Ciao, non ho trovato un thread ufficiale, quindi chiedo qua...viste le ultime violazioni di sicurezza e i vari pacchi di password che si stanno diffondendo online finalmente mi sono deciso ad affidarmi a un gestore di password, ho scelto lastpass perchè anche la versione free ha tutto quello che mi serve...

l'ho avviato, gli ho fatto fare le sue cose e poi ho lanciato il test di sicurezza e i voti sono un po bassi...alcuni siti non li uso nemmeno più quindi posso eliminarli dall'elenco o converrebbe cancellare l'account completamente dove posso?

Lastpass ha un'opzione "update" nei vari rischi ma ho visto che anche dopo averla lanciata continuano a uscire gli stessi siti con problemi, come mai?

Qualche altro consiglio per utilizzarlo al meglio?
Grazie

Il miglior consiglio che ti posso dare è lasciarlo perdere e passare a Bitwarden che è open source ed ha superato già un paio di audit di sicurezza.

LastPass ? Bitwarden ? ma proprio no grazie, ma perché mai dovrei affidare le mie password ad un servizio web hostato altrove? a parte che il concetto dell'autofill è proprio sbagliato di per sè, vedi critiche mosse anche a Bitwarden negli audit. Al limite altro vault open source con file in locale, tipo KeePass Password Safe.

con bitwarden ti puoi anche fare il self-hosting se vuoi.

Non vedo perché dover tirare su apposta un server Bitwarden, con risorse hardware, docker e tutto quanto (compreso ID/key univoco che hanno comunque loro...) quando basta avere il file di KeePass su un proprio server SFTP (SSH file transfer, ad es. proprio Nas o RasPi) se proprio serve la sincronizzazione del database in mobilità, con meno risorse impegnate e meno dubbi. Altrimenti, direttamente il file .kdbx in locale sul proprio PC/smartphone/tablet e via.

Scusate ma perché dare le password a questi programmi?
Non è più sicuro salvare la password su browser magari solo quelle meno importanti.
Oppure se si vogliono salvare le password importanti è bene che abbiamo la verifica in due passaggi.

Se ad esempio utilizzi Google Chrome Per entrare in possesso delle password devono rintracciare la tua password dell’account e anche se fosse non hanno la password della verifica in due passaggi che arriva sul cellulare.
Non è abbastanza sicuro?

Grazie saluti

Ciao, non ho trovato un thread ufficiale, quindi chiedo qua...viste le ultime violazioni di sicurezza e i vari pacchi di password che si stanno diffondendo online finalmente mi sono deciso ad affidarmi a un gestore di password, ho scelto lastpass perchè anche la versione free ha tutto quello che mi serve...

l'ho avviato, gli ho fatto fare le sue cose e poi ho lanciato il test di sicurezza e i voti sono un po bassi...alcuni siti non li uso nemmeno più quindi posso eliminarli dall'elenco o converrebbe cancellare l'account completamente dove posso?

Lastpass ha un'opzione "update" nei vari rischi ma ho visto che anche dopo averla lanciata continuano a uscire gli stessi siti con problemi, come mai?

Qualche altro consiglio per utilizzarlo al meglio?
Grazie
Io le password le ho scritte in un foglio A4..............è cosi semplice :)

Alcuni le scrivono su word o excel
Ma non credo sia sicuro anzi forse è peggio di salvarle sul browser

Scusate ma perché dare le password a questi programmi?
Non è più sicuro salvare la password su browser magari solo quelle meno importanti.

Perché un virus o un altro tipo di malware progettato per carpirti le password dei browser, un sito malevole che sfrutta qualche bug del browser ancora zero day, ma anche un'altra persona che mette la mani sul tuo computer, apre il browser, va nelle impostazioni sezione credenziali e ciao ciao sicurezza password.

Oppure se si vogliono salvare le password importanti è bene che abbiamo la verifica in due passaggi.


Ovviamente questa è una buona soluzione, ma doppio fattore significa che ci sono due livelli di difficoltà da superare. Se uno lo togli resta solo l'altro. E comunque non tutti i servizi ti offrono il doppio fattore.

