Password Manager per PA

Ciao a tutti,
vi lascio qui di seguito una immagine che vale più di 1000 parole, a me è venuto un po’ freddo e male al cuore quando l’ho visto la prima volta, per cui mettetevi comodi.

Contenuto Pericoloso per SysAdmins

Come avrete potuto intendere se siete stati tanto coraggiosi da guardare l’immagine, questa è la situazione credo purtroppo molto popolare in molte PA.

Il presente topic è volto al fine di capire se qualcuno ha già affrontato il problema e come, se si è fatto affidamento a soluzioni open-source o no, self-hosted o cloud-hosted.

Uniamo le nostre esperienze in questo topic; a ridosso del 2020 un libro spesso 7 (SETTE) centimetri pieno di password, domande di sicurezza, matrici di sicurezza, modifiche a matita è troppo da sopportare.

Buon weekend! :slight_smile:

1 Mi Piace

Io uso lastpass per me e lastpass per il gruppo di lavoro.
Ho usato anche keepass ma funziona in locale (comunque sempre meglio del faldone).

La cultura dei password manager è una cosa che andrebbe spiegata sia nella PA che fuori.
Sarebbe bello avere un servizio centralizzato di password management per la PA essendo un patrimonio comune, ma non so quanto sia facile implementarlo, quindi è solo una cosa che mi piacerebbe ma magari dico una cavolata.

Andrea

2 Mi Piace

Nei ritagli di tempo ho sviluppato un applicativo WEB, in php, che permette di gestire le password e anche (!!!) condividerle con altri.
Vi lascio il link se a qualcuno interessa: https://github.com/Kaya84/Mnemosine
Il vantaggio di questa app, rispetto ad altre, è che il tutto è in casa, le password sono cifrate (usando la modalità avanzata), e siete sicuri che i vostri dati non siano in giro per il web.

2 Mi Piace

Se il registro cartaceo di password e istruzioni sta in un posto sicuro accessibile solo a chi deve, non ci trovo niente di male. Anzi, mi sembra la soluzione più sensata e affidabile, meglio di un software che difficilmente sei in grado di controllare pienamente.

Poi, senza password come accedi al pc e al password manager?
Con le dovute proporzioni, è un po’ come trasmettere le specifiche del formato PDF in formato PDF. Trasmettiamole in ASCII. Poi su un pezzo di carta spieghiamo le specifiche ASCII (e magari come costruire tutta la tecnologia necessaria). Insomma anche la tecnologia più avanzata dipende a un certo punto dalla primitiva e rozza (?) scrittura su carta. Che a sua volta dipende dalla trasmissione orale…

Se invece il registro delle password sta attaccato al distributore del caffè…

5 Mi Piace

Adesso … che il faldone sia il meglio possibile mi sembra eccessivo a meno che scrivi alla Leonardo + Cesare, ovvero al contrario e cifri :joy: A parte le battute …

Il password manager ti permette di conoscere una sola password a cui accedere a tutte le altre password che vanno in autocompletamento una volta attivato il password manager.

1 Mi Piace

Come password manager segnalo Bitwarden. È software libero, installabile in locale con diverse implementazioni della parte server (es. https://github.com/dani-garcia/bitwarden_rs), estensioni per i browser, app mobili e supporto a FIDO U2F.

Un annetto fa è stato fatto anche un audit di sicurezza da una terza parte.

Io lo trovo perfetto.

3 Mi Piace

Chiaro. Ma quel faldone è GROSSO e sta DENTRO un ufficio. Farlo uscire o copiarlo tutto è difficile. Metti invece una chiave usb, esfiltrarla è più facile, come copiarne tutto il contenuto e poi lavorarci con calma con un bell’attacco bruteforce. Per non parlare del rischio che uno perda la chiavetta. Se poi parliamo di psw custodite su un server chissà dove apriti cielo sulla sicurezza… Qui ci dimentichiamo sempre che chi controlla reti e server controlla quello che ci passa e ci viene scritto dentro. Non voglio certo arrivare a difendere il post it con la psw attaccata al monitor sia chiaro, ma anche l’esaltazione di password manager proprietari e/o stranieri e/o di dubbia efficacia, per me non è opportuna.

