Gestore di password: Definizione e importanza per la vostra sicurezza
Si ripete continuamente che bisogna usare password diverse, lunghe e complesse per ogni account online. Ma nella realtà, gestire una moltitudine di password diverse e complesse non è davvero possibile. Un gestore di password è progettato per risolvere questo problema, memorizzando, generando e organizzando le vostre password in modo sicuro. Invece di dover ricordare ogni password, vi basta ricordare una sola password. È quella che chiamiamo «password principale» (o master password). Quest'ultima permette di accedere a tutte le altre password.
L'importanza di un gestore di password risiede principalmente nella sicurezza rafforzata che offre. Utilizzando password forti e uniche per ogni account, riducete considerevolmente i rischi di attacco informatico. Oltre a ciò (e questo è già ottimo!), un gestore di password facilita la gestione quotidiana dei vostri accessi compilando automaticamente le credenziali durante le connessioni, facendovi risparmiare tempo prezioso e minimizzando gli errori di digitazione.
Perché scegliere Vaultwarden: Vantaggi rispetto ad altri gestori
Come avrete capito, è quindi Vaultwarden che vi presenterò oggi! In realtà Vaultwarden è un derivato open source di Bitwarden, progettato per offrire una soluzione self-hosted. Basandosi sul codice di Bitwarden, Vaultwarden permette agli utenti di controllare pienamente i propri dati sensibili senza dipendere da un servizio di terze parti.
Tra i numerosi gestori di password disponibili sul mercato, Vaultwarden si distingue per una serie di vantaggi che lo rendono la soluzione perfetta per le persone attente alla propria sicurezza. Innanzitutto, Vaultwarden è una soluzione open source, il che significa che il suo codice sorgente è accessibile a tutti. Questa trasparenza permette di essere verificato dalla comunità, a differenza dei gestori di password commerciali di cui non si conosce sempre la qualità del codice sorgente. Questa caratteristica assicura una migliore affidabilità e una sicurezza rafforzata, poiché le vulnerabilità possono essere identificate e corrette più rapidamente.
Un altro grande vantaggio di Vaultwarden è la sua capacità di essere self-hosted. A differenza dei gestori di password commerciali che memorizzano i vostri dati sui propri server, Vaultwarden vi permette di ospitare le vostre password localmente o su un server a vostra scelta. Questo vi offre un controllo totale sui vostri dati, riducendo così i rischi di violazione dei dati da parte di terzi e aumentando la riservatezza delle vostre informazioni personali e professionali.
Infine, è disponibile un componente aggiuntivo per Home Assistant, che vi permette di integrarlo in modo estremamente semplice. Grazie a questa compatibilità, Vaultwarden diventa un'estensione naturale del vostro sistema domotico.
In termini di costi, Vaultwarden si posiziona come un'alternativa economica rispetto a soluzioni a pagamento come LastPass o Dashlane. Infatti, Vaultwarden è gratuito! So che alcuni penseranno «se è gratis è sicuramente peggiore». Ebbene, non è necessariamente vero. Il miglior esempio è LastPass, uno dei gestori leader mondiali. Nel 2022 ha subito un attacco informatico molto importante che ha esposto le password cifrate degli utenti, ma anche le loro informazioni personali non cifrate!
Installazione di Vaultwarden con Home Assistant
Prima di tutto, sappiate che l'accesso a Home Assistant con un nome di dominio è obbligatorio per seguire questo articolo. Ho sempre mostrato Cloudflared, quindi è quello che useremo. Per chi utilizza Nginx Proxy Manager, sarà facilmente adattabile. In ogni caso, Cloudflared (o Nginx Proxy Manager) deve essere già configurato!
Per questo, niente di più semplice: c'è un componente aggiuntivo apposta.
Andate in Impostazioni > Componenti aggiuntivi > Store dei componenti aggiuntivi, poi nella sezione Home Assistant Community Add-ons dovreste trovare Vaultwarden (Bitwarden). Cliccateci sopra e premete «Installa».
