Gestore di password sì o no

2023-10-24T09:41:55+00:00

Che dite, mi affido ad un gestore di password per gestire la mole di password che ormai siamo costretti a creare oppure no? Proprio stamattina ho ricevuto un...

[cancellato]

Marco25

Che se Google/Apple/MS e pochi altri diventano i gatekeeper di questi metodi di autenticazione e tutte le richieste di autenticazione passano sempre e solo per i loro sistemi, difatto incrementano le loro capacità di tracking degli utenti, e diventano sempre più ingombranti e centrali al funzionamento di "Internet".

Se si vuol fare un sistema di autenticazione a chiave pubblica/privata si possono fare facilmente senza Google o Apple di mezzo.

Marco25

[cancellato] tutte le richieste di autenticazione passano sempre e solo per i loro sistemi

Le richieste di autenticazione non passano sui loro sistemi, non è un login federato o SSO, è paragonabile a autenticarsi via SSH a un sito web.

[cancellato] Se si vuol fare un sistema di autenticazione a chiave pubblica/privata si possono fare facilmente senza Google o Apple di mezzo.

Difatti è così, le passkeys sono basate sullo standard WebAuthn, per cui puoi usare qualsiasi password manager di terze parti. Sono già supportate da 1Password e BitWarden, ma non solo. Puoi anche salvare le credenziali su un token USB/NFC compatibile con FIDO2.

MircoT

[cancellato] da quello che so la passkey è una procedura locale, nel senso che viene creata, conservata e usata localmente sul pc/mac. poi nel caso di apple, se si vuole, si può sincronizzare la keychain con gli altri dispositivi che usano lo stesso account, ma sono file cifrati che vengono scambiati.

[cancellato]

Marco25 Le richieste di autenticazione non passano sui loro sistemi,

"Loro sistemi" sono anche solo il browser o il cellofono. Che sono in grado di tracciare tutto. C'è anche il problema di chi rilascia i certificati client - diventa anche quello un gatekeeper. L'autenticazione tramite certificati esiste da anni, solo che ci vuole una CA che li rilasci. Nessuno finora l'ha fatto gratis perché ha un costo. Chiediti perché qualcuno dovrebbe ora farlo gratis...

Marco25 Puoi anche salvare le credenziali su un token USB/NFC compatibile con FIDO2.

L'autenticazione tramite certificati client funziona da quando hanno inventato SSL. I browser supportano da anni l'autenticazione tramite certificato client. Ed è del resto come funzionano le smart card stile CNS. Il problema è appunto dove e come proteggi le chiavi private e come ci dai accesso.

Marco25

[cancellato] C'è anche il problema di chi rilascia i certificati client - diventa anche quello un gatekeeper. L'autenticazione tramite certificati esiste da anni, solo che ci vuole una CA che li rilasci.

L'autenticazione tramite certificati client funziona da quando hanno inventato SSL. I browser supportano da anni l'autenticazione tramite certificato client.

Non sai come funziona. Non sono certificati X.509 né PKCS. Non c'è una CA.

[cancellato]

Marco25

È lo stesso modello semplificato e quindi meno sicuro. Tra l'altro con FIDO se la chiave privata è generata remotamente e non localmente è una vulnerabilità non da poco. Tutto cio che comincia con Web cerca di reinventare la ruota e di solito ne produce una quadrata. La CA serve a garantire l'autenticità della chiave e a ritirarla se viene compromessa (ed è già un bel problema garantire l'affidabilità delle CA). Senza questo meccanismo hai solo una password un po' più sofisticata e più complessa da utilizzare - e quindi ti devi per forza affidare a "qualcuno" per gestirla.

Flo

nicos18 Vero. Però al di là di chi siano le responsabilità, continuo a non fidarmi del cloud per le password. Tanto che qualche mese fa sono passato da 1Password offline, ormai abbandonato, a KeePass. Quelle poche volte che faccio delle modifiche, poi invio il db manualmente al cellulare. Inoltre faccio automaticamente un backup quotidiano di tutti i file importanti inclusa la cassaforte delle password. Ed in ogni caso sono per la massima libertà, quindi chi non ha problemi con il cloud fa bene ad usarlo.

[cancellato] Anche se così fosse, non mi affiderei mai a servizi alternativi perché in alcuni casi, con il tempo, diventano inaffidabili, come ad esempio Libero per le mail. E poi MS, Meta, Google ed Apple sanno ormai già tutto di noi.

ErBlask Così mi piace molto! Hai il tuo cloud protetto, sincronizzato ed accessibile da qualsiasi luogo e dispositivo solo da te.

ErBlask

Flo solo da me, praticamente dal mio cell e pc, che sono gli apparati che necessitano di account con autenticazione dei vari servizi.
Volendo aggiungere una persona, basta creare un'altro utente nel server vpn (Wireguard) e creare l'utenza nel Password Manager (BW).
Tutto gira in rete Lan... 😉, niente è esposto esternamente... (a parte la porta della vpn).

