Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/lastpass-password-a-rischio-dopo-attacco-hacker-cambiate-le-master-password_57685.html

Il servizio di gestione delle password ha subito un furto. La società lo ha segnalato in una nota inviata pubblicamente, informando singolarmente via email tutti gli utenti i cui dati potrebbero essere compromessi

Click sul link per visualizzare la notizia.

Sono notizie come questa che mi fanno sempre più titubare e nutrire diffidenza verso i servizi cloud (passmanager o storage che siano).

Chi più chi meno si vanta di avere a cuore la sicurezza degli utenti, applicano qualunque protocollo possibile ed immaginabile et voilà non passa troppo tempo che i server vengono bucati.

D'accordo, c'è tempo per il singolo utente di rimediare e cambiare le password ma oggettivamente la sicurezza assoluta non esiste e forse sarebbe meglio evitare d'infondere, in termini di marketing, una certezza all'utente che, di fatto, non trova riscontro nella pratica (resistere a 1000 attacchi e cadere al milleunesimo non è così differente da cadere subito al primo attacco).

boh.. personalmente non so chi sano di mente metterebbe tutte le proprie password online su un sito (o qualsiasi altra cosa) pensando: "ecco, sono al sicuro!"

Confesso di usarlo spesso e sicuramente non è esente da fail come qualsiasi cosa.
Ma è sicuramente più sicuro delle opzioni più largamente usate:
A- Stesso Login/Password per qualsiasi servizio online
B- Scriversi un TXT sul desktop con i login
C- Scriversi tutte le password in un postit

in fin dei conti lo uso perché diventa difficile ricordarmi 10000 Login diversi con tutte le eccezioni (Sito A non vuole il "." nel nome login, Sito "B" la password deve essere più corta di 10 Char, Sito C più lunga di 20 Char, il sito D vuole l'email nel login, ecc.).

risulta estremamente comodo gestire tutti i siti con l'addon, creare password al volo, salvarle qualsiasi login/password in lastpass. Almeno cosi facendo risolvi i problemi A, B e C (con l'aggiunta di ricordarsi in 2 secondi tutti i login giusti).

Se si usa solo una masterpass e non la si cambia mai,
chiaramente diventerà un "Single point of failure".

Questo problema però con il multifactor login viene attenuato in modo significativo.

https://helpdesk.lastpass.com/it/multifactor-authentication-options/

Lastpass è di una comodità incredibile e lo uso su pc, tablet e smartphone. Come tutte le cose, va saputo usare con criterio: utilizzare una master password complessa (magari cambiandola periodicamente) e attivare l'autenticazione a doppio fattore permette di poter avere un ottimo margine di sicurezza.

Usavo LastPass finché ho scoperto l'altro (quello che comincia con 1).
Con quest'altro il database crittografato con la master password è locale sul tuo PC (o altro device) e se vuoi lo puoi duplicare su DropBox per mantenerlo sincronizzato su tutti i device (es. lo smartphone).
Il vantaggio teorico è che loro non hanno il tuo database, mentre DropBox non ha né la master password (ovviamente) né le conoscenze per un eventuale backdoor o debolezza del codice.

Se non vuoi fidarti di nessuno, un metodo alternativo per gestire molte password diverse c'è: scegli una stringa di base segreta e fissa per tutti i servizi, inventa un modo (segreto) per estrarre da ogni servizio una stringa specifica (ad esempio prendi una lettera sì e una no dal nome di dominio e aggiungi la cifra corrispondente alla lunghezza del nome modulo 10), combina le due stringhe e usa il risultato come password specifica.
In questo modo l'hacker deve scoprire sia la stringa di base, sia immaginare che usi una regola per completarla, sia scoprire la regola.

Quis custodiet ipsos custodes?

Perché usare un servizio online, quando ci sono software come KeePass che fanno la stessa identica cosa? :rolleyes:

Perché usare un servizio online, quando ci sono software come KeePass che fanno la stessa identica cosa? :rolleyes:

Perché LastPass si integra come estensione in tutti i browser, si sincronizza automaticamente con il server e funziona ovunque, dal PC Linux allo Smartphone.
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro? :rolleyes:
Io comunque non mi tirerei troppe paranoie dopo aver letto questa notizia...
Il login della banca per home banking uno può anche evitare di salvarlo su lastpass, anche se chiunque è in una botte di ferro, le operazioni dispositive richiedono token oppure conferme tramite SMS.
A questo punto, un hacker cosa diavolo se ne fa di tutti gli altri account a cui giornalmente uno si registra anche solo per fare un acquisto online?
Gli account di posta elettronica poi hanno ormai tutti la doppia verifica, paypal ha anche lei sistemi di protezione doppia.
Io per scrupolo ho cambiato la master password, ma la notte dormivo tranquillo e continuerò a farlo.