Prima di avviarlo, andate nella sua configurazione (scheda Configurazione). Qui disattiveremo l'opzione SSL, poiché sarà gestita automaticamente da Cloudflared. Poi nella sezione rete annotate la porta sulla quale potete accedere all'interfaccia di Vaultwarden, generalmente sarà la 7277.
Configurare Cloudflared per accedere a Vaultwarden
Per accedere al nostro gestore di password, dovremo indicare a Cloudflared di utilizzare un nuovo sottodominio che reindirizzerà verso la nostra porta 7277, utilizzata da Vaultwarden.
Per fare ciò, andate in Impostazioni > Componenti aggiuntivi > Cloudflared. Poi nella scheda Configurazione troverete una sezione Host aggiuntivi. Ecco un esempio di configurazione da inserire:
Per maggiori dettagli, accanto a hostname inserirete un nuovo sottodominio, che può essere qualsiasi.
Accanto a service ci sarà il nome host (hostname) della vostra istanza Home Assistant seguito dalla porta di Vaultwarden. Nella maggior parte dei casi è «homeassistant». Per conoscere il vostro nome host, andate in Impostazioni > Sistema > Rete. Il primo campo corrisponderà al nome host.
Una volta fatto, potete salvare e riavviare Cloudflared.
Avviare Vaultwarden e accedere all'amministrazione
Tornate sul componente aggiuntivo Vaultwarden, avviatelo e cliccate sulla scheda Log in alto. Dovreste vedere qualcosa di simile a questo:
Come potete vedere, abbiamo un token TEMPORANEO, qui «jNhKtXrmFh0A5MVHZFJ0iV8RCRcj8F7m27T9MwTQf02co6sfHL0s9QCrsCvuKNN7». Copiatelo e accedete a vaultwarden.IL_VOSTRO_DOMINIO.it (da modificare in base a quanto avete configurato in Cloudflared).
Vi verrà chiesto l'«admin token». Incollate il codice appena copiato.
Come vi ho appena detto, il token di accesso è temporaneo, e un messaggio in alto ve lo ricorda (in inglese, sì, mi scuso...). In realtà, per essere sicuri, bisogna generare una password cifrata in Argon2 con determinati parametri specifici. Per i meno esperti può essere un po' complicato, quindi questo articolo è qui per semplificarvi il compito! 🤓
Potete utilizzare il generatore qui sotto per inserire una password che verrà convertita in Argon2. ATTENZIONE! Questa password deve essere particolarmente forte e dovrete ricordarla. Permette di accedere all'amministrazione del vostro Vaultwarden. Inserite la vostra password e copiate l'hash che verrà generato.
Générateur de Hash Argon2id
Bene. Ora nell'amministrazione di Vaultwarden cliccate su «General settings» poi troverete in basso «Admin token/Argon2 PHC», è lì che dovete incollare l'hash ottenuto. Una volta incollato l'hash, potete cliccare su «Save» in basso. Potete disconnettervi e riconnettervi (con la password inserita nel generatore sopra) per verificare che tutto funzioni correttamente.
Verificare la diagnostica di Vaultwarden
Prima di andare oltre, recatevi nella scheda Diagnostics dell'amministrazione. Dovreste vedere diversi indicatori verdi, ma probabilmente anche del rosso, in particolare sulla Domain Configuration. È normale: Vaultwarden pensa che siate su localhost quando in realtà state utilizzando il vostro nome di dominio personale.
Per correggere questo, andate in Settings > General Settings e inserite il vostro nome di dominio completo nel campo previsto (ad esempio https://vaultwarden.IL_VOSTRO_DOMINIO.it). Cliccate su «Save» poi tornate in Diagnostics: tutto dovrebbe ora essere verde.
Se non utilizzate Cloudflared e l'indicatore IP header resta rosso, andate in Settings > Advanced Settings e sostituite il valore del campo Client IP Header con CF-Connecting-IP (senza spazio all'inizio). Questo permette a Cloudflare di trasmettere correttamente l'indirizzo IP reale dei visitatori. Cliccate su «Save» e verificate nuovamente che tutto sia verde.
