Danilo Poccia - Tecnologia et al.
Gestire le password online con PassPack
All'OpenCamp dello scorso sabato grazie a Deirdré Straughan (collega che segue le Community OpenSolaris con un focus sullo Storage) ho conosciuto Tara Kelly che mi ha introdotto alla sua "creatura" PassPack.
PassPack sarebbe interessante già solo per essere una delle poche startup "Web 2.0" con un background italiano, ma in realtà ho trovato il loro modello di gestione online delle password estremamente semplice e potente.
Le password sono infatti gestite client-side e lato server sono resi visibili solo dati criptati. Ogni utente ha infatti due password (le uniche da ricordare, se si usa la loro applicazione):
- un pass key utilizzato da PassPack per identificare (autenticare) l'utente sul proprio sito
- un packing key utilizzato lato client per crittografare/decrittografare i dati sensibili nel colloquio con il server
Una serie di contromisure "visive" (come il Welcome Message personalizzabile) inducono l'utente a verificare l'autenticità delle pagine presentate (ad esempio in fase di login) e pertanto limitano le possibilità di un attacco di tipo phishing.
Molto interessante la procedura di apprendimento per l'auto-login, che è condivisa: quando un utente insegna quali sono i campi da popolare per la login su un sito, la stessa procedura è resa disponibile per tutti gli altri utenti dell'applicazione. Io ho ad esempio "insegnato" a PassPack come fare login su un sito di "extranet" poco diffuso, ma ho trovato già configurata la procedura di auto-login del sito Telepass.it.
PassPack è finalista CNET Webware 2008 per la categoria Utility & Security e se lo trovate utile siete ancora in tempo per votare.
Posted at 04:31PM mar 17, 2008 by danilop in Internet | Comments[5]
Ciao Danilo, dai un'occhiata a Clipperz (http://www.clipperz.com) è una startup che propone lo stesso tipo di servizio con un approccio a mio avviso più sicuro ed in più e' un progetto completamente italiano :-).
ciao,
Fabio
Posted by Fabio on marzo 18, 2008 at 09:58 PM CET #
Ciao Fabio, grazie per il link, anche Clipperz è molto interessante! Il modello dati di Clipperz mi sembra più flessibile, ma la configurazione dell'auto/direct login è molto più semplice con PassPack, essendo tutto gestibile da GUI con in più la condivisione dell'apprendimento tra gli utenti. La mia opinione è che l'interfaccia utente di PassPack è orientata a utenti "non tecnici", mentre quella di Clipperz è più vicina alla mentalità di un "power user".
Posted by Danilo Poccia on marzo 19, 2008 at 09:40 AM CET #
Danilo, grazie molte del bel post.
A Fabio vorrei dire che non capisco in cosa Clipperz sia più sicuro di Passpack. Certo, usa SRP in autenticazione e raccoglie entropia in maniera evidente. Ma PassPack raccoglie entropia (senza dirlo) per generare le chiavi interne e di chiavi ne usa due. Questo significa che un eventuale hacker dovrebbe scoprire più dati per poter violare un account. Anche perché lo UserID può essere cambiato esattamente come la password e la chiave e diventa una terza password. Secondo me, come dice Danilo, si tratta solo di due approcci diversi. Tutto qua.
Per quanto riguarda l'essere italiani, vorrei dire che PassPack è una startup italiana al 100%. Sì Tara è americana ma vive qui dal 1996 e siamo felicemente sposati da cinque anni. Insomma, è un'italiana anche lei.
Quello che è triste è vedere come il mondo italiano dei blog, della stampa, ecc. ci ignori. Siamo l'unica startup italiana selezionata al Webware 100. Ci sono solo altre 20 startup europee. Due sole indiane. Una sola giapponese.
In altri paesi si tiferebbe alla grande. In Italia nessuno neanche se ne accorge. E la sciocchezza è che è evidente che se PassPack vincesse al Webware 100, avrebbero da guadagnarci tutte le startup italiane, Clipperz per prima. Ne parlavamo tempo fa proprio con Marco Barulli che mi diceva: "trovate un investitore che subito dopo lo troviamo noi". E naturalmente il viceversa.
Il mondo richiede network reali e non solo apparenti. In Italia siamo molto indietro, purtroppo.
Posted by Francesco on marzo 19, 2008 at 11:51 AM CET #
Ciao Francesco, io lavoro per una multinazionale e sento spesso parlare di "startup". Purtroppo la realtà italiana sembra non produrre innovazione, ma in prevalenza emulazione. Credo che qualsiasi iniziativa che valorizzi le "nostre" idee sia utile e da appoggiare. Non credo si tratti di campanilismo, ma di una normale voglia di "partecipare".
Posted by Danilo Poccia on marzo 19, 2008 at 12:53 PM CET #
Posted by diggita.it on aprile 08, 2008 at 02:29 PM CEST #