Trovato un bug in keepass che permette di ottenere la password dalla memoria stessa del software. La patch è però pronta.
Come utente affezionato di questo software versatile, utilizzo KeePass da molto tempo. Recentemente, un ricercatore di sicurezza informatica ha pubblicato una prova di concetto (PoC) che sfrutta una vulnerabilità nel gestore di password KeePass. Questo exploit consente di estrarre la password principale dalla memoria del software. Anche se KeePass è stato sviluppato principalmente per Windows, i possessori di computer macOS e Linux possono utilizzarlo tramite il framework Mono.
La vulnerabilità, identificata come CVE-2023-32784, è stata scoperta nelle versioni 2.x di KeePass. Questo bug consente l’estrazione della password principale da un dump di memoria in formato testo normale. Il problema deriva dal fatto che il campo di testo utilizzato da KeePass per inserire una password lascia una traccia di testo in memoria per ogni carattere selezionato.
Il ricercatore Vdohney ha pubblicato il PoC come uno strumento chiamato “KeePass 2.X Master Password Dumper”. Questo strumento cerca nel dump di memoria per estrarre qualsiasi password inserita. È importante notare che una patch per questo bug è già stata sviluppata e inclusa nella versione di prova di KeePass 2.54. Tuttavia, il rilascio ufficiale della patch è previsto per luglio.
Una password per ricordarle tutte. – Smartphone – 2° Parte
Nella prima parte di questo articolo abbiamo visto come gestire le nostre password sul nostro PC tramite il programma KeePass2. Adesso vedremo come fare la stessa cosa sul nostro smartphone in modo da avere le nostre password sempre con noi.
Per prima cosa scarichiamo ed installiamo dal Play-Store la nostra App.
App sul Play-Store
App installata
Avviando il programma avremo la possibilità di aprire un archivio già esistente o di crearne uno nuovo.
Se avete seguito e messo in pratica il primo articolo, potete proseguire con l’apertura di un file. Se invece pensate di utilizzare KeePass solamente sul vostro telefono dovrete creare adesso il vostro archivio di password.
Aprire il file creato da PC
Cliccando si Apri File si aprirà una schermata che ci permetterà di selezionare il nostro file a seconda di dove lo avremo salvato.
Poiché abbiamo salvato il nostro archivio sul cloud, e precisamente, nel nostro caso, sul Google Drive, selezioneremo l’icona corrispondente. Come è possibile vedere, l’app è estremamente flessibile e prevede l’accesso a tantissimi diversi sistemi di archiviazione. Una volta dati tutti i consensi ad accedere alle varie aree del telefono, selezionato l’account google dal quale accedere al Drive, potremo cercare e caricare il nostro file per poi ritrovarci nella schermata di accesso.
La modalità QuickUnlock permette di accedere rapidamente all’app ed ai propri dati semplicemente inserendo gli ultimi tre caratteri della password. Una volta inserita la password avremo accesso al nostro file.
Per prendere visione delle varie credenziali memorizzate nel nostro archivio è sufficiente selezionare il Gruppo desiderato ed in seguito sulla Voce desiderata.
Selezione del Gruppo
Selezione della Voce
Visualizzando i dati della Voce, possiamo visualizzare la password cliccando sul simbolo dell’occhio.
Visualizzazione di default
Visualizzazione della password
Volendo inserire una nuova Voce o Gruppo è sufficiente cliccare sull’icona “+” in basso a destra nella schermata desiderata.
Nel caso di una Voce, il programma ci propone inoltre una serie di Form con dati Predefiniti e personalizzati per le diverse tipologie di dati da immagazzinare.
Inseriti tutti i dati possiamo confermare con l’icona del floppy.
Inseriti i dati salviamoli con l’icona del floppy.
Nella prossima puntata vedremo come creare un archivio da zero direttamente utilizzando il solo smartphone.
Una password per ricordarle tutte. – PC – 1° Parte
Abbiamo decine di user e password da gestire per i nostri tanti account: mail, utenze, home banking, social, streaming video o musicale ecc… Il buon senso e le norme di sicurezza ci impongono delle regole chiare per la gestione delle password.
usarne di diverse per tutti i nostri account;
crearne di molto complesse, formate da numeri, lettere maiuscole e minuscole, e caratteri speciali.
Ma come fare a ricordarle tutte? Di certo non possiamo annotarle su un taccuino da riporre in un cassetto; non sarebbe sicuro. Quindi, come fare?
La risposta al nostro problema si chiama KeePass ed è un’applicazione multi-piattaforma, davvero ben fatta che di permette, tramite un’unica password, di tenere traccia di tutte le credenziali dei nostri account. E’ disponibile per Windows, Linux, Mac, Android e iPhone.
Quello che vogliamo fare, è utilizzare questo programma sul nostro computer e sul nostro smartphone gestendone il database, file archivio con tutti i nostri account e credenziali, su un drive online come Onedrive o Google Drive.