Configurare l'invio di email (SMTP tramite Gmail)
L'invio di email è un passaggio importante, in particolare per il recupero dell'account in caso di perdita della password o per attivare l'autenticazione a due fattori via email. Per questo, Vaultwarden ha bisogno di un server SMTP.
La buona notizia è che potete utilizzare Gmail gratuitamente per questo scopo. Vi consiglio tuttavia di creare un account Google dedicato piuttosto che utilizzare il vostro account personale, poiché l'utilizzo dello stesso account per l'invio e la ricezione a volte causa problemi.
Ecco la procedura da seguire:
1. Attivare la verifica in due passaggi sull'account Google
Recatevi nelle impostazioni di sicurezza del vostro account Google e attivate la verifica in due passaggi. È un prerequisito assolutamente necessario per il seguito.
2. Creare una password per le app
Una volta attivata la verifica in due passaggi, accedete alla pagina delle password per le app. Per accedervi direttamente, sostituite la fine dell'URL nelle Opzioni di accesso con AppPasswords. Date un nome alla vostra applicazione (ad esempio «Vaultwarden») e cliccate su «Crea». Verrà generata una password: copiatela immediatamente.
3. Configurare l'SMTP in Vaultwarden
Tornate nell'amministrazione di Vaultwarden, sezione Settings > SMTP Email Settings, e compilate i campi come segue:
Cliccate su «Save» in fondo alla pagina. Potete poi testare l'invio inserendo un indirizzo email nel campo di test e cliccando su «Send test e-mail». Se ricevete l'email, tutto è configurato correttamente!
Attivare l'autenticazione a due fattori via email
Ora che l'invio di email funziona, potete attivare la 2FA via email per i vostri utenti. Andate in Settings > Email 2FA Settings e attivate l'opzione. Per impostazione predefinita, verrà inviato un codice di 6 caratteri via email con una scadenza di 600 secondi e un massimo di 3 tentativi. Questi valori sono adeguati nella maggior parte dei casi, vi basta cliccare su «Save».
Configurare le chiavi YubiKey
Se non conoscete le chiavi YubiKey, vi consiglio davvero di informarvi al riguardo. Concretamente, è una chiave fisica che collegate al vostro computer e sulla quale dovete premere per validare una connessione. Anche se qualcuno conosce la vostra password, senza questa chiave in suo possesso, non potrà accedere al vostro account. Capite quindi l'enorme interesse con un gestore di password: se qualcuno riesce a ottenere la vostra password principale ma non possiede questa chiave, non potrà accedere alla vostra cassaforte.
Per configurare le chiavi YubiKey in Vaultwarden, bisogna prima ottenere una API Key dal sito di Yubico. Recatevi sulla pagina dedicata (link nella descrizione del video), inserite il vostro indirizzo email, accettate i termini e le condizioni, poi inserite la vostra chiave nel computer e premetela. Otterrete un Client ID e una Secret Key.
Nell'amministrazione di Vaultwarden, andate in Settings > YubiKey Settings e inserite il Client ID e la Secret Key ottenuti. Lasciate il server predefinito. Cliccate su «Save».
Recuperare l'amministrazione dopo la disattivazione
Se avete disattivato l'amministrazione rimuovendo l'admin token e desiderate riattivarla (ad esempio per aggiungere un nuovo utente quando le registrazioni sono chiuse), ecco la procedura. Richiede un accesso da riga di comando tramite il terminale SSH di Home Assistant.
1. Installare il terminale SSH
Se non lo avete ancora fatto, installate il componente aggiuntivo Advanced SSH & Web Terminal dallo store dei componenti aggiuntivi. Nella scheda Info, disattivate la modalità protetta (un avviso vi informerà che si tratta di un'operazione sensibile), poi riavviate il componente aggiuntivo.
