Re: OT : Password manager

[Marco Bertorello]

Il giorno mar 18 feb 2020 alle ore 08:10 Mattia  ha
scritto:

>
> Il 16/01/20 20:16, Marco Bertorello ha scritto:
>
>
>
> Il gio 16 gen 2020, 19:44 Davide Prina  ha
> scritto:
>
>> On 16/01/20 11:33, Marco Bertorello wrote:
>> > Il giorno mer 15 gen 2020 alle ore 20:13 Paolo Redaelli <
>>
>> >> L'ho messa sul MIO nextcloud che sta su una macchina mia.
>>
>> > Ma nextcloud non ha un proprio password manager?
>> >
>> > in cosa deficita rispetto a KeepPassXC?
>>
>> quello che vuol dire è che ha creato un suo cloud personale su una sua
>> macchina o insieme di macchine.
>>
>> Su tale cloud personale ha messo il "portachiavi" di KeepPassXC.
>>
>> Questo vuol dire che in qualsiasi posto è e con qualsiasi PC/dispositivo
>> legge/scrive sullo stesso "portachiavi" nel suo cloud.
>>
>> Ciao
>>
>
> Era chiarissimo cosa fa, ma essendo nella stessa situazione volevo capire
> il vantaggio di usare KeepPassXC rispetto al/ai password manager integrati
> in Nextcloud :)
>
>>
> Su nextcloud ho trovato solo passwords. Posso chiederti come è la tua
> configurazione? Per il momento uso il servizio sync di firefox. Sono più o
> meno la stessa cosa?
>

Si, io uso quello. Ci sono delle estensioni sia per Firefox che per
Chrome/Chromiun e anche un client per Android (non so per iOS).

Per il momento mi trovo bene, sembra fare tutto quello che fanno anche gli
altri password manager (addirittura ti da un giudizio sulla robustezza
della password).

ciao,

-- 
Marco Bertorello
https://www.marcobertorello.it

Re: OT : Password manager

[Mattia]

Il 16/01/20 20:16, Marco Bertorello ha scritto:



Il gio 16 gen 2020, 19:44 Davide Prina > ha scritto:


On 16/01/20 11:33, Marco Bertorello wrote:
> Il giorno mer 15 gen 2020 alle ore 20:13 Paolo Redaelli <

>> L'ho messa sul MIO nextcloud che sta su una macchina mia.

> Ma nextcloud non ha un proprio password manager?
>
> in cosa deficita rispetto a KeepPassXC?

quello che vuol dire è che ha creato un suo cloud personale su una
sua
macchina o insieme di macchine.

Su tale cloud personale ha messo il "portachiavi" di KeepPassXC.

Questo vuol dire che in qualsiasi posto è e con qualsiasi
PC/dispositivo
legge/scrive sullo stesso "portachiavi" nel suo cloud.

Ciao


Era chiarissimo cosa fa, ma essendo nella stessa situazione volevo 
capire il vantaggio di usare KeepPassXC rispetto al/ai password 
manager integrati in Nextcloud :)




Su nextcloud ho trovato solo passwords. Posso chiederti come è la tua 
configurazione? Per il momento uso il servizio sync di firefox. Sono più 
o meno la stessa cosa?

Re: OT : Password manager

[allanon]

ven 17 gennaio 2020, alle 08:53 +0100, Enrico Rossi ha scritto:
> Ciao,
>
> > la mia, come dicevo, era più che altro una curiosità e una proposta
> > alternativa che sapevo essere limitata e un po' "grossolana" se così
> > si può dire.
>
> Hai provato il comando 'pass'?
>
> "pass  is a very simple password store that keeps passwords inside
> gpg2(1) encrypted files inside a simple directory tree residing at
> ~/.password-store."
>
>

Ecco. Stavo per scriverlo io XD
Per rispondere all'autore originario:
non e' affatto una idea "limitata", ne' lo e' la sua implementazione
"pass".

Se keepass gestisce un intero database di password, pass gestisce una
numerabile quantita' di file: uno per ogni servizio.
Lodevole anche l'integrazione con git.

Il vantaggio?
Ogni inserimento/modifica/rimozione coinvolge 1 solo file per
azione. Per cui non ti trovi quasi mai nella condizione di non poter
inserire qualcosa dal computer B, perche' ti sei appena ricordato che
dal computer A hai modificato il db di keepass e non hai sincronizzato
il database. A maggior ragione se integri il tutto con git.

Io mi son spostato da keepass a pass.
esiste anche un tool per facilitare il passaggio.


--
Francesco Alaimo - GnuPG ID Key: A07FF2DB
Fingerprint 3D2F DCD4 6AB3 9C52 995A  969E D634 02FF A07F F2DB

Re: OT : Password manager

[Davide Prina]

On 17/01/20 12:45, gerlos wrote:

Il giorno gio 16 gen 2020 alle ore 21:08 Davide Prina
 ha scritto:



Guarda, il mio ragionamento non è tanto avere "la sicurezza assoluta e
totale" (non credo sia possibile), quanto avere la "sicurezza migliore per
me che sia utilizzabile nella quotidianità *in questo momento*" (che è
possibile).


la sicurezza assoluta non esiste, soprattutto in ambito informatico.

Come dicevo la sicurezza è al livello giusto se chi la deve utilizzare 
la reputa tale, rispetto a quello che protegge e rispetto al costo, non 
solo monetario, che deve "pagare" per attuarla.


Sono intervenuto perché sembrava che le tue scelte fossero ottimali per 
tutti e per tutti i casi... spiegando che le cose sono un po' più 
complesse. Inoltre ho voluto introdurre alcuni concetti che ho appreso e 
che molti ignorano.



Molto meglio che riutilizzare password per più di un servizio


io invece la trovo una scelta ottimale se il servizio è "perdibile".
Esempio banale: giochi online, servizi a cui sei obbligato ad iscriverti
per avere un'informazione, ...
Si può usare sempre la stessa password.
Se qualcuno entra, al massimo perdo il gioco, ma mi sono risparmiato la
fatica di dover ricordarmi molte password.

Quindi, in questi casi, io valuto che il rischio vale la candela...



Lo capisco e sembra ragionevole.

Però si pone il problema che citavi sopra: e se l'attaccante identificasse
la tecnica che usi per generare le password?


È sufficiente utilizzare criteri e metodi completamente diversi per ogni 
tipologia di servizio, dove per tipologia intendo chi c'è dall'altra 
parte che registra le tue password.


Infatti un altro punto debole è che chi ti offre il servizio e registra 
la tua password può decidere come mantenerla:

* in chiaro (è successo più di una volta che fossero accessibili a tutti)
* cifrata
* l'hash e non la pwd
Quindi un attaccante può attaccare il tuo fornitore del servizio o il 
tuo fornitore del servizio può vendere i tue dati (come capita molto 
spesso, soprattutto dove non c'è una legge sulla privacy, come negli USA)


Poi ci sono le backdoor richieste dai vari servizi di sicurezza...
USA con microsoft, IBM, ...
Russia con l'installazione di software loro su ogni nuovo dispositivo
Cina con riconoscimento facciale, software loro, ...
...

...ma la cosa che mi ha lasciato sconcertato è che è stata proposta 
circa un mese fa una modalità che è intermedia tra una backdoor e un 
algoritmo senza backdoor, a disposizione dei servizi di sicurezza 
nazionali... l'unica cosa che lo rende, a detta degli autori, 
inutilizzabili per un controllo di massa è che il "costo" da pagare dai 
servizi di sicurezza è elevato per ogni singolo accesso:


https://arxiv.org/abs/1912.05620

Se qualcosa del genere entrasse nelle legislazioni nazionali e venisse 
imposto l'uso, secondo me, sarebbe un declino e un annullamento della 
scelta della sicurezza adeguata.



Onestamente, sono talmente abituato ad usare un generatore di password e un
portachiavi, che probabilmente per me pensare una password o digitarla a
manina sarebbe più "laborioso" che usare lo stesso "standard sicuro"
(password ricavate dal generatore) che uso per le altre cose. ;-)


un'altra cosa che ho scoperto è che ci sono servizi che troncano le 
password ad X caratteri. Quindi se tu generi una password di Y caratteri 
con Y > X, allora scrivere X+1 o X+2 o X+... o Y caratteri ottieni 
sempre l'ingresso al servizio.
Questo rende poco affidabile il servizio, soprattutto se la lunghezza di 
X è piccola. Per verificare è sufficiente provare ad inserire la tua 
password Y tranne l'ultimo carattere e se entri... puoi ripetere fino a 
verificare il numero di caratteri che realmente utilizza.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
What happened in 2013 couldn't have happened without free software
(He credited free software for his ability to help disclose the U.S. 
government's far-reaching surveillance projects).

Edward Snowden

Re: OT : Password manager

[gerlos]

Il giorno ven 17 gen 2020 alle ore 14:02 Luca Sighinolfi <
lsighino...@autistici.org> ha scritto:

> Buongiorno a tutti
>
> On 2020-01-17 11:45, gerlos wrote:
> > Il giorno gio 16 gen 2020 alle ore 21:08 Davide Prina <
> > davide.pr...@gmail.com> ha scritto:
> >
> >> On 16/01/20 17:40, gerlos wrote:
> >>
> > [...]
>
> Il discorso sul gestore di password e quello che sta intorno
> è molto interessante.
>
> Dato che al momento uso FPM2 solo su Debian, e che avete parlato
> tutti molto bene di keepassXC, è consigliabile per qualche motivo
> di sicurezza il passaggio a keepass e l'abbandono di FPM2?
>

Non conosco FPM2, non so se sia più o meno sicuro di KeepassXC, e guardando
il sito non si capisce quanto attivamente sia sviluppato (nel changelog non
ci sono date). :-(

KeepassXC è attivamente sviluppato, è una delle tante implementazioni di
keepass, ed il formato del database è molto usato, anche su diverse
piattaforme (gnu/linux, windows, macos, android, ios, web,...).

Se KeepassXC dovesse essere abbandonato, rimarrebbe possibile usare
un'altra implementazione per aprire il file database delle tue password (ed
è quello che è accaduto quando lo sviluppo di KeepassX si è fermato).

Quindi non sei vincolato alla piattaforma o al programma specifico, ma al
formato (per me è un vantaggio).


>
> Uso FPM2 principalmente perché usa le librerie GTK invece delle QT;
> anche se non uso nè GNOME nè KDE, sono più sul versante GTK
>

In questo caso non considererei le librerie come un criterio rilevante per
la scelta di un programma "delicato" e specialistico come un portachiavi.

Onestamente darei più rilevanza all'attività e al numero di sviluppatori
coinvolti (più sono e più sono attivi, meglio è), alle funzionalità, alla
documentazione, alla trasparenza di sviluppo e all'interoperabilità.
A "naso" sembrerebbe che FPM2 sia sviluppato da una sola persona, non si
capisce con quale cadenza.
Su Github invece si vede chiaramente che KeepassXC ha intorno molte
persone, molto attive:
https://github.com/keepassxreboot/keepassxc


>
> Altra domanda: secondo voi, è un rischio accedere al suddetto FPM2
> via SSH, per caricare le password (principalmente si siti istituzionali
> o altre cose di minor importanza, dato che mail ed altre più importante
> le ho create io e memorizzate)?
>

Non so, credo molto dipenda da *come* avviene questa connessione via SSH.

saluti,
-gerlos

-- 
"Life is pretty simple: You do some stuff. Most fails. Some works. You do
more of what works. If it works big, others quickly copy it. Then you do
something else. The trick is the doing something else."
 gerlos  +- - - >  gnu/linux registred user #311588

Re: OT : Password manager

[Luca Sighinolfi]

Buongiorno a tutti

On 2020-01-17 11:45, gerlos wrote:

Il giorno gio 16 gen 2020 alle ore 21:08 Davide Prina <
davide.pr...@gmail.com> ha scritto:


On 16/01/20 17:40, gerlos wrote:


[...]


Il discorso sul gestore di password e quello che sta intorno
è molto interessante.

Dato che al momento uso FPM2 solo su Debian, e che avete parlato
tutti molto bene di keepassXC, è consigliabile per qualche motivo
di sicurezza il passaggio a keepass e l'abbandono di FPM2?

Uso FPM2 principalmente perché usa le librerie GTK invece delle QT;
anche se non uso nè GNOME nè KDE, sono più sul versante GTK

Altra domanda: secondo voi, è un rischio accedere al suddetto FPM2
via SSH, per caricare le password (principalmente si siti istituzionali
o altre cose di minor importanza, dato che mail ed altre più importante
le ho create io e memorizzate)?

Grazie
Ciao
--
Luca Sighinolfi

Re: OT : Password manager

[gerlos]

Il giorno gio 16 gen 2020 alle ore 21:08 Davide Prina <
davide.pr...@gmail.com> ha scritto:

> On 16/01/20 17:40, gerlos wrote:
>
> > - Ho creato il mio database, impostando una password di più di 16
> > caratteri *E* un file chiave. Senza password e chiave, il database non
> > si apre. Una volta l'anno cambio la password.
>
> mi sembra di leggere quanto sbandieravano molti fino a pochissimo tempo
> fa: il TFA (Two Factor Authentication) è sicuro, inattaccabile... poi
> peccato che siano riusciti a bucarlo facilmente negli ultimi periodi:
>

[CUT]


> Questo per dirti che l'argomento è davvero molto complesso e non è così
> semplice dire: quello che sto usando è sicuro... perché i fattori in
> gioco sono talmente numerosi che è difficile per un non esperto riuscire
> non solo a considerarli, ma anche a comprenderli e individuarli.
>
> Un esempio banale: leggendo post di esperti di sicurezza a volte vedo
> che trattano cose, che ritengo o ritenevo sicure, come se fossero
> completamente insicure (ad esempio: se hai un canale TLS, come https, e
> devi trasferire un file che contiene dati che vuoi proteggere... dicono
> che devi per lo meno cifrarlo)
>

Guarda, il mio ragionamento non è tanto avere "la sicurezza assoluta e
totale" (non credo sia possibile), quanto avere la "sicurezza migliore per
me che sia utilizzabile nella quotidianità *in questo momento*" (che è
possibile).

Ad esempio:
- Aggiungere un file chiave ad un database keepass ne aumenta un po' la
sicurezza, senza ostacolare il mio workflow (devo solo copiarlo la prima
volta), quindi lo uso.
- Cambiare una volta l'anno la password del database e dei servizi
principali che uso (come lo storage cloud) aumenta un po' la mia sicurezza,
senza impattare significativamente (mi basta meno di un'ora), quindi lo
faccio.
- Modificare le impostazioni di cifratura del database aumenta un po' la
sicurezza, senza ostacolarmi più di tanto (posso accettare 1-2 s in più
prima che si apra il database), quindi lo faccio.
- Uso un programma dedicato come KeepassXC attivamente sviluppato e open
source perché se dovesse essere identificato un bug nell'implementazione,
sarebbe noto e sarebbe nell'interesse di tutti risolverlo (non ho modo di
sapere se accade lo stesso per servizi cloud come Lastpass).

Alla fine sono un "normale cittadino", e non essendo un capo di stato o un
comandante militare considero queste misure di sicurezza adeguate per le
mie necessità.
Poi comunque una volta l'anno faccio una verifica, e vedo se è necessario
cambiare qualcosa nel mio workflow. Insomma, non la considero la soluzione
definitiva.


>
> > Sì, lo so, è un possibile rischio di di sicurezza, ma siamo onesti:
> > usando password e chiave, tenendo la chiave separata dal database,
> > cambiando password e aumentando i giri di cifratura periodicamente, il
> > rischio è molto limitato
>
> però se si fanno il backup di tutti i tuoi portachiavi e riescono a
> leggere quello del 2010, possono vedere la tecnica che utilizzi per
> generare le password, quali servizi utilizzi e che tipo di servizio
> utilizzi. Questo può garantire all'attaccante un vantaggio che gli può
> permettere di ottenere dei buoni risultati in un possibile attacco nei
> tuoi confronti...
>

È vero. Però il portachiavi del 2010 potrebbe avere informazioni poco
utili.
Per esempio: per quanto riguarda le password, generalmente uso generatori
di password per crearle, quindi c'è poco da indagare (non credo che da ~100
password, generate in momenti aleatori, su hardware diversi, si possa
trovare una qualche forma di regolarità da cui desumere ipotetiche password
future, sono troppo ottimista?).

In effetti sapere che servizi uso potrebbe essere utile per fabbricare
campagne di phishing ad hoc per me. O che ne so, prendere di mira dei VPS
che ho online con attacchi ransomware. Però mi chiedo se il gioco valga la
candela per l'attaccante.

Ripeto, questi rischi mi vanno bene in relazione alla mia situazione
attuale.
Se tra un anno dovessi trovarmi in una situazione diversa, che ne so,
dovessi diventare Presidente della Galassia (cit.), probabilmente questi
rischi non sarebbero più accettabili e cercherei soluzioni diverse.


> Il problema è che spesso non si riesce a valutare il rischio che si
> corre. Non solo perché magari non si è degli esperti, ma anche perché
> non si conosce effettivamente cosa si sta utilizzando (es: come è stato
> progettato? come è stato implementato?)
>
> Tieni presenti che la maggior parte dei problemi di sicurezza che si
> vedono in giro, da quello che ho capito io, sono dovuti a cattiva
> progettazione, cattiva implementazione e cattiva o assente manutenzione.
>

Ragion per cui è sempre meglio usare soluzioni open source/free software
attivamente sviluppate - se (com'è accaduto anni fa con openssl) si dovesse
trovare che c'è un problema, difficilmente passerebbe sotto silenzio, e si
potrebbe fare qualcosa (cambiare implementazione o spostare i dati su un
formato diverso).


>
> > Molto meglio che 

Re: OT : Password manager

[WinterMute]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

il Fri, 17 Jan 2020 08:53:50 +0100
Enrico Rossi  scrisse:

|Hai provato il comando 'pass'?
|
|[...]
|
|C'è anche webext-browserpass per fare il completamento dei login in FF.

buongiorno Enrico,

interessante, non conoscevo questa feature. 
non appena di ritorno dal lavoro non mancherò di approfondire e fare qualche 
test al riguardo, nel mentre ti ringrazio per la segnalazione.

|Ciao
|E.

saluti.

***
|-> WinterMute <-| @ https://www.debian.org/   [branch] bullseye/sid
[GNU  Project] > https://www.gnu.org/
[Kernel  Archives] > https://www.kernel.org/
[GPG  FingerPrint] > 38A4 5354 30C5 E86F 9AA8  B234 7227 D71D A547 39E0
***
-BEGIN PGP SIGNATURE-
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=d5zC
-END PGP SIGNATURE-

Re: OT : Password manager

[Enrico Rossi]

Ciao,

> la mia, come dicevo, era più che altro una curiosità e una proposta
> alternativa che sapevo essere limitata e un po' "grossolana" se così
> si può dire.

Hai provato il comando 'pass'?

"pass  is a very simple password store that keeps passwords inside
gpg2(1) encrypted files inside a simple directory tree residing at
~/.password-store."

C'è anche webext-browserpass per fare il completamento dei login in FF.

Ciao
E.

-- 
GPG key: 4096R/5E0195FAF2133176 2010-10-19 Enrico Rossi 

Re: OT : Password manager

[WinterMute]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

il Thu, 16 Jan 2020 20:49:44 +0100
Davide Prina  scrisse:

| [...]

buonasera Davide

innanzitutto grazie per la risposta e le informazioni fornite, naturalmente le 
funzioni che citi sono proprie di un software che nativamente si occupa non 
solo di creare database cifrati che fungono da contenitore di password ma 
hanno, per l'appunto, una serie di funzioni aggiuntive molto utili.

io stesso ho, in seguito a questa discussione, provato ad installare / 
utilizzare keepassXC e devo dire che è un ottimo prodotto.

la mia, come dicevo, era più che altro una curiosità e una proposta alternativa 
che sapevo essere limitata e un po' "grossolana" se così si può dire.

|Ciao
|Davide

saluti :)

***
|-> WinterMute <-| @ https://www.debian.org/   [branch] bullseye/sid
[GNU  Project] > https://www.gnu.org/
[Kernel  Archives] > https://www.kernel.org/
[GPG  FingerPrint] > 38A4 5354 30C5 E86F 9AA8  B234 7227 D71D A547 39E0
***
-BEGIN PGP SIGNATURE-
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=HyQ9
-END PGP SIGNATURE-

Re: OT : Password manager

[Davide Prina]

On 16/01/20 19:38, WinterMute wrote:


al netto dei software specifici che sono stati citati non si potrebbe, 
banalmente, servirsi di un comune editor di testo e cifrare il tutto mediante 
gpg?


la soluzione può essere adeguata, valutando l'algoritmo usato e la 
lunghezza della chiave.



forse il procedimento è leggermente più macchinoso ma a conti fatti il 
risultato potrebbe essere pari a quello ottenuto usando i programmi nominati?


con i programmi indicati hai un bel po' di funzionalità in più:
* generazioni automatiche di password lunghe e con tutti i caratteri 
possibili
* inserimento automatica di login/password da parte del programma nel 
servizio a cui devi accedere

* gestione delle password più semplice e pulita
* ...

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
I lati oscuri del secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web
Petizione contro il secure boot:
https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Davide Prina]

On 16/01/20 17:40, gerlos wrote:

- Ho creato il mio database, impostando una password di più di 16 
caratteri *E* un file chiave. Senza password e chiave, il database non 
si apre. Una volta l'anno cambio la password.


mi sembra di leggere quanto sbandieravano molti fino a pochissimo tempo 
fa: il TFA (Two Factor Authentication) è sicuro, inattaccabile... poi 
peccato che siano riusciti a bucarlo facilmente negli ultimi periodi:

* cattiva implementazione
* uso del telefonino per entrambi le autenticazioni... quindi diventa 
autenticazione ad un fattore
* uso di software con bug sui server del servizio messoti a disposizione 
che permetteva all'attaccante di far credere al server che ci fosse 
stata l'autenticazione TFA

* pessima progettazione
* ...

è sufficiente cercare con un motore di ricerca per trovare diversi casi 
in cui in TFA è stato penetrato con successo dall'attaccante.


- Sul database ho aumentato le impostazioni di cifratura rispetto a 
quelle predefinite (Da Database > Impostazioni database > Sicurezza). 
Per esempio, c'è un bottone che "ottimizza" la cifratura in base 
all'hardware che stai usando - io aumento un po' i parametri, in modo 
che sia un po' più difficile da "rompere", la cifratura.


quando configuri Linux per la compilazione c'è un simpatico flag:

RANDOM_TRUST_CPU Trust the CPU manufacturer to initialize Linux's CRNG

che è impostato sempre a Y.

Questo vuol dire che se stai usando un hardware che non è degno di 
fiducia, perché i numeri che dovrebbero essere random (pseudocasuali), 
in realtà sono scelti a proposito, allora hai minato il tuo algoritmo di 
cifratura rendendolo debole e facilmente superabile da chi conosce la 
"scelta" effettuata durante la generazione delle chiavi.


Se usi macchine/device diversi per ottenere le chiavi di cifratura, è 
sufficiente che ce ne sia uno non "affidabile" per far crollare la tua 
sicurezza, una volta che hai usato questo anello debole della tua catena.


Questo per dirti che l'argomento è davvero molto complesso e non è così 
semplice dire: quello che sto usando è sicuro... perché i fattori in 
gioco sono talmente numerosi che è difficile per un non esperto riuscire 
non solo a considerarli, ma anche a comprenderli e individuarli.


Un esempio banale: leggendo post di esperti di sicurezza a volte vedo 
che trattano cose, che ritengo o ritenevo sicure, come se fossero 
completamente insicure (ad esempio: se hai un canale TLS, come https, e 
devi trasferire un file che contiene dati che vuoi proteggere... dicono 
che devi per lo meno cifrarlo)


- Ho messo il file database su un noto servizio di storage cloud per 
averlo il più possibile disponibile.


come dicevo, secondo me, questo è negativo... poi ognuno valuta la sua 
situazione e decide come preferisce.


Sì, lo so, è un possibile rischio di di sicurezza, ma siamo onesti: 
usando password e chiave, tenendo la chiave separata dal database, 
cambiando password e aumentando i giri di cifratura periodicamente, il 
rischio è molto limitato


però se si fanno il backup di tutti i tuoi portachiavi e riescono a 
leggere quello del 2010, possono vedere la tecnica che utilizzi per 
generare le password, quali servizi utilizzi e che tipo di servizio 
utilizzi. Questo può garantire all'attaccante un vantaggio che gli può 
permettere di ottenere dei buoni risultati in un possibile attacco nei 
tuoi confronti...



e per me accettabile,


questo è fondamentale.
Qualcosa è sicuro se il livello di sicurezza rende accettabile il rischio.

