Il numero di password che bisogna ricordarsi continua a crescere: webmail, home banking, hosting web, amministrazione dei weblog, gallerie fotografiche, intranet ecc. ecc.
La maggior parte delle soluzioni che si usano per affrontare il problema sono disastrosamente insicure: post-it sul PC (magari in un ufficio open space …), stessa password per tutti gli accessi (basta che venga compromessa la sicurezza di un solo sito …), password semplici da ricordare (e quindi da indovinare).
Nic Wolff ha avuto un idea interessante per risolvere il problema (via Jon’s Radio): un generatore di password che prende il nome del sito e una pass-phrase (una frase facile da ricordare ma difficile da indovinare) e ne fa un hash per creare una password specifica per il sito. In questo modo è sufficiente ricordarsi solo la pass-prase, e anche se la sicurezza di uno dei siti cui abbiamo accesso viene compromessa, le password per gli altri siti rimangono sicure.
Il generatore di password è in Javascript, quindi tutta l’elaborazione viene effettuata dal browser in locale. C’è anche una versione bookmarklet che può essere trascinata sulla barra degli strumenti del browser. Il bookmarklet prende automaticamente il nome del sito e riempie automaticamente il campo password, quindi è sufficiente fornire la pass-prase.
Interessante per la condivisione di password in un gruppo di persone, per esempio per gestire decine di server, router e apparati. Un webserver filtrato e sicuro accessibile solo allo staff, una passphrase e così si evitano i foglietti, le stampate, le password urlate in corridoio
Come mai un webserver filtrato e sicuro ? La generazione è gestita lato client. Dovrebbe bastare una modifica al bookmarklet in maniera da generare la password in base all’indirizzo IP del router (o al domain name completo) …
Scrivo di mettere lo script su un server sicuro per esigenze di autenticità e integrità dello script.
Giustissimo. Comunque, il generatore di password è scritto in poche centinaia di byte di Javascript, quindi può essere distribuito insieme alla pass-phrase, o comunque basta distribuirlo con uno hash per verificarne la provenienza, infatti non è neanche necessario occultarlo: la sicurezza sta nella pass-phrase.