Link alla notizia: https://www.hwupgrade.it/news/telefonia/usate-lastpass-d-ora-in-poi-potrete-avere-solo-un-device-gratis-ecco-la-novita_95610.html

Brutte notizie per gli utenti che solitamente utilizzano LastPass, l'aggregatore di password, che da tempo ormai permette di raccogliere tutte le proprie password in modo del tutto gratuito. Nelle prossime settimane tutto cambierà e gratuitamente l'utente potrà usare il sistema solo su di un device.

Click sul link per visualizzare la notizia.

In un mercato in cui esistono alternative, fare queste manovre in cui ti tolgo funzioni se non paghi non può far altro che far migrare la gente verso altre piattaforme; dubito che l'azienda assisterà ad un grosso aumento degli abbonati. Ma sicuramente avranno fatto i loro conti e forse conviene togliere quelli che non pagano e tenere solo quelli che già pagavano.

Le alternative gratuite aumentano e migliorano (Firefox Lockwise) e questi mettono tutto a pagamento.

Bye bye lastpass

Un servizio a pagamento che fa le stesse cose che Apple, Google e Microsoft fanno gratis ed integrate nel sistema operativo? :asd:

E comunque già ci sono altre alternative free.

Ottima mossa per aumentare il parco clienti. :doh:

Il titolo al solito è fuorviante: non verrà consentito un solo dispositivo ma una sola categoria tra PC e Mobile.
Limitante, certo, ma non come poter usare il proprio account su una sola macchina, che avrebbe reso il servizio quasi inutilizzabile.

Comunque pareggio 6 a 6 tra dispositivo e device nella notizia, capisco evitare le ripetizioni ma l'uso eccessivo di anglicismi quando non necessario risulta abbastanza sgradevole.

Un servizio a pagamento che fa le stesse cose che Apple, Google e Microsoft fanno gratis ed integrate nel sistema operativo? :asd:

E comunque già ci sono altre alternative free.

Ottima mossa per aumentare il parco clienti. :doh:

le stesse cose fino a un certo punto. quelli che nomini tu sei obbligato a usare i loro sw ovunque (es Chrome come browser o avere solo sw/hw apple), un password manager è "agnostico" da questo punto di vista

Punto 1 il servizio di un aggregatore non è paragonabile a quello di Google Apple e simili proprio perchè lo puoi usare su tipologie di dispositivi diversi e ha delle feature in più anche se capisco che per alcuni utenti queste feature possono anche non servire.
Punto 2 Last Pass non vuole ampliare il suo parco utenti (penso sia già il più diffuso) vuole solo monetizzare un pò perchè ci saranno molti che avendo già tutte le password lì preferiranno non sbattersi e pagare.
Ampliare il parco utenti free non ha un grosso vantaggio economico, ampliare il proprio parco utenti paganti invece sì

Aggiungo che la mossa probabilmente è dettata dal fatto che al momento le feature della versione premium non erano abbastanza stimolanti da far pagare le persone che si accontentavano della versione gratuita e quando la forchetta tra chi paga e chi non paga si sbilancia troppo, si corre ai ripari
Non avendo trovato una killer feature efficace da aggiungere ne tolgono una

le stesse cose fino a un certo punto. quelli che nomini tu sei obbligato a usare i loro sw ovunque (es Chrome come browser o avere solo sw/hw apple), un password manager è "agnostico" da questo punto di vista

eh già, non è cosa da poco. In un mondo in cui sei costretto a rimanere su Apple o su Microsoft o su Android pena la perdita di un sacco di lavoro fatto, non è cosa da poco potere usare un telefono liberamente o un dispositivo liberamente.

Io uso Firefox per memorizzare le password ma anch'io sono vincolato non alla piattaforma hardware (Microsoft/Apple/Mac os/ google Android/Huawei Android) ma al browser che secondo me è il male minore in questa situazione dove se cambi smartphone è una tragedia.

Su Firefox c'è Sync che permette di sincronizzare un sacco di "roba" del browser tra cui le password e ha ovviamente il riempimento automatico del campo login e password oltre che di un terzo campo (non automatico).

Da quel che so io firefox c'è dovunque, mi pare ci sia pure su Apple.

Bitwarden, non occorre guardare oltre

Bitwarden, non occorre guardare oltre

Bitwarden e KeePass, un password manager deve essere open per natura...

...Comunque pareggio 6 a 6 tra dispositivo e device nella notizia, capisco evitare le ripetizioni ma l'uso eccessivo di anglicismi quando non necessario risulta abbastanza sgradevole.


