Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
OneCritto è un password manager "offline-first", il quale è stato progettato per garantire massima sicurezza grazie alla gestione locale dei dati e alla cifratura degli stessi con AES-256. Il software è progettato, realizzato da uno sviluppatore italiano, è completamente open source e consente di ridurre la superficie d'attacco e proteggere meglio le credenziali.
I password manager oggi essenziali e nessuno di noi ne riesce più a fare a meno. Ma spesso queste soluzioni sono dominate da architetture cloud-centriche e modelli SaaS, che seppur comodi, aumentano inevitabilmente la superficie del rischio.
Non poche sono state le violazioni dei password manager on cloud, quindi molte persone per questo genere di informazioni sensibili, preferiscono un approccio “locale”, piuttosto che la comodità e i potenziali problemi del “cloud”. Su questo punto si introduce OneCritto, un approccio radicalmente diverso che vuole eliminare la dipendenza da infrastrutture esterne.
In più, il software è stato sviluppato da un italiano e si posiziona come soluzione offline-first, dove l’intero modello di sicurezza ruota attorno al controllo locale dei dati senza demandarlo a soluzioni “on cloud”.
L’applicazione si basa su uno specifico vault cifrato, dove viene salvato un singolo file con estensione .onecritto. Questo file, è l’intero perimetro operativo locale nel quale vengono salvate le credenziali, i file, le note e le configurazioni, senza alcuna sincronizzazione con la rete esterna. L’assenza di sincronizzazioni cloud, riduce di fatto la superficie di rischio, ed elimina quei vettori di attacco tipici delle compromissioni lato server, come il credential stuffing su servizi centralizzati e gli attacchi alla supply chain legati a backend di terze parti.
Abbiamo parlato con Fabio Marano, founder del progetto OneCritto chiedendogli come mai questo ritorno alla supervisione e controllo al di fuori del cloud e ci ha risposto che “Il prodotto nasce da un’esigenza molto semplice: ridare all’utente il pieno controllo dei propri dati sensibili. Oggi molti password manager si basano su servizi cloud, account online e sincronizzazioni remote. Io ho scelto consapevolmente la strada opposta: un’applicazione desktop offline, senza cloud, senza telemetria e senza account obbligatori al fine di offrire un’alternativa concreta a chi preferisce un modello offline-first, dove il Vault resta sul proprio dispositivo e si conserva la piena proprietà dei propri dati.”
OneCritto adotta delle primitive solide e delle implementazioni coerenti con le best practice. La cifratura, ad esempio, utilizza AES-256 in modalità GCM. Questo garantisce confidenzialità e autenticazione dei dati. La derivazione della chiave master, avviene tramite Argon2id, che viene configurato con parametri memory-hard, rendendo gli attacchi di brute-force costosi anche su hardware progettati per tale scopo. Ogni record utilizza IV randomizzati e salt indipendenti, mentre invece l’integrità viene ulteriormente rafforzata da dei controlli HMAC-SHA256 per poter prevenire manipolazioni del vault.
Un altro elemento che distingue il prodotto, è l’attenzione alla sicurezza a runtime. A differenza di molte altre implementazioni Java-based, OneCritto evita l’uso di variabili String per i dati sensibili, mentre preferisce buffer char[]. Questo consente una facile cancellazione dei dati dalla memoria oltre a ridurre il rischio di leakage attraverso memory dump o garbage collection non controllata. Per la gestione della clipboard invece i dati che vengono copiati nella memoria, sono automaticamente rimossi dopo un timeout breve, limitando l’esposizione ai malware o ai processi in ascolto.
La gestione dei file cifrati segue un modello “decrypt-on-demand”: i contenuti vengono decifrati solo se necessario e scritti in directory temporanee protette, con cancellazione sicura tramite sovrascrittura randomica. Questo approccio minimizza la persistenza di dati in chiaro su disco, riducendo il rischio in scenari forensi o post-compromissione.
Dal punto di vista funzionale, OneCritto estende il concetto di password manager verso un secure vault multiuso. Oltre alle credenziali, permette anche la gestione di note cifrate e chiavi SSH, che vengono decifrate solo al momento della connessione e mai archiviate in chiaro. Questo lo rende adatto a contesti professionali e DevOps, dove la gestione sicura delle chiavi diventa critica.
Interessante l’introduzione di Sentinel, si tratta di un motore di analisi che valuta in tempo reale la sicurezza del vault. Il sistema assegna uno score che viene basato sull’entropia, oltre che sul riutilizzo e l’anzianità delle password, identificando le criticità come credenziali deboli o duplicate. A questo si affianca anche un modulo di breach detection che utilizza il modello k-anonymity per interrogare database pubblici senza esporre le password, mantenendo il principio di zero trust verso la rete.
Abbiamo chiesto a Marano, come mai il software è divenuto open source e ci ha risposto: “OneCritto è stato pubblicato a dicembre 2025 con una licenza permanente limitata a un solo dispositivo con un prezzo di 12 euro. Da aprile diventa non solo free ma anche open source. Il motivo del cambiamento riguarda la tipologia di software di sicurezza che oggi si basa più sulla possibilità per chiunque di verificare il codice, analizzarlo, criticarlo e contribuire a migliorarlo. Infatti al momento abbiamo le clonazioni da Github che superano i download diretti dal sito.”
Infine, la trasparenza, il codice sorgente è completamente pubblico e verificabile. Questo consente audit indipendenti e compilazione autonoma, eliminando la necessità di fidarsi di binari precompilati. Perché come diciamo spesso, più siamo a controllare, più i software diventano sicuri. Questa è la chiave dell’Open Source e OneCritto adotta proprio una licenza GNU General Public License v3.0 (GPLv3).
OneCritto non punta alla comodità, ma alla riduzione sistematica del rischio. Ed è proprio questa coerenza progettuale a renderlo una soluzione interessante per chi considera la sicurezza non una feature, ma un requisito fondamentale.