Flo Hai il tuo cloud protetto

Per il Cloud (foto, documenti e tutto quello che ogni utente si affida ai piu disparati servizi web) uso Nextcloud sempre installato su una VM in Lan su proxmox.
Praticamente il Cloud il Password Manager e tutto il resto sono solo raggiungibile quando attivo la vpn sul cell o sul pc.

Marco25

[cancellato] Che fatica informarsi vedo.

MircoT

[cancellato] se la chiave privata è generata remotamente

sia la chiave privata che la chiave pubblica vengono create localmente, poi la chiave pubblica viene caricata sul sito. dalla chiave pubblica non si può mai ri-generare la chiave privata, quindi se hackerano il sito e prendono le chiavi pubbliche, non se ne fanno nulla perchè non hanno la corrispondente privata. durante l'autentificazione (challenge) le chiavi non vengono mai trasmesse tra client e server, quindi non c'è rischio che vengano sniffate nel percorso.
è un meccanismo simile alla autentificazione ssh con chiave invece che con password: anche in quel caso le 2 chiavi, privata e pubblica, vengono create localmente e poi si carica la pubblica sull'host linux.
la doppia chiave asimmetrica viene usata anche per l'autenitifcazione in hcl notes.

curlymoka

Uso su iOS e OS X Bitwarden e mi trovo benissimo

[cancellato]

MircoT sia la chiave privata che la chiave pubblica vengono create localmente, poi la chiave pubblica viene caricata sul sito

No, dalle specifiche FIDO non è necessario che la chiave privata sia creata localmente. Nulla vieterebbe poi già da anni ai siti ri rilasciare certificati per gli utenti da memorizzare nello store dell'OS (o in un HSM) e usarli per l'autenticazione. Non l'hanno mai fatto perché l'incremento di complessità non era giustificato da alcun ritorno economico, e preferivano l'utente potesse accedere da dovunque, compresi ad esempio i PC aziendali. Chiedetevi perché adesso hanno cambiato idea. Maggiore sicurezza degli utenti, o qualcos'altro?

MircoT uindi se hackerano il sito e prendono le chiavi pubbliche, non se ne fanno nulla

Anche se prendono degli hash saltati correttamente non se ne fanno nulla. Le passkey sarebbero certo un poco più sicure, al prezzo di richiedere per forza un dispositivo per usarle - impossibile memorizzarle. E il punto critico, dal punto di vista della privacy e della sicurezza, diventa quel (o quei) dispositivi. Prima di tutto, avere tutte le uova nello stesso cesto aumenta il rischio. Secondo, essere costretti ad avere sempre con sé dispositivi che sono prima di tutto dispositivi di tracciamento. Se ci fosse una vera legislazione che 1) impedisse qualsiasi forma di tracciamento 2) impedisse il monopolio degli store 3) lo standard non è sviluppato da aziende che hanno come business principale il tracking

Alllora si potrebbe anche parlarne. Altrimenti è il classico caso dove in cambio di un poco più di sicurezza si perde molta libertà. Tra l'altro la certificazione costa migliaia di euro, assicurando che piccole entità saranno costrette a ricorrere ai servizi offerti dai soliti noti. Sinceramente per accedere a siti come FibraClick non vedo la necessità di autenticazione più sicuri di una password. Per accedere al sito della banca, invece, le passkey non incrementano la sicurezza a sufficienza, e rimane la necessità di un sistema di autenticazione MFA con canale separato.

MircoT quindi non c'è rischio che vengano sniffate nel percorso.

Cosa che dovrebbe essere garantita dalla cifratura della connessione, che guarda caso, usa lo stesso meccanismo chiave pubblica/privata e potrebbe autenticare il client nello stesso modo. Se è compromessa la connessione cifrata, hai già un problema. Sarebbero più utili su connessioni non cifrate. E se ad essere compromesso è il client, che sia una password o una passkey cambia poco, specialmente se il software front-facing ha accesso diretto al sistema di autenticazione ed una vulnerabilità permette di accedervi direttamente. Che acceda alla password, o alle passkey non cambia nulla.

Pasknet

MoMa
Io da anni e mi trovo benone

Enigma84

Dopo averne provati diversi nel corso del tempo (anni) mi ero affezionato a LastPass.
Poi è andata a fine che LastPass è stato acquisito da quelli di "LogMeIn" e han cambiato le condizioni del piano free (Accesso da 1 tipo di dispositivo, quindi non potevo usarlo nel pc e nel telefono contemporaneamente).
Ho trovato un eccellente (a dir poco) alternativa in Bitwarden, che uso attualmente con molta soddisfazione.
Come software per gestire la 2fa uso invece Authy, si sincronizza automaticamente e puoi usarlo su n dispositivi.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile