Il password manager di Linux: Pass

di Aldo Latino
mercoledì, 02 gennaio 2019

È inutile che vi dica quanto sia fondamentale oggi l’uso di un password manager: considerando tutti gli account che abbiamo in giro e il fatto che dobbiamo avere una password diversa per ognuno di essi, è assolutamente fondamentale avere uno strumento che ce le ricordi.

Il mio primo password manager è stato fino ad alcuni anni fa KeePass. A seguire ho usato per lungo tempo LastPass, con cui mi sono trovato bene, soprattutto per la comodità con cui mi inseriva automaticamente le credenziali. Ma LastPass mi lasciava sempre con un timore di fondo, latente, ma che avvertivo: le proprie password non si danno a nessuno.

Ritornato sulla retta via, circa 8 mesi fa ho voluto provare Pass, il password manager che trovate comodamente nei repository e che l’autore etichetta come

the standard unix password manager.

— Jason A. Donenfeld, a.k.a. ZX2C4

Da allora non ho più lasciato questo strumento, lo uso tutti i giorni e ne sono soddisfatto. È stato amore a prima vista e non ho alcuna intenzione di cambiarlo.

Pass, di suo, non ha un’interfaccia grafica e funziona da terminale. Esistono però delle interfacce grafiche, anche per browser, dedicate a coloro che non apprezzano la riga di comando.

Diversamente da tanti altri password manager, Pass non conserva le credenziali in un unico file, ma le inserisce all’interno della directory ~/.password-store e per ogni account vi crea un file cifrato. Potete organizzare la struttura di file e directory come meglio credete, così come fareste per qualsiasi altro progetto:

Email/
  Alice
  Gmail
  Yahoo
Banca/
  Banca1
  Banca2
Social/
  Facebook
  Twitter
ecc...

Tra le cose che apprezzo tantissimo è che i singoli file contenenti le credenziali sono cifrati con la nostra chiave GnuPG. Ogni file non è altro che un file di testo cifrato, dove possiamo scrivere quello che vogliamo, ad esempio:

H-[D+/c/s^O`\P0anrzhw%(nzf^tt)_Q
URL: https://www.tld.com
Username: johndoe@example.com
Domanda segreta: In quale giorno hai sbagliato l'account per sudo e Babbo Natale ti ha messo nella lista dei cattivi? L'altro ieri...
PIN 1: 15896478

Una volta salvato il file, mettiamo che si trovi in Shopping/Amazon, è possibile richiamarlo e decifrarlo con:

pass Shopping/Amazon

Lo sviluppatore consiglia di inserire come prima riga del file la password stessa, in modo da poter usufruire del comando di copia in memoria della password ad esempio:

pass -c Email/Gmail

La password viene messa negli appunti e non viene mostrata al terminale. Dopo 45 secondi verrà eliminata dagli appunti.

Un’altra cosa che apprezzo è che Pass ha piena compatibilità con Git: ciò significa che, potete tornare indietro nel tempo tramite Git o fare comunque quello che si fa con Git. Non è una funzione attivata per ogni store di password, ma dovete attivarla esplicitamente. Una volta attivata, però, Pass renderà trasparente il commit per ogni aggiunta/cambio/eliminazione di password e farà per voi il lavoro su Git. Avere Git significa, ad esempio, che potete tornare indietro a un certo punto della storia e vedere, ad esempio, quale password avevate usato per un certo account o quale nota avevate scritto. Insomma, chi usa Git sa bene cosa significa.

Ci sono anche tante estensioni e script per Pass che potete trovare nel sito dello sviluppatore. Vi segnalo in particolare quelle per importare le password di altri password manager. Io ho usato questa per importare il CSV di LastPass e ha funzionato tutto benissimo, tranne una cosa che di cui non ero a conoscenza: quando esportate le password da LastPass non fatelo usando l’estensione del browser, ma fatelo direttamente dal sito di LastPass. Questo perché l’estensione del browser (il mio era Chrome) cambia il carattere & in &. Qui trovate la discussione fra un utente e lo sviluppatore.

Poiché i nomi dei file sono in chiaro sullo store di Pass (come ho mostrato nell’esempio di sopra), per chi avesse il problema di nascondere anche i nomi dei file segnalo che esiste l’estensione pass-tomb che cifra l’albero della directory di Pass in una tomb.

Per quanto riguarda il lato mobile, cioè avere le password anche sul cellulare, utilizzo l’applicazione Password Store, anch’essa citata nel sito dello sviluppatore, in collaborazione con OpenKeychain per la chiave di decifrazione di GnuPG. Non uso software per sincronizzare in cloud la directory delle password, ovviamente, ma di tanto in tanto ricopio a mano lo store dal PC al telefono.