Guida Utente

Crea un Nuovo Vault

Crea un nuovo vault crittografato e scegli una password master robusta. La chiave di cifratura viene derivata localmente tramite Argon2id.

Utenti Linux: durante la creazione di un nuovo vault, assicurati che il nome del file termini con .onecritto (es. miovault.onecritto). Su Linux l'estensione non viene aggiunta automaticamente. Senza di essa, il filtro di selezione file non mostrerà il vault al momento dell'apertura.

Apri un Vault Esistente

Apri un file .onecritto esistente. Solo i metadati delle voci (titoli, credenziali, connessioni SSH) vengono decrittati in memoria. I file cifrati restano come blob su disco e vengono decrittati on demand quando li apri o li esporti.

Salvataggio

Le voci password vengono salvate nel vault al click su Salva. I file vengono cifrati e archiviati appena li aggiungi con Aggiungi.

Backup

Il vault è un singolo file. Copialo e conservalo dove preferisci.

Modalità Mascherata e Visibile

Puoi mostrare o nascondere i caratteri in qualsiasi momento. La copia funziona anche quando il testo è mascherato.

Sicurezza di Memoria e Clipboard

I buffer sicuri vengono cancellati al blocco o alla modifica dei campi. Il contenuto della clipboard viene eliminato automaticamente dopo 20 secondi.

Aggiungi File

I file vengono crittografati immediatamente quando vengono aggiunti al vault.

Apri File

I file vengono decrittati in un’area temporanea sicura (~/.onecritto/temp/) e rimossi automaticamente alla chiusura o all'avvio dell'applicazione. Inoltre i file vengono puliti in modo sicuro da disco quando clicchi il pulsante Pulisci temp (icona gomma, in basso a destra nel tab File).

Esporta File

Esporta i file quando hai bisogno di un controllo manuale. I file esportati non sono crittografati. Assicurati di eliminarli in modo sicuro quando non sono più necessari.

Pulizia Manuale Cartella Temporanea

Il pulsante Pulisci temp (icona gomma, in basso a destra nel tab File) consente di svuotare la cartella temporanea in qualsiasi momento. Tutti i file temporanei vengono sovrascritti con dati casuali prima della cancellazione (secure wipe). Al termine viene mostrato un messaggio di conferma.

Consiglio: utilizza questa funzione dopo aver consultato file sensibili, per non lasciarli in chiaro su disco più del necessario.

Nota: i file aperti da altre applicazioni potrebbero non essere eliminati. Chiuderli prima e riprovare.

Contatore File Temporanei

Un'etichetta Files: N accanto al pulsante Pulisci temp mostra quanti file in chiaro sono attualmente nella cartella temporanea. Il contatore si aggiorna automaticamente quando ci si connette con ssh , all'apertura di un file o pulizia. Quando indica Files: 0, nessun file decifrato rimane su disco.

Campi della Voce

Ogni voce contiene: Titolo (obbligatorio), URL, Username, Password, Note e Categoria (Password / Nota / Altro). Una barra di robustezza in tempo reale viene mostrata durante la digitazione della password. Data di creazione e data dell'ultimo cambio password vengono tracciate automaticamente.

Campi Protetti

I campi username, password e note utilizzano buffer di memoria sicuri char[] — mai Java String. I buffer vengono azzerati al blocco o alla modifica del campo.

Generatore di Password

Genera password robuste e copiale in sicurezza nei campi. Due modalità:

• Forte — lunghezza configurabile (8–40), set di caratteri (maiuscole, minuscole, cifre, simboli), opzione per evitare caratteri ambigui (0/O, 1/l/I).
• Mnemonica — password pronunciabili basate su sillabe (4–12 sillabe), con cifre e simboli opzionali.

Entrambe le modalità mostrano un punteggio di robustezza in tempo reale basato sullo stesso motore Sentinel.

Ricerca e Categorie

Un campo di ricerca globale filtra le voci istantaneamente per titolo, username, categoria e note. Tre categorie predefinite: Password, Nota, Altro.

Menu Contestuale — Copia Rapida

Clic destro su qualsiasi riga della tabella password per copiare Password o Username nella clipboard di sistema. Compare un countdown di 20 secondi in alto a sinistra, con colore progressivo (ciano > 10 s, arancione ≤ 10 s, rosso ≤ 5 s). Allo scadere, la clipboard viene svuotata automaticamente. La copia utilizza lo stesso pattern sicuro char[] di SecureTextField.

Badge di Salute

Dopo aver aperto il vault, un badge di salute appare nella barra degli strumenti con un punteggio da 0 a 100. Il colore riflette il livello di sicurezza — dal verde (eccellente) al rosso (intervento critico necessario).

Dashboard Sentinel

Clicca sul badge per aprire la dashboard completa. Mostra il punteggio complessivo, una barra di progresso colorata e sei contatori: Critico, Debole, Discreto, Buono, Forte e Duplicati.

Punteggio Password

Ogni password viene valutata su una scala da 0 a 100 in base a entropia, lunghezza, varietà di caratteri e rilevamento di password comuni. Varianti leet-speak (es. p@$$w0rd), pattern da tastiera, ripetizioni e duplicati vengono penalizzati.