2. Accedere al container Docker di Vaultwarden
Aprite il terminale ed elencate i container Docker:
Individuate il container il cui nome contiene «bitwarden» (Vaultwarden essendo un derivato di Bitwarden). Copiate il suo nome, poi entrate nel container:
3. Modificare il file di configurazione
Spostatevi nella cartella dei dati e installate l'editor di testo Nano:
Aprite poi il file di configurazione:
Scorrete fino in fondo al file e aggiungete, prima dell'ultima parentesi graffa di chiusura, la seguente riga:
Non dimenticate la virgola alla fine della riga precedente. Salvate con CTRL+X, poi Y, poi Invio.
4. Riavviare e verificare
Tornate in Home Assistant e riavviate il componente aggiuntivo Vaultwarden. Accedete nuovamente a vaultwarden.IL_VOSTRO_DOMINIO.it/admin: dovreste potervi connettere con la password corrispondente al vostro hash Argon2.
Importante: una volta terminata la procedura, ricordatevi di riattivare la modalità protetta sul componente aggiuntivo Advanced SSH & Web Terminal e di riavviarlo.
Creare un account utente
Ora che Vaultwarden è completamente configurato, è il momento di creare il vostro primo account utente. Verificate innanzitutto che le registrazioni siano autorizzate in Settings > General Settings (l'opzione «Allow new signups» deve essere selezionata).
Accedete al vostro URL Vaultwarden (senza /admin) e cliccate su «Crea un account». Inserite il vostro indirizzo email, il vostro nome e soprattutto la vostra password principale (la famosa master password). Questa password è cruciale: è quella che protegge l'accesso all'intera cassaforte. Sceglietela lunga, complessa e unica.
Se altri membri della vostra famiglia desiderano utilizzare Vaultwarden, è il momento di creare anche i loro account.
Disattivare le registrazioni e mettere in sicurezza l'installazione
Una volta creati tutti gli account, vi raccomando vivamente di:
1. Disattivare le nuove registrazioni: nell'amministrazione, General Settings, deselezionate «Allow new signups». Senza questo, chiunque trovi il vostro URL potrebbe creare un account e utilizzare il vostro servizio.
2. Disattivare l'amministrazione: sempre in General Settings, cancellate interamente il contenuto del campo Admin token e cliccate su «Save». Nessuno potrà più accedere allo spazio di amministrazione (tranne tramite la procedura di recupero vista in precedenza).
Riavviate Vaultwarden affinché le modifiche vengano applicate. Se provate ad accedere a /admin, vedrete un messaggio che indica che l'amministrazione è disattivata. E se qualcuno tenta di creare un account, riceverà un errore che indica che le registrazioni sono disattivate.
Connettersi e verificare la propria email
Connettetevi ora a Vaultwarden con il vostro account appena creato. Un messaggio vi chiederà di verificare il vostro indirizzo email. Cliccate su «Invia email di verifica», aprite l'email ricevuta e cliccate sul pulsante di verifica. Riconnettetevi e accederete finalmente alla vostra cassaforte.
Se utilizzavate già un altro gestore di password, potete importare i vostri dati direttamente dall'interfaccia web di Vaultwarden seguendo la procedura di importazione proposta.
Installare e configurare l'estensione del browser
Per sfruttare pienamente Vaultwarden nella vita quotidiana, installate l'estensione Bitwarden disponibile su Chrome, Firefox, Edge e altri browser. Una volta installata, fissatela nella barra degli strumenti per accedervi facilmente.
Al primo avvio dell'estensione, invece di «Accesso a bitwarden.com», cliccate e scegliete «Self-hosted». Nel campo URL del server, inserite l'URL del vostro servizio Vaultwarden (ad esempio https://vaultwarden.IL_VOSTRO_DOMINIO.it) e salvate.
Poi connettetevi con il vostro indirizzo email e la vostra password principale. Se avete configurato una chiave YubiKey, vi verrà chiesto di toccarla per validare la connessione.
Se siete l'unico utente della vostra sessione, potete andare in Impostazioni > Sicurezza dell'account dell'estensione e modificare il timeout della cassaforte per evitare di dovervi riconnettere a ogni chiusura del browser.
