Ermanno GolettoGestione dell’elenco delle password in scenari aziendali – Parte 2: Utilizzo di password manager open source con storage locale
La gestione efficace delle credenziali da parte del reparto IT è fondamentale per garantire la sicurezza dei dati e dei servizi aziendali. Dopo aver esplorato nel precedente articolo l’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali; in questo approfondiremo invece i password manager open source con storage locale, ovvero soluzioni che archiviano le credenziali in database on-premise.
Esamineremo nel dettaglio le implicazioni dell’utilizzo di alcuni password manager open source che consentono l’archiviazione delle credenziali su storage locale. L’obiettivo non è, ovviamente, fornire un’analisi esaustiva di tutte le soluzioni disponibili, ma piuttosto delineare una metodologia di valutazione che permetta di comprendere l’usabilità e il livello di sicurezza di questi strumenti.
Introduzione al funzionamento dei password manager con storage locale
I password manager con storage locale sono strumenti progettati per memorizzare e gestire in sicurezza le credenziali di accesso dell’utente direttamente sul dispositivo, senza affidarsi a servizi cloud.
Il password manager crea un database cifrato sul dispositivo dell’utente e per proteggere l’archivio delle credenziali vengono utilizzati algoritmi di crittografia la cui chiave di cifratura viene derivata dalla master password impostata dall’utente.
L’accesso al database richiede la master password, che non viene mai memorizzata in chiaro. Alcuni password manager supportano anche l’autenticazione a due fattori (2FA) o l’uso di chiavi hardware per un ulteriore livello di sicurezza.
Una volta autenticato, l’utente può visualizzare e copiare le credenziali archiviate. Alcuni password manager offrono funzionalità avanzate come la compilazione automatica nei browser e nelle applicazioni, l’analisi della sicurezza delle password e la generazione di nuove password robuste.
Best practices per l’utilizzo di password manager con storage locale per archiviare l’elenco delle password in una infrastruttura IT aziendale
L’utilizzo di password manager con storage locale per archiviare l’elenco delle password è un approccio che consente di avere un’interfaccia utente migliore e maggior sicurezza rispetto all’utilizzo di documento Word o di un foglio Excel, inoltre permette di avere evitare, se necessario, la dipendenza da servizi cloud.
Dal momento che lo storage in cui vengono archiviate le credenziali alcune delle considerazioni che erano state fatte nel primo articolo circa l’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali rimangono valide anche in questo caso:
- Utilizzare una master password forte e un algoritmo di crittografia robusto: impostare una master password complessa di accesso che oltre ad impedire accessi non consentiti permetterà, tramite un algoritmo crittografia sicuro, di crittografare lo storage delle credenziali.
- Proteggere lo storage delle credenziali: rendere disponibile lo storage tramite una share e impostare sia la security della condivisione che quella del file system affinché l’accesso al file sia consentito solo agli utenti autorizzati.
- Protezione fisica dello storage delle credenziali: memorizzare il documento su file system crittografato (ad esempio tramite EFS).
Rischi di sicurezza dell’utilizzo di password manager con storage locale per archiviare l’elenco delle password in una infrastruttura IT aziendale
Uno dei principali rischi di sicurezza a cui è esposto l’archivio delle credenziali gestito tramite un password manager con storage locale è che il file su cui l’applicazione memorizza l’elenco delle password
venga esfiltrato da utenti malevoli col rischio che venga poi violato con a tentativi di individuazione della password mediante forza bruta o attacchi a dizionario, ovvero lo stesso problema di sicurezza visto nel primo articolo circa l’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali.
Sempre come abbiamo già visto nel primo articolo anche in questo caso occorre tenere in considerazione che nel caso si acceda all’applicazione da un dispositivo compromesso da malware o keylogger un attaccante potrebbe intercettare la password durante la digitazione, inoltre le credenziali
potrebbero rimanere in memoria ed essere estratte da malware che implementano attacchi basati sulla cache o sulla memoria.
