Dopo aver illustrato alcuni motivi per i quali scegliere password deboli è una cattiva abitudine ancora molto diffusa tra le persone, e dopo aver descritto, grossomodo, cos’è un password manager, ho deciso di dedicarmi alla scrittura di una panoramica generale sull’utilizzo di uno dei tanti gestori di password esistenti in circolazione, ovvero Bitwarden.

Un software open source, cloud based e multipiattaforma, con un piano di utilizzo sia gratuito che a pagamento. In questo articolo mi soffermerò solo ed esclusivamente sul piano gratuito, che a mio avviso copre la maggior parte delle esigenze dell’utente medio. In merito al discorso dei piani a pagamento ci tengo a ricordare una cosa molto importante, e lo faccio estrapolando una parte di testo da un articolo che ho scritto in precedenza sul mio blog:

“Attenzione: il fatto che alcuni password manager offrano dei piani in abbonamento non implica maggiore sicurezza rispetto al piano gratuito. Significa semplicemente che, sottoscrivendo un abbonamento, si avranno a disposizione alcune funzionalità aggiuntive, dei benefici, che potrebbero interessare o meno a seconda delle esigenze e dal tipo di utenza, privata o aziendale che sia.”

Un esempio

schermata dei prezzi

Comunque sia etichettare Bitwarden come un semplice gestore di password è assai riduttivo. Rimarrete sbalorditi dalla quantità di funzionalità che il software mette a disposizione oltre al semplice ma indispensabile compito di memorizzare e crittografare le credenziali di accesso.

Primo passo: creazione dell’account

Il primo passo è ovviamente quello di recarsi sul sito web ufficiale nell’apposita sezione e procedere alla registrazione dell’account. In seguito sarete reindirizzati direttamente all’interno del vostro Vault, un vero e proprio caveau digitale, la vostra cassaforte personale, accessibile solo ed unicamente attraverso una master password scelta da voi in questa prima fase di registrazione, e che si occuperà di decrittografare quest’ultimo.

Immaginate la master password come la chiave che usereste per sbloccare il lucchetto della vostra cassaforte incastonata nel muro. Per maggiore comodità è possibile registrarsi anche direttamente dall’applicazione ufficiale sul vostro smartphone o dal software da installare sul vostro sistema operativo di riferimento. É una vostra scelta in base al dispositivo che prediligete.

schermata di registrazione

Scelta della master password e raccomandazioni

Per la master password vale lo stesso discorso di robustezza discusso qui. Sarà l’unica che dovrete ricordare, ma non per questo deve essere debole e scontata. In alternativa potreste generare una passphrase. Altro non è che un insieme di parole e stringhe non correlate tra loro.

Esempio:

cork-inning-illume-foresaw-bouquet-tumid-lipread-makeup-assist
usasse colpi spilli alfa finire tegami trofeo ovili assegno farne 

Nulla vieta che possiate rafforzare ulteriormente la vostra passphrase aggiungendo numeri, caratteri speciali, separatori e quant’altro. Anzi, ancora meglio.

Le passphrase sono più ricordabili rispetto alle classiche password composte da una singola stringa fatta di caratteri, simboli e numeri totalmente casuali come questa:

PgEvOp^uYobgP3AIAz&RwCilnF$WP7bzz0z1t0XQ

A voi la scelta, la cosa importante è non dimenticarla. Per essere sicuri della robustezza della password scelta, assicuratevi che sotto al campo master password presente nel form di registrazione si palesi l’etichetta verde con la scritta “strong”.

Riassumendo:

  • Deve essere casuale, UNICA, mai utilizzata altrove.
  • Non condividerla con nessuno. Non scriverla su carta se non si hanno i mezzi a disposizione per metterla fisicamente in sicurezza.
  • Se scegli di generare una passphrase, assicurati che le parole siano davvero casuali e che non abbiano una vera correlazione tra loro.

Se la dimenticassi, come potrei recuperarla?

Come diceva il Maestro Miyagi

Modo migliore di evitare pugno è non essere lì!