Perché
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro? :rolleyes:

Io tengo il database di Keepass su dropbox (ma chiaramente qualunque servizio analogo va bene) e utilizzo un file di cui tengo copia nei diversi dispositivi (quindi non in dropbox, e chiaramente la conosco solo io) come master key da usare assieme alla password. In questo modo servono tre cose separate per accedere ai dati: una su dropbox, una sul dispositivo e una che ricordo a memoria... può sembrare macchinoso ma è un attimo, anche se sicuramente non si ha l'immediatezza di un sistema come quello dell'articolo che ti completa immediatamente i campi per l'accesso. Sistemi di questo tipo sono comunque l'unico modo per poter gestire molte password complesse, che magari si usano solo raramente e quindi sono anche più difficili da ricordare.
Questo naturalmente solo per pw importanti, per le altre posso anche lasciare che se le ricordi il browser per quello che valgono... :D

Si ok ma il problema è che keepass non funziona su tutti i dispositivi.
Ad esempio, se ti fai un giro sul sito di Keepass, scopri che l'installazione su OSX è tutt'altro che semplice e non garantisce gli stessi risultati che ottieni su windows, questo perché l'applicazione non viene gestita ed aggiornata corettamente su tutti i dispositivi.
LastPass invece è l'unico davvero multipiattaforma e che funziona sempre e ovunque.

io da qualche anno uso Keeper e mi trovo molto bene

Ho provato entrambe le opzioni, da prima dropbox+miniKeepass e poi ho provato lastpass. a mio avviso i db messi "a mano" su Dropbox non sono una cosa comparabile:
Perché non possiedono, che io sappia, addon atti "all'autocompletamento" dei campi "password" sui browser.
Poi in alcuni ambienti vengono fuori problemi di sincronizzazione, come ad esempio in iOs: ogni volta che aggiorni una password nel database su dropbox dal PC, devi riaprire dropbox aggiornare il file e poi aprirlo con miniKeePass.
Poi non scordiamoci che in caso di Keylogger l'addon del browser+autenticazione a doppio fattore ti salva tutto, nel caso di db già il fatto di copiare una pass nella clipboard è una criticità non da poco. Cosa che invece per andare a sniffare la password inserita dall'addon nella "listbox password" del browser è un pelo più difficoltoso.

io da qualche anno uso Keeper e mi trovo molto bene

Un po caro...30€ se vuoi la sincronizzazione su tutti i dispositivi...
Last pass è gratuito, paghi solo per il mobile 10 euro/anno.

Un po caro...30€ se vuoi la sincronizzazione su tutti i dispositivi...
Last pass è gratuito, paghi solo per il mobile 10 euro/anno.

ci sincronizzo MacBook, pc fisso, iphone e ipad, è sicuramente più economico di 1Password

Ho provato entrambe le opzioni, da prima dropbox+miniKeepass e poi ho provato lastpass. a mio avviso i db messi "a mano" su Dropbox non sono una cosa comparabile:
Perché non possiedono, che io sappia, addon atti "all'autocompletamento" dei campi "password" sui browser.
Poi in alcuni ambienti vengono fuori problemi di sincronizzazione, come ad esempio in iOs: ogni volta che aggiorni una password nel database su dropbox dal PC, devi riaprire dropbox aggiornare il file e poi aprirlo con miniKeePass.
Poi non scordiamoci che in caso di Keylogger l'addon del browser+autenticazione a doppio fattore ti salva tutto, nel caso di db già il fatto di copiare una pass nella clipboard è una criticità non da poco. Cosa che invece per andare a sniffare la password inserita dall'addon nella "listbox password" del browser è un pelo più difficoltoso.

Appunto...La comodità di last pass sta proprio nell'auto completamento su qualsiasi dispositivo tu lo usi.
Io ho usato per parecchio tempo 1password è ho anche acquistato la licenza sia su pc che su mobile.
Purtroppo se usi intensamente più di un dispositivo/PC, i limiti saltano fuori subito...

ci sincronizzo MacBook, pc fisso, iphone e ipad, è sicuramente più economico di 1Password

Perfetto ma il problema si pone quando di mezzo hai anche un PC/Linux.
Sincronizza anche su quello in modo semplice e veloce?
Ho appena scaricato il pacchetto per Linux e l'installazione e la relativa sincronizzazione è tutt'altro che a prova di utonto.
Per questo poco sopra dicevo che last pass è l'unico davvero multipiattaforma e che di fatto non ha bisogno di essere installato (solo sul lato mobile devi farlo) perché altro non è che una estensione del browser che usi.