1 Mi Piace

Non mi pare il faldone sia scritto in AES256 … o sbaglio? :slight_smile:
Dai il faldone è roba del medioevo contro GDPR e Cybserc, non ci credo che stiamo parlando del fatto che è meglio un faldone :grinning:

E se brucia il faldone, lo rubano, viene perso, cade in mano malevole …???

Signori,
spero davvero di non essere nel 2019 a discutere dei vantaggi che un libro pieno di password possa avere rispetto ad un gestore di password, ovvero nessuno.

Non è affatto vero, ti invito a dare un’occhiata agli algoritmi usati dai più rinomati password manager.

Adesso, stavo cercando di capire effettivamente quale fosse l’alternativa migliore per una piccola PA, da un punto di vista dei costi e funzionalità.

Intanto, iniziamo già avendo due strade percorribili.

  1. Self-Hosted: ottimo in quanto i dati restano fisicamente all’interno dell’ente, però l’ente deve comprare l’hardware, installare il software, mantenerlo e mettere in piedi una strategia di backup.
  2. Cloud: riesce ad avere una continuità di servizio che a cui non ci si potrebbe altrimenti avvicinarci, alimentazioni e reti ridondate, ci sono persone che lavorano affinché tutto funzioni sempre, non ci sono costi iniziali ma piccole rate, non ci si deve occupare di manutenzione. Con questa soluzione, i dati non sarebbero fisicamente nella struttura, però è anche vero che la crittografia ha fatto effettivamente passi da gigante, motivo per il quale mi sento di consigliare questa alternativa.

In cloud, abbiamo quindi un numero tutto sommato grande di aziende che offrono i loro servizi, è da capire quali di queste può effettivamente vendere ad una PA italiana (=usa MEPA ed emette FE).

Buona giornata :slight_smile:

Gli algoritmi sono validi, ma il problema in soluzioni closed-source oppure hosted è “come posso io essere sicuro che effettivamente funzioni così? che abbiano implementato tale sicurezza?”

L’unica soluzione è l’opensource è il self-host.

Tuttavia bisogna anche ricordarsi di una cosa importante: se va giù tutto il datacenter, dove hai anche il file delle password, come fai ?

Io affronterei la questione tralasciando gli aspetti di tecnologia, hosting, algoritmi, cifratura. Mi concentrerei sugli aspetti di sicurezza (non sicurezza ICT, ma proprio sicurezza in generale).

Mi chiederei che requisiti di sicurezza si richiedano a uno strumento di custodia delle chiavi di accesso alle risorse.
Poi si individuano le soluzioni.

Il librone mi pare francamente eccessivo. La maggioranza sarebbe da tenere chiuse nel nostro cloud personale, cioè il cervello, e spero si vada sempre più verso sistemi che danno una certa sicurezza, compresa quella che all’occorrenza si possa resettare la pwd attraverso una mail così come fanno quasi tutti i sistemi seri. In un mondo bellissimo ci sarebbe SPID ovunque, in un mondo bellissimo le matrici stampate sarebbero nei raccoglitori carta della differenziata. In un mondo bellissimo l’agid dovrebbe imporre SPID a tutti i sistemi accessibili via internet, ma tutti tutti. Per gli accessi interni credo che chiedere ad un dipendente di memorizzare una, max due password nella sua testolina non sia chiedere uno sforzo sovrumano. se poi è smemorato se le può memorizzare sul cellulare o da qualche parte che non sia sotto la tastiera o sotto lo schermo, di solito non c’è cosa più personale del cellulare… Per gli amministratori di sistema, qualche metodo anche non infallibile c’è. interessante MNEMOSINE.

Andasse giù un datacenter di 1Password o LastPass o qualsiasi altro non mi aspetto che nello stesso istante i portali online di un qualsiasi Ente Pubblico funzionino! :joy:

Non riesco a capire la domanda. È logico che possiamo avere in uso un sistema infallibile per storage di password, ma se poi la Master Password è scritta sul post-it attaccato al monitor serve a poco. Secondo la mia opinione, il login con token USB (Yubico) dovrebbe essere obbligatorio.