Maestro Miyagi

Lo stesso discorso vale anche in questo caso.

Modo migliore per recuperare master password è non dimenticarla!

Nessuno sarà in grado di recuperare il vostro accesso, neanche Bitwarden. Potreste tentare un recupero, se così vogliamo chiamarlo, soltanto in questi casi:

  • Nel caso in cui avete effettuato l’accesso su più dispositivi. Sfruttando quindi la sessione aperta da uno di questi a patto che, ovviamente, sia ancora loggato.
  • Impostando un suggerimento durante la fase iniziale di registrazione. Ma in questo caso fate molta attenzione, perchè deve essere un suggerimento comprensibile solo ed unicamente da voi.
  • Se nelle impostazioni avete intenzionalmente abilitato un accesso di emergenza delegando l’autorizzazione a un contatto di fiducia da voi assegnato.

Campo hint

In questo campo è possibile inserire un suggerimento per aiutarvi in caso di password dimenticata. Personalmente vi consiglio di lasciarlo vuoto, non ne vale la pena. Meglio sforzarsi ed imparare la master password a memoria. Alla fine è l’unica che dovrete ricordare.

Verifica della mail

Una volta accettati i termini di licenza il form vi inoltrerà direttamente all’interno della vostra area chiedendovi di verificare l’email inserita, quindi fatelo.

Richiesta conferma della mail

Email confermata

Approfondiamo il concetto di Vault

Il vault è la cripta all’interno della quale, in maniera sicura e crittografata, verranno conservati tutti i vostri dati di accesso relativi ai vostri servizi. Ma non solo… all’interno di esso c’è la possibilità di ospitare, oltre alle varie credenziali, anche carte di credito, identità digitali e note sicure. Pensateci. É come avere un taccuino, con la differenza che in questo caso le vostre note saranno completamente al sicuro.

Durante la lettura di questo articolo o di altri online, vi imbatterete in diverse terminologie per identificare il Vault. Cassaforte, database, caveau, ecc… Non ha particolare importanza il nome con cui lo identificate, l’importante invece è capirne il funzionamento.

Modalità di accesso al Vault

Come già accennato all’inizio dell’articolo, Bitwarden è multipiattaforma. Ciò significa che mette a disposizione diversi mezzi per poter accedere al proprio Vault, oltre al classico applicativo web accessibile da qualsiasi browser direttamente dal sito.

Applicazione desktop

Lo screenshot parla da solo: è disponibile al download l’applicazione desktop nativa per i principali sistemi operativi.

Estensioni browser

Non mancano i plug-in da installare direttamente nel browser web. Questi permetteranno di gestire con facilità il Vault, avendo costantemente accesso alle vostre credenziali.

Visualizzazione Vault all’interno del browser

Non basta? Ecco altri mezzi di accesso, come le app da scaricare mediante gli store presenti sui sistemi operativi dei vostri smartphone. Android (in questo caso disponibile sia sul PlayStore di google che su F-droid, uno store popolato solo ed unicamente da software libero e open source) o iOS.

Anche questa resta una scelta individuale, ascoltate le vostre esigenze e prestate attenzione ai vostri dispositivi, qualsiasi sia il metodo scelto. Siate prudenti.

Sincronizzazione del Vault

Tutti i dati all’interno del Vault vengono memorizzati di default nel cloud di Bitwarden in maniera crittografata. La sincronizzazione avviene automaticamente, a prescindere dal mezzo di accesso da voi scelto (app desktop, smartphone ecc…).

Facciamo ordine

Nota importante: gli screenshot che seguiranno sono localizzati in inglese, ma Bitwarden dispone anche della lingua italiana.