Il problema è che spesso non si riesce a valutare il rischio che si 
corre. Non solo perché magari non si è degli esperti, ma anche perché 
non si conosce effettivamente cosa si sta utilizzando (es: come è stato 
progettato? come è stato implementato?)


Tieni presenti che la maggior parte dei problemi di sicurezza che si 
vedono in giro, da quello che ho capito io, sono dovuti a cattiva 
progettazione, cattiva implementazione e cattiva o assente manutenzione.



Molto meglio che riutilizzare password per più di un servizio


io invece la trovo una scelta ottimale se il servizio è "perdibile".
Esempio banale: giochi online, servizi a cui sei obbligato ad iscriverti 
per avere un'informazione, ...

Si può usare sempre la stessa password.
Se qualcuno entra, al massimo perdo il gioco, ma mi sono risparmiato la 
fatica di dover ricordarmi molte password.


Quindi, in questi casi, io valuto che il rischio vale la candela...

o che tenere le password su un 
blocco note fisico, che sarà pure offline, ma non ne puoi fare backup

facilmente e se lo perdi, sei nei guai.


fotocopiatrici, non esistono più? ;-)
macchine fotografiche

poi puoi adottare un tuo codice di scrittura che può renderne la lettura 
ad un terzo complessa o impossibile... a meno che sia un esperto di 
cifratura


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non 

Re: OT : Password manager

[Marco Bertorello]

Il gio 16 gen 2020, 19:44 Davide Prina  ha scritto:

> On 16/01/20 11:33, Marco Bertorello wrote:
> > Il giorno mer 15 gen 2020 alle ore 20:13 Paolo Redaelli <
>
> >> L'ho messa sul MIO nextcloud che sta su una macchina mia.
>
> > Ma nextcloud non ha un proprio password manager?
> >
> > in cosa deficita rispetto a KeepPassXC?
>
> quello che vuol dire è che ha creato un suo cloud personale su una sua
> macchina o insieme di macchine.
>
> Su tale cloud personale ha messo il "portachiavi" di KeepPassXC.
>
> Questo vuol dire che in qualsiasi posto è e con qualsiasi PC/dispositivo
> legge/scrive sullo stesso "portachiavi" nel suo cloud.
>
> Ciao
>

Era chiarissimo cosa fa, ma essendo nella stessa situazione volevo capire
il vantaggio di usare KeepPassXC rispetto al/ai password manager integrati
in Nextcloud :)

>

Re: OT : Password manager

[Davide Prina]

On 16/01/20 11:21, Riccardo Brazzale wrote:


questa frase mi fa rabbrividire :-(



Immagino che a questo punto il discorso valga anche per i password
manager i cui
dati sono archiviati nei loro server.


certamente.

La crittografia ti permette di trasformare un messaggio intellegibile in 
una stringa dalla parvenza casuale di caratteri, normalmente con una 
lunghezza maggiore rispetto al messaggio iniziale.


Se hai scelto un buon algoritmo di cifratura, hai i seguenti:

1) mediamente è difficile trovare la chiave per decifrarlo, anche con 
computer di grosse dimensioni (vedi supercomputer)... ma questo vale oggi


2) con il passare del tempo i PC (o dispositivi creati ad hoc) diventano 
più veloci e possono arrivare ad eseguire una quantità di operazioni in 
più rispetto al passato e quindi potrebbe diventare "facile" ottenere la 
decifratura. Infatti ogni X anni indicano come non più sicure le chiavi 
di lunghezza inferiori a X bit


3) l'utilizzo "non corretto" della chiave per cifrare può, in alcuni 
casi, permettere di giungere a conoscere la chiave stessa. Infatti gli 
americani, nella seconda guerra mondiale, riuscirono a decifrare i 
messaggi cifrati dei tedeschi proprio perché qualcuno non si prendeva la 
briga di cambiare la "chiave" e cifrava messaggi diversi sempre con la 
stessa... mentre chi aveva progettato e costruito la macchina di 
cifratura aveva indicato di cambiare la chiave per ogni messaggio inviato...
Visto che il "portachiavi" cifrato ha degli aggiornamenti continui e che 
la chiave di cifratura è la stessa, potrebbe essere che...


4) più di una volta algoritmi di crittografia ritenuti più che sicuri 
sono risultati poco sicuri per bug di implementazione o di progettazione 
o ...


L'argomento è così complesso che gli esperti di sicurezza indicano come 
sicuro un algoritmo di cifratura solo se passa l'esame dei maggiori 
esperti mondiali di cifratura... quindi no fai da te, come fanno alcune 
società come m$ (avevo letto a suo tempo forti critiche da esperti di 
cifratura per gli algoritmi che si era inventata per cifrare il suo 
formato OOXML, o come si chiama ora, cioè i vari docx, xmlx, ...).


Tutto questo per dire che un algoritmo di cifratura che oggi ti offre, 
rispetto a quello che si conosce oggi, granzie sufficienti, potrebbe 
domani essere decifrabile molto facilmente.



https://clipperz.is/security_privacy/


Tutto quello che ho detto qui sopra vale anche in questo caso.

Poi, ripeto, non mi meraviglierei se si scoprisse che ci siano società 
che stiano accumulando tutti i portachiavi cifrati su cui riescono a 
mettere le mani...


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Sistema operativo: http://www.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[WinterMute]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

il Tue, 14 Jan 2020 18:29:20 +0100
Antonio Catellani  scrisse:

|Scusate l'OT, chiedevo consiglio per un password manager
|multipiattaforma, linux, android, windows. Attualmente utilizzo
|encryptr spideroak che funziona benissimo, ma non viene aggiornato da
|anni e quindi non so se sia il caso di continuare ad utilizzarlo.
|Continuo con encryptr o è meglio cambiare con altro ?

buonasera,

visto che hai già ottenuto molte segnalazioni / opinioni in merito a quanto 
chiedevi per amore di conversazione provo a porre una domanda legata alla 
questione in oggetto.

al netto dei software specifici che sono stati citati non si potrebbe, 
banalmente, servirsi di un comune editor di testo e cifrare il tutto mediante 
gpg?
forse il procedimento è leggermente più macchinoso ma a conti fatti il 
risultato potrebbe essere pari a quello ottenuto usando i programmi nominati?

ho sollevato la questione perchè in buona sostanza da tempo le mie password 
sono scritte e salvate su un file di testo che successivamente viene cifrato 
(usando l'opzione "-c" di gpg per associare una password al file).
anche la questione dell'essere una soluzione multi piattaforma mi pare 
soddisfatta.

mi scuso con l'autore per l'intromissione e per eventuali imprecisioni ma sono 
stato spinto a chiedere per pura curiosità

|Grazie mille e ciao
|pacmo

saluti.