Le applicazioni mobili Bitwarden sono disponibili anche su Android e iPhone. Funzionano esattamente come l'estensione del browser, permettendovi di avere le vostre password su assolutamente tutti i vostri dispositivi.
Attivare l'autenticazione a due fattori sul proprio account
Prima di iniziare a utilizzare la vostra cassaforte quotidianamente, prendetevi il tempo di mettere in sicurezza il vostro account. Andate in Impostazioni > Sicurezza > Accesso in due passaggi.
Attivare la chiave YubiKey: cliccate su «Gestisci» accanto all'opzione Chiave di sicurezza OTP YubiKey, inserite la vostra password principale, poi cliccate in un campo vuoto, inserite la vostra chiave e premetela. Potete registrare fino a 5 chiavi YubiKey per account. Vi raccomando di averne almeno 2, nel caso perdiate la prima.
Attivare la verifica via email: potete anche attivare l'autenticazione a due fattori via email. Inserite la vostra password principale, confermate l'invio del codice via email, poi inserite il codice ricevuto. Avrete così almeno due tipi di autenticazione a due fattori attivati sul vostro account.
Utilizzo quotidiano di Vaultwarden
Concretamente, Vaultwarden funziona davvero molto bene nella vita quotidiana. Ecco le principali funzionalità che utilizzerete:
Salvataggio automatico delle password
Quando vi connettete a un sito web, Vaultwarden vi proporrà automaticamente di salvare la password. Cliccate semplicemente su «Salva» e il sito verrà aggiunto alla vostra cassaforte.
Compilazione automatica
La volta successiva che visiterete lo stesso sito, Vaultwarden vi proporrà di compilare automaticamente i campi di accesso. Un semplice clic e sarete connessi.
Generatore di password
Durante la registrazione su un nuovo sito, utilizzate il generatore integrato dell'estensione. Ricordatevi di selezionare i caratteri speciali e di scegliere una lunghezza sufficiente. Copiate e incollate la password generata e Vaultwarden vi proporrà di salvarla automaticamente.
Gestione dell'autenticazione a due fattori (TOTP)
Vaultwarden è anche in grado di gestire l'autenticazione a due fattori tramite app (TOTP). Quando un sito vi propone di attivare la 2FA, recuperate il codice (spesso cliccando su «Non riesco a scansionare il codice QR») e inseritelo nella vostra voce Vaultwarden, nel campo «Chiave Authenticator TOTP». Un codice di verifica verrà generato automaticamente.
Il vantaggio è che quando utilizzate la compilazione automatica per connettervi a un sito, Vaultwarden copia automaticamente il codice TOTP negli appunti. Vi basterà incollarlo quando il sito ve lo chiede.
Modificare le informazioni di un identificativo
A volte Vaultwarden salva il nome utente al posto dell'email come identificativo di connessione, o viceversa. Niente panico: cliccate sulla voce in questione, poi su «Modifica» per correggere il nome utente.
Carte di pagamento
Oltre alle vostre password, potete salvare le vostre carte di pagamento in Vaultwarden per evitare di doverle reinserire a ogni acquisto online.
Identità (moduli)
Le identità permettono di memorizzare le vostre informazioni personali (nome, cognome, indirizzo, ecc.) per compilare automaticamente i moduli di registrazione o di consegna. Per utilizzarle, fate clic destro sulla pagina, poi Bitwarden > Compilazione automatica dell'identità e selezionate l'identità configurata.
Conservare i codici di backup
Quando attivate l'autenticazione a due fattori su un sito, questo vi fornisce generalmente dei codici di backup. Questi codici vi permettono di recuperare l'accesso al vostro account in caso di perdita del vostro metodo di 2FA. Ricordatevi di conservarli in Vaultwarden, nelle note della voce corrispondente, oppure in campi nascosti personalizzati per maggiore sicurezza.
achetez le bon model de clé . il faut acheter la Yubico 5 NFC ou 5c nfc à 69 € et non Yubico - Security Key C NFC à 38€40 .
et ainsi eviter de chercher pendant des heures pourquoi ca ne fonctionne pas ! merci gemini