidarsi.
Tutto sta a decidere di cosa.
Per esempio la gente si fida di Google. Lo fa perché Google è una entità “affidabile”, come potrebbe essere diversamente?, ci si chiede.
E così una delle alternative più diffuse all’utilizzo di un password manager online consiste nel tenere i dati con le password su GMail. Ma questo è veramente un sistema insicuro come pochi. Google si limita a permettere la connessione via SSL ma per il resto lascia che tutto viaggi in chiaro. Così i messaggi sono facilmente sniffabili da chiunque sappia come fare.
Quindi Google non è sicuro?
No, direi che GMail va usato per altri scopi, e cioè per inviare e ricevere email non importanti.
Se si vuole ricevere ed inviare dati importanti si dovrebbe usare un client con PGP e cose del genere, ma questo è un altro discorso.
Strumenti online come Clipperz e PassPack nascono con una grande attenzione alla sicurezza.
Per fare il nostro caso, che ovviamente conosco meglio di Clipperz (che da buon competitore ho analizzato a fondo ma che per me resta una cosa esterna), posso dire che PassPack garantisce che sia impossibile sniffare i dati perché innanzitutto tutto viaggia su HTTPS (anche le pagine normali, quelle che apparentemente potrebbero farne a meno, ma non mi voglio dilungare su cose secondarie) e c’è un sistema anti-phishing per garantire che ci si colleghi al sito giusto.
Inoltre non viene gestita alcuna sessione per evitare rischi di XSS e simili. Sempre per questo ogni processo Ajax viene lanciato via POST e non via GET sebbene si potrebbe.
Quindi ogni volta che viene fatta una chiamata al sistema vengono passate tutte le credenziali criptate tramite loro stesse e dati dell’utente criptati con la sua Packing Key – chiave che nessun altro conosce. Inoltre viene definito un preciso ordine di aggiornamento dei dati per cui se anche qualcuno catturasse l’invio senza sapere di cosa si tratti ed in seguito volesse ripeterlo per danneggiare semplicemente i dati, fallirebbe nell’operazione.
E via dicendo. Potremmo stare ore a parlare degli innumerevoli meccanismi di sicurezza che abbiamo messo in piedi noi e immagino che altrettanti ne avrà messi in piedi Clipperz.
Naturalmente la fiducia la si guadagna col tempo e qui c’è poco da fare.
Aspettiamo e vedremo se sapremo guadagnarcela.
Del resto le statistiche dicono che il maggior buco di sicurezza è il fattore umano e contro quello c’è ben poco da fare.
Saluti,
Francesco
PassPack
Interessante.
potrebbe essere usato per fornire le password principali ad una persona fidata se mi capita qualcosa
(meglio che mi tocco va’)
Grazie della recensione giovy
sarò old, ma il classico excel sulla chiavetta usb fa ancora la sua porca figura
Stefano, permettimi di dirti che per un hacker anche poco esperto il ritrovamento di una chiavetta USB con un file Excel protetto da password è una gioia visto che con i giusti supporti in un paio d’ore al massimo riesce a decrittarlo. Io ci starei molto attento.
Genky,
non siamo ancora pronti, ma stiamo lavorando assiduamente in quella direzione:
Clipperz and the path toward secret sharing
Questo sicuramente non guasta mai 😀
Giulio,
ti posso dire
che in questa foto
somigli moltissimo…
a Marco 🙂
?
Salutamelo,
F
Ciao Francesco,
hai perfettamente ragione, ma almeno ho la consolazione che anche tu sei cascato nel tranello dell’avatar di MyBlogLog! 😉
Io pero’ non ho nessun utente registrato sul loro servizio, e quindi ho lasciato comparire la foto di Marco.
Ciao
Giulio Cesare
user/password, il male del III° Millennio (a quando le password biometriche per tutti?)
ovunque.
ormai sono dappertutto, nei cellulari/palmari, sui PCs, sui siti che visitiamo, sulle applicazioni web che utilizziamo.
user/password è l’autenticazione per eccellenza, il metodo conosciuto da tutti, ma non sicuramente l’unico.
la…
[…] conosciuto Clipperz attraverso Giovy, che ne aveva scritto da par suo. L’ho provato, armato dello scetticismo profondo che sempre […]
[…] quasi un’anno fa che vi parlavo per la prima volta di Clipperz, il password manager online tutto italiano creato da Giulio Cesare Solaroli (che poi ebbi il […]
Scusate, sarò "retro" oppure paranoico… ma io preferisco una soluzione client-side open-source multi-piattaforma come KeePass
http://keepass.info ed i suoi derivati per Pocket PC, Symbian S60, JavaME, BlackBerry, PC Windows, MacOS X, Linux e tra poco anche per iPhone