Piano di Rotazione

Una tabella prioritizzata elenca le voci che richiedono attenzione — dalle password comuni o criticamente deboli ai duplicati e alle password più vecchie di 90 giorni. Ogni riga mostra il titolo della voce e il motivo della rotazione.

Colonna Robustezza

La tabella delle password include una colonna Robustezza con una barra di progresso colorata — per una panoramica visiva istantanea. Le voci con password vuota vengono mostrate come “Vuoto” e sono escluse dall'analisi.

Password Coach

Seleziona una voce e apri il Password Coach per suggerimenti personalizzati ordinati per severità:

• Critico — password comune, duplicata, trovata in breach, nessuna password impostata.
• Avviso — pattern da tastiera, ripetizioni, bassa entropia, password più vecchia di 365 giorni.
• Info — password più vecchia di 90 giorni, stima del tempo di crack offline, suggerimenti di miglioramento.
• OK — nessun problema rilevato.

Il coach mostra inoltre il punteggio numerico, una barra di robustezza colorata e una stima del tempo di crack.

Aggiornamenti in Tempo Reale

Sentinel rianalizza automaticamente il vault ogni volta che apri, aggiungi, modifichi o elimini delle voci. Il generatore di password utilizza lo stesso motore di punteggio per garantire piena coerenza.

Come Funziona

Breach Control interroga il database Have I Been Pwned tramite il protocollo k-anonymity. Vengono inviati solo i primi 5 caratteri dell'hash SHA-1 — la tua password non lascia mai il dispositivo.

Scansione Completa del Vault

Avvia una scansione di tutte le voci del vault con un solo click. Una barra di avanzamento mostra il progresso in tempo reale.

Risultati Chiari

Ogni voce viene contrassegnata con un'icona colorata: sicura (nessun breach trovato), esposta (con il numero di breach noti), oppure errore (problema di rete). Un riepilogo finale mostra lo stato complessivo del vault.

Cache di Sessione

I risultati vengono memorizzati nella sessione corrente per evitare richieste di rete ripetute in caso di nuova scansione.

Prerequisito

Prima di creare una connessione SSH, aggiungi la tua chiave privata SSH (es. id_rsa, id_ed25519 o un file .pem) come file cifrato nel vault tramite File → Aggiungi.

Creare una Connessione

Apri il tab SSH e premi Aggiungi. Compila i campi: Nome connessione, Host, Porta (default 22), Username, e seleziona la Chiave SSH dal menu a tendina (elenca le chiavi già salvate nel vault). L'anteprima in basso mostra in tempo reale il comando SSH che verrà eseguito. Premi Salva.

Modificare o Eliminare

Doppio click sulla riga o pulsante Modifica per modificare una connessione. Pulsante Elimina per rimuoverla (con conferma).

Connettersi

Seleziona una connessione e premi Connetti. OneCritto esegue automaticamente: decifratura della chiave privata in un file temporaneo protetto, impostazione dei permessi restrittivi (richiesti da SSH), apertura del terminale nativo del sistema operativo con il comando SSH completo. Il terminale si apre con la sessione SSH già avviata.

Sicurezza

La chiave privata SSH viene decifrata solo al momento della connessione, in un file temporaneo nella cartella ~/.onecritto/temp/. Il file temporaneo viene sovrascritto con dati casuali e cancellato alla chiusura o all'apertura di OneCritto, oppure quando si preme il pulsante Pulisci temp (secure delete). La chiave non resta mai in chiaro su disco in modo permanente. Le connessioni SSH sono salvate all'interno del vault .onecritto, protette dalla stessa crittografia AES-256-GCM e derivazione chiave Argon2id.

Riconoscimento automatico e matching intelligente

OneCritto riconosce i CSV di 10 piattaforme: Chrome / Edge, Firefox, Safari, Bitwarden, KeePass, LastPass, 1Password, Dashlane, NordPass e Proton Pass. I campi vengono mappati automaticamente con confidenza alta.

Per i formati sconosciuti, un algoritmo a 3 livelli identifica le colonne tramite corrispondenza per sinonimi, similarità Jaro-Winkler e analisi euristica dei valori (URL, email, stringhe ad alta entropia).

Anteprima e controllo

Un'anteprima a due pannelli mostra il mapping proposto con indicatori di confidenza e la lista delle entry pronte per l'import. Ogni colonna può essere riassegnata manualmente; ogni entry può essere inclusa o esclusa singolarmente. L'anteprima si aggiorna in tempo reale.

Come usarlo

1. Esporta le password dal tuo attuale gestore in formato CSV.
2. Clicca Import nella barra strumenti di OneCritto.
3. Seleziona il file — la sorgente viene rilevata automaticamente.
4. Verifica il mapping e scegli le entry da importare.
5. Clicca Import — fatto.

Il CSV viene elaborato interamente sul tuo dispositivo. Dopo l'import, Sentinel valuta ogni nuova password e aggiorna il Vault Health Score. Le entry importate vengono cifrate con AES-256-GCM / Argon2id come tutte le altre.