Analisi di alcuni password manager open source con storage locale
Come anticipato precedentemente analizzeremo ora alcuni password manager open source per piattaforma Windows dal punto di vista delle feature di sicurezza offerte. La seguente analisi non ha ovviamente la pretesa di essere esaustiva, ma vuole essere piuttosto fornire una metodologia tramite cui valutare capire l’usabilità e le feature di sicurezza di un password manager con storage locale.
| Prodotto | KeePass Password Safe |
| Licenza | Open Sorce (GNU v2 o successive) |
| Ultima release | 2.58 del 4 marzo 2025 |
| Algoritmo criptografico |
|
| Funzionalità di sicurezza |
|
| Funzionalità d’integrazione | Per la gestione dell’integrazione sono disponibili plugin resi disponibili dalla community |
| Installazione | Tramite setup exe o in modalità portable |
| Sistemi supportati | Windows |
| Note | La possibilità di avere plugin permette un elevato grado di personalizzazione, ma occorre tenere presente che anche i plugin dovranno essere mantenuti aggiornati.
Il software è sviluppato in C# e richiede il .NET Framework; quindi, occorre tenere presente che anche le vulnerabilità del .NET Framework possono impattare sulla sicurezza della soluzione. Il software supporta l’accesso contemporaneo al file di database da parte di più utenti, ma non prevede la possibilità di configurare master password / key file diversi per utente, a riguardo si veda Multiple Users – KeePass. |
| Prodotto | KeePassXC |
| Licenza | Open Sorce (GNU v3) |
| Ultima release | 2.7.10 del 2 marzo 2025 |
| Algoritmo criptografico |
|
| Funzionalità di sicurezza |
|
| Funzionalità d’integrazione | E’ disponibile l’integrazione con i browser Chrome, Chromium, Vivaldi, Brave, Mozilla Firefox, Tor-Browser e Microsoft Edge mediante estensioni |
| Installazione | Tramite setup msi o in modalità portable |
| Sistemi supportati | Windows, Linux, macOS |
| Note | Il software è sviluppato in C++.
L’utilizzo dell’integrazione con i browser permette di evitare la digitazione delle credenziali, ma occorre tenere presente che anche le estensioni dovranno essere mantenuti aggiornate, inoltre anche le vulnerabilità del browser possono impattare sulla sicurezza della soluzione. Il software supporta l’accesso contemporaneo al file di database da parte di più utenti tramite la stessa master password / key file oppure prevede la possibilità di una condivisione avanzata tramite la funzionalità KeeShare, a riguardo si veda Database Sharing with KeeShare. |
| Prodotto | Password Safe |
| Licenza | Artistic License 2.0. |
| Ultima release | 3.67.0 del 20 ottobre 2024 |
| Algoritmo criptografico |
|
| Funzionalità di sicurezza |
|
| Funzionalità d’integrazione | L’integrazione è gestita tramite la possibilità di memorizzare i parametri necessari per invocare l’applicazione a riga di comando passando le credenziali |
| Installazione | Tramite setup exe, msi o in modalità portable |
| Sistemi supportati | Windows, Linux |
| Note | Il software è sviluppato in C++.
L’integrazione con le applicazioni a riga comando espone le credenziali ad attacchi Credential Dumping che tentano di estrarre credenziali dalla memoria utilizzando strumenti come Mimikatz o PowerShell scripts. Il software non supporta l’accesso contemporaneo al file di database da parte di più utenti. |
Vulnerabilità di un password manager con storage locale per archiviare l’elenco delle password in una infrastruttura IT aziendale
Utilizzando un password manager con storage locale come repository delle credenziali occorre tenere presente che le vulnerabilità dell’applicativo non corrette potrebbero essere sfruttate per violare le credenziali.