***
|-> WinterMute <-| @ https://www.debian.org/   [branch] bullseye/sid
[GNU  Project] > https://www.gnu.org/
[Kernel  Archives] > https://www.kernel.org/
[GPG  FingerPrint] > 38A4 5354 30C5 E86F 9AA8  B234 7227 D71D A547 39E0
***
-BEGIN PGP SIGNATURE-
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=Cgv2
-END PGP SIGNATURE-

Re: OT : Password manager

[Davide Prina]

On 16/01/20 11:33, Marco Bertorello wrote:

Il giorno mer 15 gen 2020 alle ore 20:13 Paolo Redaelli <



L'ho messa sul MIO nextcloud che sta su una macchina mia.



Ma nextcloud non ha un proprio password manager?

in cosa deficita rispetto a KeepPassXC?


quello che vuol dire è che ha creato un suo cloud personale su una sua 
macchina o insieme di macchine.


Su tale cloud personale ha messo il "portachiavi" di KeepPassXC.

Questo vuol dire che in qualsiasi posto è e con qualsiasi PC/dispositivo 
legge/scrive sullo stesso "portachiavi" nel suo cloud.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Davide Prina]

On 15/01/20 20:13, Paolo Redaelli wrote:



Il 15 gennaio 2020 19:38:10 CET, Davide Prina ha scritto:

On 15/01/20 09:28, Paolo Redælli wrote:


ho messo il file delle chiavi su Nextcloud.


questa frase mi fa rabbrividire :-(

tu hai messo il tuo portachiavi su un cloud. Quindi hai fatto si che
terzi lo abbiano e ne abbiano fatto il backup.


L'ho messa sul MIO nextcloud che sta su una macchina mia.


ok, così non rabbrividisco più :-)

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Elenco di software libero: http://tinyurl.com/eddgj
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[gerlos]

Il 14/01/20 18:29, Antonio Catellani ha scritto:

Scusate l'OT, chiedevo consiglio per un password manager
multipiattaforma, linux, android, windows. Attualmente utilizzo
encryptr spideroak che funziona benissimo, ma non viene aggiornato da
anni e quindi non so se sia il caso di continuare ad utilizzarlo.
Continuo con encryptr o è meglio cambiare con altro ?



Anche io mi ritrovo a lavorare in ambienti eterogenei.

Ti dico come faccio io. Fondamentalmente uso un database Keepass2 
(perché oltre alle password aggiungo alle voci di database anche altri 
dati, come annotazioni, file, etc), in questo modo:


- Su linux uso KeepassXC https://keepassxc.org/, visto che lo sviluppo 
di KeepassX sembra stagnante. Normalmente uso KeepassXC (e 
Keepass2Android sul cellulare) ANCHE per generare le nuove password che 
mi servono.


- Ho creato il mio database, impostando una password di più di 16 
caratteri *E* un file chiave. Senza password e chiave, il database non 
si apre. Una volta l'anno cambio la password.


- Sul database ho aumentato le impostazioni di cifratura rispetto a 
quelle predefinite (Da Database > Impostazioni database > Sicurezza). 
Per esempio, c'è un bottone che "ottimizza" la cifratura in base 
all'hardware che stai usando - io aumento un po' i parametri, in modo 
che sia un po' più difficile da "rompere", la cifratura. Quando comprerò 
un PC e uno smartphone più potenti, aumenterò ulteriormente questi 
parametri. Per approfondire vedi:


https://www.linkedin.com/pulse/dear-keepass-user-you-safe-ton-snoei

- Ho messo il file database su un noto servizio di storage cloud per 
averlo il più possibile disponibile. Ma solo quello - il file chiave non 
vede network, lo trasferisco solo tramite storage locale.


Sì, lo so, è un possibile rischio di di sicurezza, ma siamo onesti: 
usando password e chiave, tenendo la chiave separata dal database, 
cambiando password e aumentando i giri di cifratura periodicamente, il 
rischio è molto limitato e per me accettabile, in confronto ai vantaggi 
che ho (come sempre, la sicurezza va commisurata al caso specifico e ai 
rischi che si corrono).


Molto meglio che riutilizzare password per più di un servizio, o usare 
un servizio dedicato come Lastpass, o che tenere le password su un 
blocco note fisico, che sarà pure offline, ma non ne puoi fare backup 
facilmente e se lo perdi, sei nei guai.


- Ho uno smartphone Android, su cui uso l'app Keepass2Android, che è in 
grado di mantenere in sincronia il file database dal noto servizio di 
storage cloud. Keepass2Android è open source, è veramente bello ed ha un 
sacco di funzionalità comode, come lo sblocco del database tramite il 
lettore di impronte del cellulare (che sì, è una cosa che diminuisce 
lievemente la sicurezza, ma è veramente MOLTO comoda), una tastiera 
dedicata (così non devi fare copia e incolla), l'integrazione con il 
portachiavi di Android e l'integrazione con InputStick, e quest'ultima è 
un'invenzione MAGNIFICA (vedi sotto). Sullo smartphone ho copiato il 
file chiave via USB.


- Se usassi sistemi iOS, probabilmente userei Strongbox. L'ho visto 
tempo fa, mi è sembrato ben fatto, e supporta lo storage cloud che uso già.


- Al lavoro mi hanno dato un Mac desktop, e anche là uso KeepassXC (che 
tengo aggiornato tramite homebrew), con il file database che si 
sincronizza tramite lo storage cloud ed il file chiave che è stato 
copiato via USB. Se avessi un PC Windows, probabilmente continuerei ad 
usare KeepassXC, visto che sono troppo pigro per combattere con 
un'interfaccia diversa.


