PassPack a Le Web 3

Oggi a Parigi ho presentato PassPack, una nuova iniziativa imprenditoriale che sto realizzando insieme a Francesco Sullo e Tara Kelly. Si tratta di un on-line password manager, ossia di un servizio che permette di conservare le proprie password on line in modo sicuro (anzi sicurissimo) e di recuperarle ovunque e in qualsiasi momento. In altri termini è un servizio disegnato per chi usa il web 2.0 anche se magari non lo sanno: persone che gestiscono la posta con Gmail, il calendario con Google Calendar, le fotografie con Flickr, le cose da fare con BackPack e così di seguito.
Immaginare di avere una coppia di user-id e password diverse quando si usano decine di servizi on line è di fatto impossibile e si finisce per adottare stratagemmi che indeboliscono la sicurezza e aumentano le possibilità per i maleintenzionati di accedere in modo fraudolento alle vostre informazioni. La scorciatoia più frequente è sicuramente usare sempre gli stessi termini: il nome della moglie o dei figli, oppure le date importanti e così di seguito.
Ecco perché è fortemente consigliabile usare un sistema per migliorare la gestione degli account che ci servono per accedere ai servizi che utilizziamo tutti i giorni.
PassPack è stato accolto con interesse (almeno questa è stata la mia impressione, anche se non spetta certo a me dirlo) e ha suscitato un po’ di domande su qual è il mercato e i competitore e quali sono i modelli di business. Credo che Lele Danesi mi abbia anche fatto una fotografia nel corso della presentazione 🙂
PassPack è on line: testatelo e ditemi cosa che pensate. Se avete voglia di investire un po’ di tempo, provante anche a forzarlo o a immaginare modi per violare la sua sicurezza. Il nostro programma è di rimanere in beta per i prossimi tre mesi mentre completiamo arricchiamo il servizio con nuove funzionalità e prepariamo il lancio della versione commerciale.

14 Responses

  1. cavolo…è davvero utile come cosa…sopratutto per me che ha mille password e che le mette tutte diverse complimenti!!!!

  2. Ci sará dunque una versione commerciale e una free? Quali le differenze? Quanto costerá il servizio?

  3. Qualche problema (non di sicurezza) c’è… ecco un pezzettino del dump della connessione sniffata con Ethereal:

    GET /beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/?404;http://www.passpack.com:80/beta/images/favicon.ico HTTP/1.1

    Host: http://www.passpack.com

    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1) Gecko/20061010 Firefox/2.0

    Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5

    Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3

    Accept-Encoding: gzip,deflate

    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

    Keep-Alive: 300

    Connection: keep-alive

    Cookie: ASPSESSIONIDSQDAABAS=(censura :P)

    HTTP/1.1 302 Object moved

    Date: Thu, 14 Dec 2006 17:42:18 GMT

    Server: Microsoft-IIS/6.0

    X-Powered-By: ASP.NET

    Location: beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/beta/?404;http://www.passpack.com:80/beta/images/beta/?404;http://www.passpack.com:80/beta/images/favicon.ico

    Content-Length: 1441

    Content-Type: text/html

    Cache-control: private

    Object moved
    Object MovedThis object may be found here.

  4. WordPress ha convertito i tag, ma la sostanza è lo stesso lì. Chi si stancherà per primo? Il client di richiedere un file in una sotto-sotto-sotto-cartella, o il server di dire che il file cercato è in una sotto-sotto-sotto-sotto-cartella?

    La domanda che mi viene riguardo al servizio è: quis custodiet ipsos custodes?

  5. @Giovanni. Lanceremo una versione commerciale nel giro di qualche mese. Nel frattempo testeremo il servizio in versione beta con dei veri utenti e con tutti coloro che vorrano tentare di forzarlo: noi pensiamo che nessuno ci riuscirà. Quando saremo sicuri di poter garantire degli livelli di servizio contrattualmente, passero alla versione commerciale che sarà molto più ricca di quella che vedete adesso e sulla quale stiamo lavorando. Grazie dell’interesse 🙂

    @Tiziano. Grazie della segnalazione e grazie della foto 🙂

    @IppatsuMan. Non posso fare altro che passare la tua sessione a Francesco che ti risponderà o su questo blog oppure sul blog ufficiale di PassPack. Grazie per aver fatto questa prova: per noi è importante essere messi sotto pressione per provare che il nostro sistema funziona correttamente 🙂

  6. Ultima nota (perchè le idee mi vengono a singhiozzo?): è veramente necessario utilizzare aSSL? Una connessione SSL diretta già dal browser è verificabile direttamente dall’utente – barra dell’url in giallo, lucchetti chiusi qui e lì. Con un po’ di allenamento sono segnali di sicurezza “riconoscibili” da parte di un utente medio. Utilizzando “ajax over ssl” (se mi passate il termine) questi segnali direttamente tangibili sono irrilevabili. Per verificare che i pacchetti fossero effettivamente crittati, ho dovuto utilizzare un packet sniffer – niente di fantascientifico, ma non è neanche banale.