Perché un virus o un altro tipo di malware progettato per carpirti le password dei browser, un sito malevole che sfrutta qualche bug del browser ancora zero day, ma anche un'altra persona che mette la mani sul tuo computer, apre il browser, va nelle impostazioni sezione credenziali e ciao ciao sicurezza password.



Ovviamente questa è una buona soluzione, ma doppio fattore significa che ci sono due livelli di difficoltà da superare. Se uno lo togli resta solo l'altro. E comunque non tutti i servizi ti offrono il doppio fattore.

Il mio computer non lo usa nessuno è protetto da password questa credo sia la prima cosa.
Inoltre sul browser salvo le password ma come dicevo per quelle importanti arriva sms sul cellulare quindi anche se riesci a bypassare la sicurezza di Google ed entrare in possesso delle password manca l’ultimo step con sms.

D’altronde quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password.
Quindi un gestore password Non so quanto sia più affidabile di google Chrome.

alla fine tutte le cose importanti sono protette da verifica in 2 passaggi. Last pass o il browser o chi per esso viene usato come "memorizzatore"...non è che posso ricordarmi le pass di tutti i siti ridicoli che uso, ma è ovvio che per l'accesso alla banca uso una 2FA

la cosa più pallosa è che anche disabilitando l'opzione di chrome e edge per utilizzare solo lastpass, si continuano a sovrapporre quando cerco di inserire le password :muro: :muro:

Ma secondo te quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password in chiaro.

Quindi un gestore password Non so quanto sia più affidabile di google Chrome.

Ma secondo te quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password in chiaro.

E si passa agli errori dell'utente contro cui non c'è nulla da poter fare, loro vincono sempre. Perché lo sblocchi la mattina e non lo chiudi più? Inserisci tre volte al minuto qualche password? Apri il programma, copi-incolli le password sulla pagina web e poi chiudi il programma.

Quindi un gestore password Non so quanto sia più affidabile di google Chrome.


Lo è perché l'eventuale scrittore di malware non sa che gestore di password usi, ne esistono diversi, mentre i browser sono gira e rigira due-tre. Basta predisporre due tre metodi diversi e si ritrova la rete piena di pesciolini. Poi chiaramente come scritto sopra, contro gli errori degli utenti non c'è software che tenga.

E si passa agli errori dell'utente contro cui non c'è nulla da poter fare, loro vincono sempre. Perché lo sblocchi la mattina e non lo chiudi più? Inserisci tre volte al minuto qualche password? Apri il programma, copi-incolli le password sulla pagina web e poi chiudi il programma.



Lo è perché l'eventuale scrittore di malware non sa che gestore di password usi, ne esistono diversi, mentre i browser sono gira e rigira due-tre. Basta predisporre due tre metodi diversi e si ritrova la rete piena di pesciolini. Poi chiaramente come scritto sopra, contro gli errori degli utenti non c'è software che tenga.

Perché la master password è bella complessa non puoi metterla ogni 10 minuti che ti serve accedere ad un sito diverso
In genere si mette al primo accesso e poi si lascia aperto l’archivio (si chiude da solo se non si usa il pc per un ora)
Mettere là master password ogni volta che si deve accedere a qualsiasi sito diventa pesante

Perché la master password è bella complessa non puoi metterla ogni 10 minuti che ti serve accedere ad un sito diverso
In genere si mette al primo accesso e poi si lascia aperto l’archivio (si chiude da solo se non si usa il pc per un ora)
Mettere là master password ogni volta che si deve accedere a qualsiasi sito diventa pesante

Pazienza, non è che se un sistema non fa per te o non ti piace è lui ad essere sbagliato. :)

No certo
Intendevo che però è fastidioso

Ma perché quando le password sono decriptate sono in chiaro per tutti?
A questo punto è meglio averle sul browser?

No certo
Intendevo che però è fastidioso

Ma perché quando le password sono decriptate sono in chiaro per tutti?