- Tempo fa tenevo una copia del mio file database e del file chiave su 
una pendrive USB, insieme ad una versione Windows portable di KeepassXC. 
Funzionava, ma non ero contentissimo. Poi ho scoperto InputStick.


- InputStick (http://inputstick.com/) essenzialmente è una coppia 
"tastiera+mouse USB controllabile via Bluetooth". A che serve? La associ 
allo smartphone (si parlano tramite Bluetooth), la colleghi ad una porta 
USB su un PC, e tramite un'app per Android puoi usarla per inviare testo 
o movimenti del mouse al PC in questione.


Già così sarebbe una cosa comoda (ad es. copi una password da 
Keepass2Android e la incolli nell'app di InputStick per riempire un 
campo sul PC), ma la cosa stra-comoda è che esiste un plugin per 
Keepass2Android che ti permette di fare tutto senza neanche quel giro di 
copia e incolla: apri la voce del database, e da un menù invii i dati al 
PC, senza che le password passino dalla clipboard del cellulare!


Ovviamente usare il cellulare per inserire molte password o modificare 
il database di keepass non è proprio comodissimo...


- Per questa ragione ormai mi porto dietro una pendrive con il solo file 
chiave - se sono sul PC di un'altra persona ed ho accesso ad Internet 
uso KeeWeb (https://keeweb.info/), una web app open source che supporta 
il mio storage cloud (ma volendo Keeweb può aprire anche file locali).


Mi basta una "finestra anonima" di un browser per accedere 

Re: OT : Password manager

[Marco Bertorello]

Il giorno mer 15 gen 2020 alle ore 20:13 Paolo Redaelli <
paolo.redae...@gmail.com> ha scritto:

>
>
> Il 15 gennaio 2020 19:38:10 CET, Davide Prina  ha
> scritto:
> >On 15/01/20 09:28, Paolo Redælli wrote:
> >
> >> ho messo il file delle chiavi su Nextcloud.
> >
> >questa frase mi fa rabbrividire :-(
> >
> >tu hai messo il tuo portachiavi su un cloud. Quindi hai fatto si che
> >terzi lo abbiano e ne abbiano fatto il backup.
>
> L'ho messa sul MIO nextcloud che sta su una macchina mia.
>

Ma nextcloud non ha un proprio password manager?

in cosa deficita rispetto a KeepPassXC?

-- 
Marco Bertorello
https://www.marcobertorello.it

Re: OT : Password manager

[Riccardo Brazzale]

Ciao,

>
> > questa frase mi fa rabbrividire :-(
>


> Immagino che a questo punto il discorso valga anche per i password
> manager i cui
> dati sono archiviati nei loro server.
>
>
https://clipperz.is/security_privacy/

*Usa Software Libero *

Riccardo

Re: OT : Password manager

[pacmo]

Il 15/01/20 19:38, Davide Prina ha scritto:
> On 15/01/20 09:28, Paolo Redælli wrote:
> 
>> ho messo il file delle chiavi su Nextcloud.
> 
> questa frase mi fa rabbrividire :-(
> 
> Ciao
> Davide

Immagino che a questo punto il discorso valga anche per i password
manager i cui
dati sono archiviati nei loro server.

Re: OT : Password manager

[Paolo Miotto]

Il 14/01/20 18:29, Antonio Catellani ha scritto:
> Scusate l'OT, chiedevo consiglio per un password manager
> multipiattaforma, linux, android, windows. Attualmente utilizzo


Se ti va bene un accesso web prova a dare un occhio a clipperz.is, 
crittografa tutto sul client prima di salvare le password, è open source 
(almeno una parte) ed è fatto da italiani.


-- 

Mandi.

Paolo

Re: OT : Password manager

[Paolo Redaelli]

Il 15 gennaio 2020 19:38:10 CET, Davide Prina  ha 
scritto:
>On 15/01/20 09:28, Paolo Redælli wrote:
>
>> ho messo il file delle chiavi su Nextcloud.
>
>questa frase mi fa rabbrividire :-(
>
>tu hai messo il tuo portachiavi su un cloud. Quindi hai fatto si che 
>terzi lo abbiano e ne abbiano fatto il backup.

L'ho messa sul MIO nextcloud che sta su una macchina mia.



-- 
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

Re: OT : Password manager

[Davide Prina]

On 15/01/20 09:28, Paolo Redælli wrote:


ho messo il file delle chiavi su Nextcloud.


questa frase mi fa rabbrividire :-(

tu hai messo il tuo portachiavi su un cloud. Quindi hai fatto si che 
terzi lo abbiano e ne abbiano fatto il backup.


Tenendo conto che la crittografia è, secondo me, una protezione a tempo, 
questo vuol dire che prima o poi qualcuno potrà leggere in chiaro tutte 
le tue chiavi... che tu gli hai gentilmente regalato.


Magari c'è anche un mercato di portachiavi e qualcuno ne sta facendo 
incetta... in attesa di leggerle. (un po' come ci sono società con sedi 
in paesi con legislazione molto accondiscendente, che stanno profilando 
chiunque... e che poi rivendono informazioni a chi è disposto a 
pagare... ad esempio banche/finanziarie: ci sono persone che non 
riescono ad avere più prestiti perché sono finiti in questi elenchi con 
qualche errore, come che sono stati insolventi in passato)


Tieni conto che una volta lette le tue chiavi è probabilmente possibile 
capire la strategia con cui le scegli e indovinare anche quelle nuove.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Davide Prina]

On 14/01/20 22:43, Giancarlo Martini wrote:

Keepass anch'io, lo uso su Debian e su Android.


attenzione che esistono due versioni:

* keepassx <- originale, ma non più mantenuta dal 2016 o per lo meno 
mantenuta molto "lentamente"


* keepassxc <- fork di keepassx che è mantenuta costantemente e risolve 
alcuni bug/problemi di keepassx


io ti consiglio di usare keepassxc

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Browser: http://www.mozilla.org/products/firefox
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Zattara Stefano]

Ciao, concordo su keepassxc
Attualmente lo uso su ipad, android, windows, Linux.
File condiviso su nextcloud personale.

