Grazie a un video, ho scoperto un servizio interessante: si tratta di Clipperz, un tool che permette di salvare e gestire online le proprie password.
Il servizio è gratuito e completamente anonimo: in fase di registrazione, si deve scegliere solo la username e la frase segreta, senza lasciare altra informazione, nemmeno la mail. Clipperz non prevede il recupero della passphrase.
Direttamente dalla homepage del sito, possiamo vedere quali sono le caratteristiche principali di Clipperz:
- memorizza e gestisce le password e le credenziali di accesso dei propri servizi online;
- accesso ai propri servizi online con un solo clic senza bisogno di inserire username o password;
- protezione di tutte le informazioni confidenziali;
- condivisione dei dati riservati.
Come si pone Clipperz nei confronti della sicurezza?
- i dati sono criptati dal browser prima di essere inviati a Clipperz;
- la chiave per decriptare i dati è conosciuta soltanto dall’utente;
- Clipperz riceve e memorizza solo i dati criptati e non ha nessuna possibilità di accedere alla versione in chiaro;
- Clipperz utilizza solo sistemi crittografici standard;
- tutto il codice di Clipperz è disponibile e può essere analizzato in qualsiasi momento.
Rimangono comunque alcuni dubbi: il nostro database delle password è online. Al momento, io preferisco averlo su un disco criptato, gestito da un altro password manager. Nel caso poi si debba accedere a Clipperz da un PC pubblico, nasce il problema di possibili trojan o keylogger presenti sul computer. Quest’ultimo problema potrebbe essere ovviato tramite l’utilizzo di una One Time Password, funzionalità che Clipperz mette a disposizione.
Rimane ancora il problema di vulnerabilità XSS, che in una discussione su una mailing list sulla sicurezza, il responsabile tecnologico di Clipperz esclude:
Le vulnerabilità XSS sono reali, ma possibili solo quando il sito ha certe caratteristiche. La nostra applicazione non ha nessuno dei requisiti perché un attacco di tipo XSS possa essere perpetrato. La nostra applicazione (in tutti i browser tranne IE, che non supporta il
protocollo data://) non carica nemmeno le immagini dal server, rendendo assolutamente impossibile la contaminazione dell’applicazione da parte di qualsiasi agente esterno, anche con il controllo del
server stesso di Clipperz.
E voi, cosa ne pensate di Clipperz e servizi simili? Come gestite le vostre password?