  7. Ciao IppatsuMan.

    Il problema della ricorsione è legato al fatto che per una sfigatissima configurazione del server IIS del nostro attuale provider quando il server non trova qualcosa cerca nella cartella che dovrebbe contenere quell’oggetto una pagina di default. Se la trova bene, altrimenti ricorre nelle cartelle fino a che non ne può più. Non dipende da com’è fatto il sito di PassPack ma dalla configurazione di IIS 6.
    Nella fattispecie non trovava la favicon.ico e cioè l’iconcina che viene mostrata di fianco all’indirizzo web nel browser. Ci era sfuggita 🙂

    Per quanto riguarda la scelta di usare aSSL considera che:

    1) Attualmente il dominio passpack.com è in alias sul mio dominio (sullof.com) ed è “hosted by” GoDaddy con un piano “Economy” che non prevede l’HTTPS. Quindi o si lasciava la comunicazione in chiaro (il che era ovviamente da escludere), o si passava ad un altro piano di hosting o si trovava una soluzione alternativa.

    2) Dopo anni di pensamenti a settembre finalmente ho concretizzato un’idea (geniale 🙂 che mi era venuta un paio d’anni fa ed ho sviluppato aSSL appositamente per implementare una negoziazione riservata fra browser e server in assenza di SSL, cioè il nostro caso preciso.

    Per la cronaca aSSL è una libreria composta di un componente Javascript lato client e di un componente lato server (per il momento in ASP e PHP ed a breve in Ruby, Java, ColdFusion ed altri linguaggi). I due componenti con un meccanismo analogo alla chiave doppia si parlano e negoziano una chiave comune. Con tale chiave da quel momento in poi si scambiano i dati, ma non tutti, solo quelli che chi sviluppa il sito vuole che non vadano in chiaro. Per esempio potresti usarlo solo per il form di registrazione e per il form di login.
    Tecnicamente, aSSL implementa una codifica a 128 bit usando un algoritmo derivato dal DES ed opportunamente modificato per evitare problemi coi diversi charset. Il livello di sicurezzi è analogo a quello garantito dal protocollo HTTPS, rispetto al quale è 3 volte più veloce perché decidi tu cosa cifrare e cosa no. Anche con SSL potresti farlo ma solo a costo di continui e allarmanti messaggi di avvertimento da parte del browser.

    Domani, se tutto va bene, metto il linea il sito di aSSL da dove si potranno scaricare un esempio di utilizzo in ambiente ASP ed uno in ambiente PHP.

    Tante belle cose.

  8. L’idea è ottima.
    L’applicazione è carina e rapida.
    Il suo successo sarà stabilito dal prezzo e dai servizi aggiuntivi.
    Un’idea potrebbe essere di preparare un’estensione per Firefox che permetta di accedere a PassPack quando si raggiunge un sito che richieda autenticazione.
    In bocca al lupo!

  9. quoto la proposta di lucacicca.
    Il servizio sembra valido, io non mi intendo di sicurezza, però possi dire che il livello di semplicità nell’apprendere l’uso del software è alto. Manca un password generator, per aiutare la generazione casuale di password.
    Inoltre a mio parere dovreste pensare ad un servizio multilingua.

    P.s. Non ho capito se il servizio in futuro sarà solo comemrciale o rimarrà anche un aversione (magari anche simile a questa) free.

  10. @lucacicca & marco. Il servizio gratuito rimarrà più o meno come quello attuale con qualche aggiunta perché ci rendiamo conto che c’è comunque una parte di utenti che non ha grandi esigenze in termini di funzionalità e per i quali la versione web è più che sufficiente. Tuttavia anche gli utenti non paganti sono una risorsa preziosa perché agevolano la diffusione del servizio e del brand e ci aiutano sicuramente a migliorare grazie alle osservazioni e alle domande.
    Quando saremo pronti, metteremo on line il servizio commerciale, che avrà una serie di funzionalità in più legate essenzialmente alla facilità di gestione delle password sia in fase di memorizzazione che in fase di utilizzo.