Mag
22

Gestire le password online con Clipperz

Come ricorderete (spero!), qualche giorno fa ho scritto un articolo su KeePass, un programmino che si occupa di gestire (con sicurezza) le password.

Oggi, grazie alla segnalazione di Marco Barulli (il co-fondatore del servizio che mi ha contattato per avere un parere da esterno sul loro lavoro), vi parlerò di Clipperz: un gestore di password via web che consente la gestione delle password senza richiedere all’utente di installare alcunché sul proprio computer.

Registrarsi al servizio è semplicissimo (basta andare sulla loro home page e clickare sul pulsante per la registrazione) e non è richiesto nessun dato personale (neanche l’email), particolare che ho molto apprezzato; nella fase di registrazione, inoltre, è possibile selezionare la lingua: c’è anche l’italiano in modo da favorire anche i “meno anglofoni”.

Clipperz costituisce il primo esempio di applicazione web “zero-knowledge”, ovvero un’applicazione che non sa nulla dei dati immessi dagli utenti (neanche username e password) visto che i dati vengo criptati dal browser dell’utente prima di essere inviati al loro server; ottima anche l’interfaccia web, decisamente user-friendly e realizzata con la tecnologia Ajax.

Ah, dimenticavo: tutto il codice di Clipperz è liberamente disponibile per il download, quindi può essere analizzato in qualsiasi momento (ovviamente serve essere un esperto di crittografia per apprezzare la sicurezza e la comodità del servizio).

Per concludere, voglio sottolineare che il progetto è interamente italiano e colgo l’occasione anche per fare i miei migliori auguri agli autori Marco Barulli e Giulio Cesare Solaroli.

P.S. Clipperz può funzionare anche offline (clicka qui per saperne di più).

UPDATE DEL 28/08/2007

Il buon Marco, mi ha (ri)contattato per segnalarmi alcune novità rilevanti di Clipperz che io pubblico più che volentieri:

  • sono stati ottimizzati gli algoritmi di criptazione che hanno reso Clipperz molto più veloce
  • l’interfaccia è ora disponibile in 6 lingue (inglese, cinese, giapponese, portoghese, italiano e, pochi giorni fa hanno aggiunto anche lo spagnolo)
  • è stato incluso un generatore di password random
  • la versione offline è stata semplificata ed ora è costituita da un unico file html da scaricare
  • hanno introdotto la versione Compact per la sidebar di Firefox che consente di tenere a portata di mano i propri login diretti

Non hanno invece apportato modifiche ai login diretti ovvero alla possibilità di loggarsi ai servizi senza digitare username e password. Il motivo è semplice: funzionano già benissimo ed offrono la massima sicurezza e riservatezza.

2 commenti a “Gestire le password online con Clipperz”


  1. 1 Francesco Sullo
    23 settembre 2007 alle 12:53 Quota

    Ciao, sono Francesco Sullo, autore di PassPack, un altro online password manager.

    Premetto che trovo molto bello che i due principali attori della scena internazionale – PassPack e Clipperz – siano ambedue italiani :-)

    A parte questo vorrei chiederti di dare uno sguardo anche a PassPack per vari motivi.

    E’ sicuro come Clipperz, perché usa lo stesso approccio e circa gli stessi algoritmi. Ma, rispetto a Clipperz offre molte altre funzionalità: anti-phishing, import/export dei dati, backup/restore dell’intero pack, funzioni di emergenza se ti scordi la password o – solo in qualche caso particolare – la packing key, ricerca rapida e tags, storico delle password, ecc.

    Come Clipperz offre un auto-login. Questo, anziché usare l’approccio classico (quello di Clipperz o di Agatra) e cioè creare un form e farne il submit, lavora a livello del DOM del documento ed è in grado di collegarsi a tutti i siti HTML in circolazione, comunque funzionino. Per questioni di sicurezza alcune opzioni non sono attivabili direttamente dall’utente, ma se ci segnala il sito lo aggiungiamo noi al database.
    Inoltre l’auto-login di tipo 1-click è contestuale, nel senso che navighi e quando decidi di collegarti premi il bottone e ti colleghi sulla pagina dove ti trovi.

    Attenzione, non voglio dire che PassPack sia meglio Clipperz, dico che sono due buoni prodotti pensati per un target differente, che meritano diversamente attenzione.

    PassPack naturalmente non è una “zero-knowledge application” sia perché è un concetto teorizzato da Clipperz, sia perché pensiamo che su Internet la privacy sia un’utopia.
    E’ come uscire per strada, attraversare qualche via ed entrare finalmente in un negozio. Se anche entri nel negozio con un passamontagna, non puoi pensare che nel percorso nessuno ti abbia visto, fotografato, addirittura ripreso. E quindi, secondo me, è meglio trattenere l’IP dell’utente, nel pieno rispetto della privacy, allo scopo di aumentarne la sicurezza che non farlo. E’ una questione di punti di vista, mi rendo conto.
    Ti invito a riflettere su questo caso.

    Supponi che domani ti colleghi a Clipperz e trovi qualcosa che ti sembra modificato e ti viene il dubbio che qualcuno abbia scoperto la tua utenza. Che fai? Scrivi a Clipperz. Ma come fai a provare che sei proprio tu e non sei l’hacker? E come fanno loro ad appurare che sia proprio come dici tu se non sanno nulla del tuo account e non sanno niente di te? Se trovano una soluzione violano la “zero-knowledge”, se non la trovano nisba.
    Puoi solo cambiare la tua password senza sapere mai se veramente qualcuno era entrato o no e quindi senza avere elementi per prendere delle decisioni come scrivere alla banca per chiedergli di cambiarti la password.

    Capisci perché abbiamo scelto di chiedere l’email. Perché così possiamo comunicare con l’utente. Non ci interessa sapere chi sia, ci interessa solo che usi una email valida, per potergli parlare se è necessario per la sua sicurezza. Per il resto il suo anonimato è garantito.

  2. 2 Paolo
    23 settembre 2007 alle 14:30 Quota

    @Francesco Sullo: grazie per la segnalazione, senza dubbio proverò PassPack al più presto ;-)

    Ciao, Paolo.

Lascia un commento

Nome

Email (non verrà pubblicata)

Sito web (opzionale)

Quanto fa 1 + 5 ? (protezione antispam)




Seguici anche su Facebook

Per visualizzare questo contenuto è necessario accettare i cookie inviati dai Social Network.
Clicca qui per abilitare tutti i cookie per questo sito web.

Hai bisogno di un sito web?

Web&Dintorni