La password non sono criptate, è il database del programma di gestione delle password che è criptato. Quando sblocchi il database inserendo la password generale, le password le puoi vedere e copio-incollare tu e solo tu stesso. Chiuso il programma non lo puoi fare più.


A questo punto è meglio averle sul browser?

E vabbé, sì OK, hai ragione tu. Mettile sul browser e non farti altre domande o problemi :)

La password non sono criptate, è il database del programma di gestione delle password che è criptato. Quando sblocchi il database inserendo la password generale, le password le puoi vedere e copio-incollare tu e solo tu stesso. Chiuso il programma non lo puoi fare più.




E vabbé, sì OK, hai ragione tu. Mettile sul browser e non farti altre domande o problemi :)
Ma quando il programma si chiude le password rimangono visibili
Là master password per decriptare l’archivio viene messa solo ad inizio giornata e poi per tutto il giorno l’archivio è aperto.
Per questo ti dicevo a questo punto non è più sicuro il browser??

Ma quando il programma si chiude le password rimangono visibili


No, quando il programma viene chiuso le password non rimangono visibili. E vorrei pure vedere il senso... :muro:

Ti ripeto che Quando lo chiudi l’archivio rimane comunque sbloccato
Altrimenti per chiuderlo e mettere le password al sicuro dovresti ogni volta chiuderlo e riaprirlo con là master password

Là master password viene messa ad inizio giornata e poi il programma rimane aperto anche se lo chiudi l’archivio rimane decriptato in verde.

Ti ripeto che Quando lo chiudi l’archivio rimane comunque sbloccato
Altrimenti per chiuderlo e mettere le password al sicuro dovresti ogni volta chiuderlo e riaprirlo con là master password

Là master password viene messa ad inizio giornata e poi il programma rimane aperto anche se lo chiudi l’archivio rimane decriptato in verde.

Ma cosa stai a dire? Ma quale programma? Non sono mica tutti uguali. Conosci Keepass e i suoi derivati? No? Scaricalo, anche la versione portable, usalo e poi torna a ripetere queste ...cose false

Ma figurati se può esistere un programma di gestione password che continui a mostrare le password a programma chiuso. Ma per favore...

Uso Kaspersky ed è così
Lo puoi impostare tu come vuoi ma Se lo vuoi chiudere ogni volta come dici tu vuol dire che ogni 5 minuti per ogni sito che apri lui ti chiedere di mettere là master password.
Cioè tu ogni 5 minuti metti là master password di 16 caratteri alfanumerici con simboli e caratteri speciali?

Uso Kaspersky ed è così

Io no, cioè non uso il gestore di password di Kaspersky pur potendolo fare perché adopero l'antivirus, e non conoscendolo non lo commento.

Lo puoi impostare tu come vuoi ma Se lo vuoi chiudere ogni volta come dici tu vuol dire che ogni 5 minuti per ogni sito che apri lui ti chiedere di mettere là master password.
Cioè tu ogni 5 minuti metti là master password di 16 caratteri alfanumerici con simboli e caratteri speciali?


Io non devo inserire una password diversa ogni cinque minuti, così come penso la stragrande maggiorananza delle persone. Se tu lo devi fare evidentemente questi programmi non fanno per te e d'altro canto immagino nessuno ti sta obbligando ad usarli.

Se un software o un metodo non sono adatti a te non vuol dire che sono sbagliati o sbagliano gli altri ad adoperarli, vuol solo dire che non fanno per te e basta.

Ma è Kaspersky che fa così o anche il tuo

Cioè tu metti là master password e ti si aprono i tutte le password giusto? Quindi in quel momento puoi navigare nei siti e non mettere nessuna password in quanto ci pensa il programma a metterle per te giusto?

Quando poco dopo il programma ti si chiude e ti blocca le password se tu vuoi andare su un altro sito devi rimettere là master password del programma, giusto?
Quindi ogni 5 minuti o ogni volta che entri in un sito con accesso devi mettere là master password del programma?

Basta, mi arrendo e mi appello alla convenzione di Ginevra :D

Se non ti va di rispondere sei libero di farlo.
Ma vanno dette le cose come stanno, altrimenti chi legge potrebbe cadere in informazioni non esatte.

