• Clipperz: un password manager online

    clipperz.jpg

    Grazie a un video, ho scoperto un servizio interessante: si tratta di Clipperz, un tool che permette di salvare e gestire online le proprie password.

    Il servizio è gratuito e completamente anonimo: in fase di registrazione, si deve scegliere solo la username e la frase segreta, senza lasciare altra informazione, nemmeno la mail. Clipperz non prevede il recupero della passphrase.

    Direttamente dalla homepage del sito, possiamo vedere quali sono le caratteristiche principali di Clipperz:

    1. memorizza e gestisce le password e le credenziali di accesso dei propri servizi online;
    2. accesso ai propri servizi online con un solo clic senza bisogno di inserire username o password;
    3. protezione di tutte le informazioni confidenziali;
    4. condivisione dei dati riservati.

    Come si pone Clipperz nei confronti della sicurezza?

    1. i dati sono criptati dal browser prima di essere inviati a Clipperz;
    2. la chiave per decriptare i dati è conosciuta soltanto dall’utente;
    3. Clipperz riceve e memorizza solo i dati criptati e non ha nessuna possibilità di accedere alla versione in chiaro;
    4. Clipperz utilizza solo sistemi crittografici standard;
    5. tutto il codice di Clipperz è disponibile e può essere analizzato in qualsiasi momento.

    Rimangono comunque alcuni dubbi: il nostro database delle password è online. Al momento, io preferisco averlo su un disco criptato, gestito da un altro password manager. Nel caso poi si debba accedere a Clipperz da un PC pubblico, nasce il problema di possibili trojan o keylogger presenti sul computer. Quest’ultimo problema potrebbe essere ovviato tramite l’utilizzo di una One Time Password, funzionalità che Clipperz mette a disposizione.

    Rimane ancora il problema di vulnerabilità XSS, che in una discussione su una mailing list sulla sicurezza, il responsabile tecnologico di Clipperz esclude:

    Le vulnerabilità XSS sono reali, ma possibili solo quando il sito ha certe caratteristiche. La nostra applicazione non ha nessuno dei requisiti perché un attacco di tipo XSS possa essere perpetrato. La nostra applicazione (in tutti i browser tranne IE, che non supporta il
    protocollo data://) non carica nemmeno le immagini dal server, rendendo assolutamente impossibile la contaminazione dell’applicazione da parte di qualsiasi agente esterno, anche con il controllo del
    server stesso di Clipperz.

    E voi, cosa ne pensate di Clipperz e servizi simili? Come gestite le vostre password?

    Se vuoi aggiornamenti su Clipperz: un password manager online inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Marco dice:

      Grazie per l’accurata presentazione di Clipperz.
      Spero possa nascere una bella discussione su vantaggi e criticita’ di un servizio online che si propone di gestire informazioni cosi’ delicate.

      Un caro saluto,
      Marco
      Clipperz co-founder

    2. Piero Lisco dice:

      Quali sarebbero i protocolli di crittografia utilizzati dal browser? SSL?
      E quelli utilizzati sui dati definiti come standard quali sarebbero?

      >>Clipperz riceve e memorizza solo i dati criptati e non ha nessuna possibilità di accedere alla versione in chiaro.

      Questo chi ce lo dice? Il datasheet?

      by ‘un sistemista paranoico’ >:-E

    3. Salve Piero,

      gli algoritmi utilizzati da Clipperz (che vengono eseguiti sul browser per proteggere i dati) sono i seguenti:
      - AES256 ()
      - SHA2-256 ()
      - Fortuna PRNG ()
      - SRP ()

      Tutte queste funzioni sono implementate in Javascript, ed abbiamo rilasciato il codice con licenza BSD qui: .

      Per quanto riguarda invece il codice dell’applicazione, è rilasciato con una “reference licence” (ovvero una licenza che permette di analizzare il codice, ma non di usarlo per altri progetti) ed è disponibile, insieme con le istruzioni su come analizzarlo, qui:

      Dato che anche noi siamo piuttosto paranoici, abbiamo creato tutti gli elementi per permettere agli utenti di verificare quale codice sta gestendo i dati che vengono inseriti. Siamo consapevoli che il controllo non è assolutamente banale da eseguire, ma questa non la riteniamo una scusa sufficiente per non avere la massima trasparenza nei confronti dei nostri utenti.

      Nel caso ci fossero altri dubbi, potete fare qualsiasi richiesta sul forum che abbiamo appositamente attivato: .

      Saluti,

      Giulio Cesare Solaroli
      Responsabile tecnico di Clipperz

    Commenta

    Your email address will not be published. Required fields are marked *