Di seguito una tabella riassuntiva delle vulnerabilità scoperte negli ultimi tre anni relative ai password manager analizzati precedentemente, i dati sono stati ricavati tramite il sito cve.mitre.org. Ovviamente per queste vulnerabilità sono state rilasciate degli aggiornamenti, ma queste potevano essere sfruttate fino anche non sono diventate di dominio pubblico e fino a quando sul sistema non state applicati gli aggiornamenti relativi.
| Prodotto | CVE 2025 | CVE 2024 | CVE 2023 | CVE 2022 |
| KeePass | 0 | 0 | 2 | 2 |
| KeePassXC | 0 | 2 | 1 | 0 |
| Password Safe | 0 | 0 | 0 | 0 |
Si tenga conto che le vulnerabilità dell’applicativo potrebbero non essere le uniche da considerare; infatti, come visto in precedenza, nel caso di KeePass Password Safe occorre tenere presente anche le vulnerabilità del .NET Framework e dei plugin utilizzati e nel caso di KeePassXC occorre tenere presente anche le vulnerabilità delle estensioni del browser e dei browser stessi.
Inoltre, dal momento che in uno scenario aziendale il file del database in cui il password manager archivia l’elenco delle password è mantenuto su di una share occorre prestare attenzione a mantenere aggiornati i sistemi su cui è memorizzato ed esposto tramite il protocollo SMB tale file. Infatti, se il documento è salvato su una share occorre tenere presente che vulnerabilità o erronee configurazioni di sicurezza a livello di file system e/o di condivisione potrebbero consentire l’accesso al file da parte di un utente malevolo.
Considerazioni relative agli attacchi Ransomware quando si utilizza un password manager con storage locale per archiviare l’elenco delle password in una infrastruttura IT aziendale
Analogamente a quanto visto nel precedente articolo l’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali anche nel caso si utilizzi un password manager con storage locale ci si espone ad una serie di rischi nel caso si subisca un attacco Ransomware che colpisce anche il file del database:
- Dal momento che I ransomware crittografano i file il database delle password diventa inaccessibile, bloccando l’accesso ai sistemi aziendali critici, a meno che non vene sia una copia di sicurezza. La copia di sicurezza potrebbe essere ad esempio una copia stampata conservata in un archivio provvisto di serratura e fuori dai locali aziendali per garantire anche la disponibilità del repository delle password nel caso di incendio nei locali aziendali. In alternativa la copia di sicurezza può essere mantenuta in uno storage online, ma in questo caso bisogna assicurarsi che sui computer non vi siano credenziali salvate per l’accesso a tale storage e assicurarsi che l’accesso quando necessario avvenga sempre tramite la modalità In private del browser senza utilizzare client per l’accesso, in caso contrario la compromissione di un computer che ha accesso alla copia di sicurezza la metterebbe a rischio di esfiltrazione.
- Alcuni attacchi ransomware non si limitano a crittografare i dati, ma li esfiltrano prima di bloccarli, questo implica che la riservatezza delle credenziali viene messa a rischio, a riguardo si veda il mio post Ransomware: evoluzione delle minacce – DevAdmin Blog.
Nel caso in cui il file del database utilizzato come repository delle credenziali dal password manager sia oggetto di un attacco Ransomware occorre predisporre una procedura aziendale che consenta di cambiare in tempi rapidi tutte le credenziali. Inoltre, ipotizzando che le credenziali siano state violate appare evidente che le password devono essere assolutamente casuali per evitare che l’attaccante possa rilevare uno schema di generazione delle stesse tramite cui individuare con attacchi a forza bruta anche le credenziali modificate.