Non so come gestisci i tuoi gestori di password ma tutti quelli usati da me quando metti la password master si aprono e rimangono aperti con password non criptate.

Io le password le ho scritte in un foglio A4..............è cosi semplice :)

è semplice scriverle ma poi a ricopiarle sono dolori....:D :D :D quanto ci metti a inserire questa?

>_dU-<,mpQMJ7E'Bnf>#=S<5:

:D

Infatti
Stesso discorso che facevo sopra per la master password
Pensa a riscriverla ogni 5 minuti per decriptare le password ogni volta che devi entrare in un sito

No. La master password deve essere sicura ma deve anche essere facile da scrivere, altrimenti è un inferno.
Suggerisco, invece di una password, di usare una passphrase con aggiunta di qualche simbolo e carattere speciale.

Si anche questo si potrebbe fare
Però forse la meglio cosa è lasciare che il programma non si chiuda e cripta dopo poco tempo.
Alcuni programmi puoi decidere di Mettere la password ad inizio giornata e lasciare il programma così ‘decriptato’ tutto il giorno, in pratica la metti a solo una o due volte al giorno la password. (Se non utilizzi il pc per un ora si blocca da solo).

Ma vanno dette le cose come stanno, altrimenti chi legge potrebbe cadere in informazioni non esatte.
Le informazioni inesatte, o meglio un modo sbagliato di approcciarsi alla questione lo stai pubblicizzando tu.

Se l'obiettivo è conservare in un luogo (virtuale) sicuro le proprie password, ciò che un gestore di password deve fare come condizione minima è quello di non tenere in chiaro il database per ore, se lo fa:
1) è un programma fatto male;
2) è impostato male da chi lo utilizza (cosa più probabile).

Sempre al fine della sicurezza delle proprie password, sono del tutto irrilevanti
1) la frequenza con cui tu navighi su siti con autenticazione;
2) la complessità della master password/pass phrase con cui sblocchi il database.

Se a te pesa inserire di frequente la master password significa che:
1) ne hai scelta una troppo complessa/estesa;
2) che non reputi particolarmente importante la sicurezza dei tuoi accessi (condizione peggiore).

In ogni caso si tratta di un problema utente, a cui, come è già stato scritto, non c'è alcun software che possa porre rimedio.

Da qui deriva l'invito a non propagandare come corretti modus operandi che inficiano alla base la sicurezza del proprio database di password (tenendolo in chiaro per l'intera giornata).

Le informazioni inesatte, o meglio un modo sbagliato di approcciarsi alla questione lo stai pubblicizzando tu.

Se l'obiettivo è conservare in un luogo (virtuale) sicuro le proprie password, ciò che un gestore di password deve fare come condizione minima è quello di non tenere in chiaro il database per ore, se lo fa:
1) è un programma fatto male;
2) è impostato male da chi lo utilizza (cosa più probabile).

Sempre al fine della sicurezza delle proprie password, sono del tutto irrilevanti
1) la frequenza con cui tu navighi su siti con autenticazione;
2) la complessità della master password/pass phrase con cui sblocchi il database.

Se a te pesa inserire di frequente la master password significa che:
1) ne hai scelta una troppo complessa/estesa;
2) che non reputi particolarmente importante la sicurezza dei tuoi accessi (condizione peggiore).

In ogni caso si tratta di un problema utente, a cui, come è già stato scritto, non c'è alcun software che possa porre rimedio.

Da qui deriva l'invito a non propagandare come corretti modus operandi che inficiano alla base la sicurezza del proprio database di password (tenendolo in chiaro per l'intera giornata).

guarda che non è affatto cosi!!
la complessità della master password è una cosa fondamentale altrimenti chiunque potrebbe avere libero accesso alle tue password!!

di conseguenza se usi una mster password complessa puoi immaginare da solo che è improponibile metterla 20 volte al giorno come diceva un altro utente sopra.

di conseguenza sei costretto ad impostare il programma di gestione password che la master password la metti ad inizio giornata e basta (al massimo due volte).