Creiamo le cartelle e dividiamo le credenziali per categoria

La gestione dei dati è simile a quella di una libreria fisica. Immaginate la vostra cassaforte come la struttura in legno vera e propria, poi immaginate le cartelle come agli scaffali divisi per categorie, all’interno dei quali ci finiranno tutti i libri ordinati in base al genere: Horror, Gialli, fantascienza ecc…

Analogamente, potete organizzare i vostri scaffali all’interno del Vault creando nuove cartelle. Il funzionamento cambia a seconda del dispositivo che state usando, ma non è complicato. Esempio:

Organizzazione cartelle

  • E-commerce
  • Home Banking
  • Shopping
  • Social networks

Ancora una volta, ascoltate le vostre esigenze.

Creiamo un nuovo item

Una volta messo ordine, potete cominciare a creare i vostri item contenenti credenziali e altre cose. Scegliete quindi la tipologia, (login, carta, ecc…), selezionate la cartella in cui riporre l’item, compilate i campi che vi interessano e proseguite con la creazione.

Esempio item carta di credito

Esempio item

Le due icone evidenziate in rosso corrispondono a due funzionalità fondamentali integrate comodamente all’interno di Bitwarden. La prima genererà in maniera del tutto casuale una nuova password per voi. Questo è utile laddove la vostra intenzione sia quella di generare una password per un nuovo account, o laddove abbiate l’intenzione (giustissima, oltretutto) di aggiornare una delle vostre credenziali esistenti.

La seconda icona controllerà se quella password è stata esposta in rete e se proviene da grosso archivio di account hackerati. Purtroppo può succedere, ecco perchè bisogna adottare ogni misura di sicurezza necessaria in questi casi, come aggiornare ricorrentemente tutte le password e non riutilizzarle per più account.

Ecco un esempio di come appaiono degli item organizzati in questo caso all’interno di una cartella rinominata Social network:

Visualizzazione degli item all’interno della cartella social

Non mancano le opzioni applicabili ai singoli item o in generale per ogni aspetto del Vault. Purtroppo non basterebbe un articolo per questo, quindi lascio a voi il piacere dell’esplorazione!

Funzionalità di ricerca

Questa funzionalità la conoscete tutti, è una manna dal cielo in ogni software. Comodissima, permette di trovare velocemente qualsiasi item stiate cercando in maniera rapida:

Funzione ricerca

Funzionalità aggiuntive offerte da bitwarden

Oltre alla semplice funzione di “cassaforte digitale”, Bitwarden integra alcuni tool interessanti.

  • Un generatore di password e di passphrase con possibilità di personalizzazione attraverso alcuni settaggi.

Generatore di password e passphrase integrato

  • Una funzione per importare all’interno di Bitwarden dei vault creati precedentemente con altri software disponibili in formato diverso.

  • Una funzione anche per esportare il vault di Bitwarden all’esterno. Consiglio l’esportazione in json crittografato.

Il timeout del Vault

Qualcuno si porrà in maniera del tutto spontanea la seguente domanda: Il mio Vault sarà accessibile in assenza di una connessione ad internet? Devi sapere che di default nelle impostazioni è settato un timeout (generalmente 15 minuti), allo scadere del quale si innesca un’azione specifica. Questa azione, di default è impostata su “Blocca”, ovvero:

Una cassaforte bloccata richiede l’inserimento della password principale per accedere nuovamente.

Questo blocco manterrà i dati del Vault sul vostro dispositivo, di conseguenza lo sblocco potrà avvenire anche offline inserendo nuovamente la master password che procederà a decrittografare il tutto.

L’altra azione è “disconnetti”. Se impostata, rimuoverà tutti i dati del Vault dal vostro dispositivo, di conseguenza servirà essere collegati ad internet per poter autenticarsi nuovamente e sbloccare il Vault.

Fine

Discuteremo più avanti di alcune funzionalità avanzate come l’autenticazione biometrica laddove sia possibile, o l’autenticazione a più fattori mediante dispositivi hardware come le yubikey. Quest’utlima purtroppo è un’esclusiva per gli utenti premium. Per il piano gratuito però è possibile attivare l’autenticazione a due fattori tramite app di autenticazione. Tipo Authy, LastPass, Aegis, andOTP e tante altre. Fatelo, ed evitate il servizio SMS in quanto vulnerabile al simjacking e agli attacchi MITM.