Vantaggi e limitazioni dell’utilizzo di un password manager open source con storage locale per archiviare l’elenco delle password in una infrastruttura IT aziendale
Escludendo gli aspetti legati alla sicurezza, nella seguente tabella vengono riassunti i principali vantaggi e limitazioni dell’uso di un password manager con storage locale come repository delle credenziali.
| Vantaggi | Limitazioni |
| Controllo totale dei dati – Le credenziali restano salvate on premise, evitando dipendenze da server di terze parti | Minor comodità per l’accesso da remoto – Per poter recuperare le credenziali al di fuori della rete aziendale occorre prevedere l’accesso all’applicazione tramite VPN. |
| Indipendenza da servizi cloud – Non vi è il rischio di interruzioni dovute a problemi o chiusure di servizi online | Aggiornamenti e manutenzione – Occorre gestire attentamente l’aggiornamento dell’applicativo e delle componenti software correlate e pianificare il backup del database |
| Possibile utilizzo offline – Può funzionare senza connessione Internet, utile in ambienti con accesso limitato | Possibili problemi di portabilità – Se si decidesse di cambiare password manager, la migrazione potrebbe essere complessa |
| Nessun costo di abbonamento – Non richiede pagamenti ricorrenti, a differenza di molte soluzioni cloud | Nessun recupero semplificato delle credenziali – Se si smarrisce la master password, non è possibile recuperarla tramite supporto clienti |
Sebbene alcuni password manager consentano l’accesso multiutente al database potrebbe essere utile in alcuni scenari installare l’applicazione solo su client consentendo poi di accedere all’applicazione tramite rdp configurando la possibilità di avviare il password manager tramute RemoteApp, a riguardo si veda il mio post Utilizzare le RemoteApp su Windows client – DevAdmin Blog. In questo modo sarà necessario manutenere gli aggiornamenti su un solo sistema, ma ovviamente si dovrà rinunciare all’integrazione del password manager con altre applicazioni e il recupero delle credenziali avverrà esclusivamente via clipboard.
Considerazioni finali
Di seguito una tabella con gli aspetti essenziali da tenere conto nel caso si utilizzi un password manager con storage locale confrontandoli con gli aspetti essenziali nel caso di utilizzo di un documento Word o di un foglio Excel come repository delle credenziali.
| Caratteristica | Documento Word o foglio Excel | KeePass Password Safe | KeePassXC | Password Safe | ||
| Crittografia | AES 256 bits, SHA-2 e CBC | AES 256 bits, ChaCha20 256 bits | AES 256 bits, Twofish 256 bits, ChaCha20 256 bits | Twofish 256 bits | ||
| Rischi di sicurezza |
|
|||||
| Vantaggi |
|
|
||||
| Limitazioni |
|
|
||||
| CVE 2022-2025 | 17 (Word) 49 (Excel) |
4 | 3 | 0 | ||
In sintesi, come si può vedere dalla precedente tabella utilizzare un password manager con storage locale rispetto a un documento Word o un foglio Excel per archiviare le credenziali consente di migliorare i seguenti aspetti:
- Sicurezza: permette l’utilizzo di vari algoritmi crittografici, offre funzionalità di sicurezza come, ad esempio, autenticazione a due fattori (2FA) e l’auditing delle modifiche.
- Efficienza: consente di categorizzare, cercare e organizzare facilmente le credenziali
Analogamente all’utilizzo di un documento Word o di un foglio Excel come repository delle credenziali, anche l’utilizzo di password manager con storage locale comporta una serie di rischi da considerare attentamente, ne consegue che anche in questo caso è necessario un backup offline del file, sia per riuscire a gestire un attacco ransomware che un errore umano.
Oltre che in scenari in cui si desidera un’indipendenza da servizi cloud, l’utilizzo di password manager con storage locale, come nel caso di utilizzo di un documento Word o di un foglio Excel, potrebbe essere adatto in ambienti con requisiti di isolamento totale (air-gapped) ovvero infrastrutture con reti isolate (es. ambienti altamente sicuri come laboratori di ricerca, sistemi industriali SCADA, infrastrutture critiche) in cui l’utilizzo di un software per la gestione delle password non è permesso per motivi normativi o di conformità.