Stefano

Il 15 gennaio 2020 09:28:48 CET, "Paolo Redælli"  ha 
scritto:
>
>Il 14/01/20 19:52, Davide Prina ha scritto:
>> On 14/01/20 18:29, Antonio Catellani wrote:
>>> consiglio per un password manager
>>> multipiattaforma, linux, android, windows.
>>
>> al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su Debian. So
>
>> che è disponibile anche per altri sistemi operativi, tra qui quelli
>da 
>> te citati.
>
>Anche io uso KeepassXC su Debian, Ubuntu, Centos e Android. E mi trovo 
>benissimo.
>
>Tanto bene che ho messo il file delle chiavi su Nextcloud.
>
>Attenzione: di "KeePass" ce ne sono tanti... quello liscio, il 2, l'X e
>
>l'XC. Il "più aggiornato/recente/quel-che-vuoi" mi sembra sia l'XC.

-- 
Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.

Re: OT : Password manager

[Riccardo Brazzale]

Ciao,
hai visto clipperz?
https://clipperz.is/





Il giorno mar 14 gen 2020 alle ore 19:34 Antonio Catellani <
pacm...@gmail.com> ha scritto:

> Scusate l'OT, chiedevo consiglio per un password manager
> multipiattaforma, linux, android, windows. Attualmente utilizzo
> encryptr spideroak che funziona benissimo, ma non viene aggiornato da
> anni e quindi non so se sia il caso di continuare ad utilizzarlo.
> Continuo con encryptr o è meglio cambiare con altro ?
> Grazie mille e ciao
> pacmo
>
>

-- 
*Usa Software Libero *

Riccardo

Re: OT : Password manager

[Paolo Redælli]

Il 14/01/20 19:52, Davide Prina ha scritto:

On 14/01/20 18:29, Antonio Catellani wrote:

consiglio per un password manager
multipiattaforma, linux, android, windows.


al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su Debian. So 
che è disponibile anche per altri sistemi operativi, tra qui quelli da 
te citati.


Anche io uso KeepassXC su Debian, Ubuntu, Centos e Android. E mi trovo 
benissimo.


Tanto bene che ho messo il file delle chiavi su Nextcloud.

Attenzione: di "KeePass" ce ne sono tanti... quello liscio, il 2, l'X e 
l'XC. Il "più aggiornato/recente/quel-che-vuoi" mi sembra sia l'XC.

Re: OT : Password manager

[paguaro]

Ciao a tutti.

anch'io consiglio keepass.

trovi l'applicazione per linux, win, macos, android, ios e estensioni 
per usarlo direttamente da firefox (ma queste non le ho mai usate).



On 15/01/2020 08:15, Piviul wrote:

keepass anch'io.

Piviul

Giancarlo Martini ha scritto il 14/01/20 alle 22:43:

Keepass anch'io, lo uso su Debian e su Android.

Il mar 14 gen 2020, 21:44 Davide Prina > ha scritto:


��� On 14/01/20 18:29, Antonio Catellani wrote:
���� > consiglio per un password manager
���� > multipiattaforma, linux, android, windows.

��� al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su 
Debian. So
��� che � disponibile anche per altri sistemi operativi, tra qui 
quelli da

��� te citati.

��� Ciao
��� Davide

��� -- ��� Dizionari: http://linguistico.sourceforge.net/wiki
��� Database: http://www.postgresql.org
��� GNU/Linux User: 302090: http://counter.li.org
��� Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Emanuele Bernardi]

Ciao, io uso Bitwarden (https://bitwarden.com) e mi trovo molto bene.



On 14/01/20 18:29, Antonio Catellani wrote:
> Scusate l'OT, chiedevo consiglio per un password manager
> multipiattaforma, linux, android, windows. Attualmente utilizzo
> encryptr spideroak che funziona benissimo, ma non viene aggiornato da
> anni e quindi non so se sia il caso di continuare ad utilizzarlo.
> Continuo con encryptr o è meglio cambiare con altro ?
> Grazie mille e ciao
> pacmo
>

Re: OT : Password manager

[Piviul]

keepass anch'io.

Piviul

Giancarlo Martini ha scritto il 14/01/20 alle 22:43:

Keepass anch'io, lo uso su Debian e su Android.

Il mar 14 gen 2020, 21:44 Davide Prina > ha scritto:


On 14/01/20 18:29, Antonio Catellani wrote:
 > consiglio per un password manager
 > multipiattaforma, linux, android, windows.

al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su Debian. So
che è disponibile anche per altri sistemi operativi, tra qui quelli da
te citati.

Ciao
Davide

-- 
Dizionari: http://linguistico.sourceforge.net/wiki

Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[Giancarlo Martini]

Keepass anch'io, lo uso su Debian e su Android.

Il mar 14 gen 2020, 21:44 Davide Prina  ha scritto:

> On 14/01/20 18:29, Antonio Catellani wrote:
> > consiglio per un password manager
> > multipiattaforma, linux, android, windows.
>
> al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su Debian. So
> che è disponibile anche per altri sistemi operativi, tra qui quelli da
> te citati.
>
> Ciao
> Davide
>
> --
> Dizionari: http://linguistico.sourceforge.net/wiki
> Database: http://www.postgresql.org
> GNU/Linux User: 302090: http://counter.li.org
> Non autorizzo la memorizzazione del mio indirizzo su outlook
>
>

Re: OT : Password manager

[Davide Prina]

On 14/01/20 18:29, Antonio Catellani wrote:

consiglio per un password manager
multipiattaforma, linux, android, windows.


al lavoro uso keepassxc e mi trovo bene. Io lo uso solo su Debian. So 
che è disponibile anche per altri sistemi operativi, tra qui quelli da 
te citati.


Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: OT : Password manager

[liste DOT girarsi AT posteo DOT eu]

Il 14/01/20 18:29, Antonio Catellani ha scritto:
> Scusate l'OT, chiedevo consiglio per un password manager
> multipiattaforma, linux, android, windows. Attualmente utilizzo
> encryptr spideroak che funziona benissimo, ma non viene aggiornato da
> anni e quindi non so se sia il caso di continuare ad utilizzarlo.
> Continuo con encryptr o è meglio cambiare con altro ?
> Grazie mille e ciao
> pacmo
> 

Non ho la certezza sia multipiattaforma, ma password gorilla mi sembra
faccia al caso tuo, io lo uso per creare password, ma è soprattutto
un'archivio password.

-- 
_|_|_|_|_|_|_|_|_|_
|_|_|_|_|_|_|_|_|_|_|
Simone Girardelli