Scaricato il programma, proseguiremo con la sua normale installazione ed una volta avviato, per prima cosa, ci preoccuperemo di localizzare il programma in italiano. Per farlo cliccheremo sul menù View – Change Language.
Si aprirà una finestra nella quale, al momento, è presente la sola lingua Inglese. Clicchiamo sul pulsante posto in basso a sinistra Get More Languages e nel nostro browser si aprirà una pagina web dalla quale scaricare il file nella nostra lingua e per la nostra versione di KeePass.
Scaricato il file della lingua in formato zip, decomprimiamolo ed inseriamolo nell’apposita cartella. Infatti, incolleremo il file nella cartella che si apre cliccando sul pulsante Open Folder.
Il file appena copiato nella cartella…
Una volta copiato il file e chiusa la finestra dovremo accedere nuovamente al menù View – Change Language, nel quale però questa volta comparirà la lingua Italiana. Clicchiamo su Italian e rispondiamo SI al messaggio che ci chiede di riavviare il programma per applicare le modifiche alla lingua.
Al riavvio, il programma sarà localizzato nella nostra lingua e potremo iniziare ad utilizzarlo ed a creare il nostro archivio segreto.
Dal menù FILE, selezioniamo NUOVO e diamo l’ok al messaggio di avviso di creazione di un nuovo database.
Si aprirà una finestra nella quale scegliere, il nome del file del nostro archivio, e dove salvarlo. Per poterlo gestire da tutti i nostri dispositivi, il mio consiglio è di salvare il nostro file su un nostro drive in cloud. Io ho usato una cartella appositamente creata nel mio Google Drive.
Il passo seguente consiste nell’impostare la password del nostro archivio. Sarà la password che ci permetterà di avere accesso a tutte le altre e per questo motivo deve essere il più complessa possibile. Sulla schermata è presente un indicatore della qualità della password creata. Migliore sarà e più l’indicatore tenderà al verde con un numero di bit di codifica elevato.
I criteri migliori per creare una password sicura sono:
crearla molto complessa, formata da numeri, lettere maiuscole e minuscole, e caratteri speciali;
non usare nomi, soprattutto dei componenti della famiglia;
non usare date importanti;
alternare i vari caratteri senza che ci sia un senso logico.
Esempio di password troppo semplice nonostante il numero elevato di caratteri.
Con gli stessi dati possiamo creare una password decisamente più sicura ma non ancora ottimale.
la dimostrazione di come una password casuale sia altamente più inviolabile.
Scelta e convalidata la password, imposteremo alcuni parametri del nostro archivio e nello specifico: il nome del database ed una eventuale descrizione. Gli altri dati li possiamo ignorare e mantenere quelli di default.
Come ultimo passaggio, ci verrà richiesto se stampare un documento con la nostra password, da custodire con particolare cura. Volendo, possiamo evitare la stampa e ci ritroveremo quindi all’interno del nostro programma con il nostro archivio appena creato.
Per semplificarci la vita, di default, sono preimpostate alcune categorie e due esempi di account. Da qui, inizia la compilazione e la nostra personalizzazione del nostro archivio.
La parte sinistra dell’interfaccia utente contiene i gruppi, le famiglie sotto le quali possiamo raggruppare i nostri account. Nella parte destra, invece, visualizziamo gli account, denominati Voci, presenti nel gruppo selezionato.
La gestione dei gruppi avviene tramite un menù contestuale che compare cliccando con il tasto destro del mouse su un gruppo. Tramite questo menù abbiamo un controllo totale e possiamo aggiungere, modificare, duplicare o eliminare un gruppo.
Stesso identico discorso, cliccando con il tasto dentro del mouse su una Voce .
Per inserire una Voce nel nostro archivio, dopo aver selezionato il suo gruppo di appartenenza, cliccheremo dal menù contestuale Aggiungi voce.
Comparirà la finestra di immissione dei dati che compileremo con tutte le informazioni e le credenziali del nostro account. Le personalizzazioni sono tante e prevedono anche il cambio di icona, l’inserimenti di note ed anche la possibilità di impostare una scadenza.
Una volta impostati i dati clicchiamo sul tasto OK per confermare la Voce.
Ricordiamoci, alla fine del nostro lavoro, di salvare l’archivio. Una caratteristica molto interessante di KeepPass è di ricordare l’ultimo database aperto, quindi lanciando il programma, ci chiederà automaticamente la password del nostro archivio ed avremo sempre il nostro file a disposizione.
Nel prossimo articolo vedremo come utilizzare KeePass sul nostro telefono utilizzando il nostro database condiviso sul cloud.
Visite totali: 948
Visite Oggi: 0
Letture: 513237
Questo sito Web utilizza i cookie per migliorare la tua esperienza. RifiutaAccetta
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