Perfetto ma il problema si pone quando di mezzo hai anche un PC/Linux.
Sincronizza anche su quello in modo semplice e veloce?
Ho appena scaricato il pacchetto per Linux e l'installazione e la relativa sincronizzazione è tutt'altro che a prova di utonto.
Per questo poco sopra dicevo che last pass è l'unico davvero multipiattaforma e che di fatto non ha bisogno di essere installato (solo sul lato mobile devi farlo) perché altro non è che una estensione del browser che usi.

non usando linux non mi sono neanche posto il problema, però la sincornizzazione tra iOS/OSX/Windows ha sempre funzionato, cos' come gli addon per Safari e Firefox, l'accesso off-line su iOS va, in sostanza per le mie esigenze fa tutto quello che serve e l'interfaccia grafica è molto semplice ed intuitiva

non erano loro i pagliacci che dicevano che le master password NON ERANO SALVATE lato server???

Il messaggio dice che hanno scoperto l'attacco, e che nessun dato personale è stato rubato, e che comunque, tutto è criptato, e che considerano affidabile il loro sistema di cifratura. La mia master password è al sicuro, ma (come è ovvio) consigliano di sostituirla. Tra l'altro, le password vanno sempre sostituite almeno ogni due- tre mesi, perchè nessun sistema è inviolabile. Dopo la cifratura, conta molto la complessità delle chiavi, e con Last Pass è facile crearne di complicate.
Qualcuno dice di non fidarsi di questi servizi online... eh eh, ma allora queste persone non fanno neanche acquisti intenet, perchè anche i dati di carte di credito sono su qualche server, di PayPal o altri gestori...

Il messaggio dice che hanno scoperto l'attacco, e che nessun dato personale è stato rubato, e che comunque, tutto è criptato, e che considerano affidabile il loro sistema di cifratura. La mia master password è al sicuro, ma (come è ovvio) consigliano di sostituirla. Tra l'altro, le password vanno sempre sostituite almeno ogni due- tre mesi, perchè nessun sistema è inviolabile. Dopo la cifratura, conta molto la complessità delle chiavi, e con Last Pass è facile crearne di complicate.
Qualcuno dice di non fidarsi di questi servizi online... eh eh, ma allora queste persone non fanno neanche acquisti intenet, perchè anche i dati di carte di credito sono su qualche server, di PayPal o altri gestori...

Quoto!

Qualche paranoico lo troverai sempre...Magari poi è lo stesso paranoico che quando digita il pin del Bancomat al supermercato oppure ad una pompa di benzina, non si cura del fatto che qualcuno potrebbe vedere che codice sta digitando e clonargli al carta.

Quoto!

Qualche paranoico lo troverai sempre...Magari poi è lo stesso paranoico che quando digita il pin del Bancomat al supermercato oppure ad una pompa di benzina, non si cura del fatto che qualcuno potrebbe vedere che codice sta digitando e clonargli al carta.

non è la stessa cosa: se mi clonano il bancomat o la carta di credito ho comunque delle garanzie e tutele..

se mi rubano TUTTE LE PASSWORD A TUTTI SERVIZI ONLINE che uso oppure dati particolarmente sensibili da un sito online... di garanzia o tutela non ne ho nemmeno una..

non è la stessa cosa: se mi clonano il bancomat o la carta di credito ho comunque delle garanzie e tutele..

se mi rubano TUTTE LE PASSWORD A TUTTI SERVIZI ONLINE che uso oppure dati particolarmente sensibili da un sito online... di garanzia o tutela non ne ho nemmeno una..

So bene che non è la stessa cosa, ma io comunque prima di digitare codici su tastierini vari, una mano davanti la metto sempre.
Qua comunque come giustamente fatto notare si parla del nulla, i dati sono tutti crittografati su server.
Se uno non si fida dei sistemi online, non deve manco usare la carta di credito e men che meno collegarla a paypal visto che, ad oggi, non ha nessun sistema di protezione a doppia verifica che può essere attivato a differenza di LastPass dove volendo puoi attivare la verifica tramite SMS.
Il sistema per proteggersi ulteriormente esiste, e LastPass per me offre un sistema sicuro dove tenere i propri dati.
Poi ognuno di noi i propri codici li può tenere dove vuole...Una mia amica è stata borseggiata tempo fa ed era una che aveva l'abitudine di scrivere il codice delle carte cammuffato insieme ad altri numeri.
Morale: gli hanno prelevato soldi sia dalla carta di credito che dal bancomat...E quelli stai pur certo che non te li restituisce nessuno.
Io, preferisco tenerli memorizzati in un'unico posto che per me è sufficientemente sicuro (se vengono adottate le giuste misure da parte di chi lo utilizza).
Poi, in caso di dubbi se vengo avvisato anche tramite mail da parte della società che gestisce i miei dati, sono ancora più tranquillo. ;)

Premetto che non uso lastpass...ma in questo caso se gli hacker avrebbero potuto risalire a tutte le password degli utenti?