@giuliamacchi, purtroppo ci arriveremo forse nel 3000, altrimenti non esisterebbe questa discussione! :innocent:

1 Mi Piace

Dico proprio a un livello più basso. Che caratteristiche richiedi a un metodo per tenere memoria delle password? Astrai dal fatto che il metodo coinvolga un software, della carta, connessioni sinaptiche…

Infatti io parlavo nel caso di self hosted (chessò ad esempio un keepass con il file delle password sul server ).

Ricordo di aver cercato tempo fa un password manager sicuro con funzionalità client-server a mo’ di antivirus centralizzato ma trovai dei costi proibitivi sui 15k/anno.
Non so voi ma le richieste che ricevo più spesso dai colleghi riguardano le password: password dimenticata, non riesco a cambiarla, account bloccato, tanto che ho settato le scadenze password per software diversi in giorni diversi altrimenti non riuscivo a evadere prontamente tutte le richieste .

Arrivo tardi alla discussione, ma do comunque il mio contributo.

Suggerisco soluzioni open-source, con software installato localmente se si tratta di password personali, o con soluzioni cloud (magari self-hosted su server dell’ente o dell’azienda) in caso di password condivise.

Come soluzione locale c’è KeePass, per soluzione in cloud suggerisco Bitwarden_rs con l’abilitazione della verifica in 2 passaggi: al riguardo bitwarden_rs supporta Yubico, Fudo U2F o authenticator su smartphone e altri.

I password manager servono soprattutto per la gestione di un numero consistente di credenziali, facilmente si arriva nell’ordine delle decine.
Al singolo utente è richiesto solo di ricordarsi un paio di password: quella del proprio PC e la master password del password manager. Quest’ultima tra l’altro, se si abilita l’autenticazione in 2 passaggi, può essere scelta abbastanza lunga sì ma facile da ricordare, quindi ad esempio evitando una password con caratteri casuali.

Personalmente penso che serva un equilibrio tra i due estremi: da un lato non è necessaria una sovrastruttura informatica che renda eccessivamente complicato e rallentato tutto (ricordo, fra l’altro che il completamento automatico non può e non deve esistere per quei software/siti che fanno scadere la password/pin/codice ulteriore dopo tot giorni e prevedono il blocco dell’accesso o la sospensione dell’utenza in caso di password errata), dall’altro è assolutamente fuori luogo un librone … Credo che l’approccio alla minimizzazione dei rischi (tra l’altro usato anche dalle Autorità preposte a dati sensibili per la sicurezza dello Stato: il principio sacrosanto è che non devi sapere niente di più di ciò che è indispensabile che tu sappia) sia quello vincente: premesso che non è necessario che un pubblico ufficio ognuno debba accedere a tutti i software, siti e apparecchiature a disposizione delle varie articolazioni della propria amministrazione, ragionevolmente uno accederà alle risorse di cui necessita per ragioni di servizio ( a meno di non essere talmente versatile da fare il tuttologo “fasso tuto mi” :sweat_smile: ), le credenziali di autenticazione da memorizzare per persona non saranno più di dieci-quindici, la memoria di ciascuno è quella che è, per cui una serie di fogli custoditi in luogo sicuro e non accessibile è plausibile possano essere sufficienti…

ho proposto al team dei miei colleghi una soluzione che risponde ad alcuni dei requisiti esposti nella conversazione.

Il team usa Keepass + subversion.
Il database, comune a tutto il team viene versionato ad ogni cambiamento da parte di ciascun utente.

La soluzione offre molti vantaggi:

  1. disponibilità in locale del file
  2. copia remota del file sul server svn(backup cloud)
  3. possibilità di recuperare vecchie versioni del database con password cancellate o aggiornate.

Lo svantaggio principale consiste nel doversi ricordare di fare update prima di ciascuna modifica e nell’avvertire della commit i colleghi (ma tanto abbiamo una chat di gruppo).

Si può utilizzare qualsiasi sistema di versionamento, noi abbiamo scelto quello che era già disponibile.

1 Mi Piace