E' una gara persa purtroppo ed una scelta editoriale che non condivido se di scelta si tratta. Ormai leggere le notizie fa venire l'orticaria tra i vari device/shortage/motherboard ecc. Proporrei per uniformare di passare all'inglese cosi' almeno se non piace la notizia uno si fa una risata per altre ragioni.

A parte le alternative che avete già citato, quello che mi preoccupa è questa "tendenza" a monetizzare servizi che (erroneamente) erano ritenuti gratuiti.
Cosa legittima, non lo metto in dubbio.
Però ho come l'impressione che la ricreazione (l'era dell'internet tutto gratis) sia quasi finita.

A parte le alternative che avete già citato, quello che mi preoccupa è questa "tendenza" a monetizzare servizi che (erroneamente) erano ritenuti gratuiti.
Cosa legittima, non lo metto in dubbio.
Però ho come l'impressione che la ricreazione (l'era dell'internet tutto gratis) sia quasi finita.

Ma veramente potrei obiettarti il contrario. Nella storia sono molti di più gli esempi di servizi nati a pagamento e poi diventati gratuiti che viceversa.
All'epoca delle connessioni con modem a 56k si pagava un abbonamento orario AGGIUNTIVO rispetto al costo della telefonata urbana necessaria per collegarsi a internet, ben presto poi si diffusero i provider gratuiti e nessuno ha più pagato nulla oltre al canone telefonico.

Idem per la posta elettronica.

Un esempio più recente è rappresentato da Whatsapp.

LastPass è sempre stato un servizio proprietario e si era capito da tempo che sarebbero arrivati a questo. Peggio per loro.
Bitwarden è open source, dovesse mai diventare a pagamento nascerebbe un fork gratuito nel giro di una settimana dall'annuncio.
Firefox Lockwise (che però per adesso ha funzionalità molto limitate) idem, e così molte altre alternative gratuite.

eh già, non è cosa da poco. In un mondo in cui sei costretto a rimanere su Apple o su Microsoft o su Android pena la perdita di un sacco di lavoro fatto, non è cosa da poco potere usare un telefono liberamente o un dispositivo liberamente.

Io uso Firefox per memorizzare le password ma anch'io sono vincolato non alla piattaforma hardware (Microsoft/Apple/Mac os/ google Android/Huawei Android) ma al browser che secondo me è il male minore in questa situazione dove se cambi smartphone è una tragedia.

Su Firefox c'è Sync che permette di sincronizzare un sacco di "roba" del browser tra cui le password e ha ovviamente il riempimento automatico del campo login e password oltre che di un terzo campo (non automatico).

Da quel che so io firefox c'è dovunque, mi pare ci sia pure su Apple.

legarmi al browser a me non piace, su Mac (e prima su iOS) per dirti safari è il browser che preferisco, con gli altri mi trovo peggio, però è già una soluzione migliore di legarsi al SO

Ma veramente potrei obiettarti il contrario. Nella storia sono molti di più gli esempi di servizi nati a pagamento e poi diventati gratuiti che viceversa.
All'epoca delle connessioni con modem a 56k si pagava un abbonamento orario AGGIUNTIVO rispetto al costo della telefonata urbana necessaria per collegarsi a internet, ben presto poi si diffusero i provider gratuiti e nessuno ha più pagato nulla oltre al canone telefonico.

Idem per la posta elettronica.

Un esempio più recente è rappresentato da Whatsapp.

E questa e la parte di "ricreazione" a cui accennavo.
Io avevo in mente Google, ad esempio, che da giugno taglierà il salvataggio illimitato delle foto.
Se però è solo una mia impressione, amen.

Bene, elimino immediatamente l'account.
Hanno perso l'unica comodità che avevano.

Inizio ad usare VPN (su server personale) + Keepass nelle sue varie versioni (mobile, desktop, etc...), e ciao.

Tanto erano già una groviera di buchi nel corso degli anni, questo era quello che serviva per farmi cambiare definitivamente.

E questa e la parte di "ricreazione" a cui accennavo.
Io avevo in mente Google, ad esempio, che da giugno taglierà il salvataggio illimitato delle foto.
Se però è solo una mia impressione, amen.

Attento però, perché Google non è mai stato gratuito, solo si faceva pagare in altro modo. Ora forse "l'altro modo" non è più sufficiente, e quindi provvede diversamente.
Invece c'è più consapevolezza su queste cose, e i servizi veramente gratuiti stanno crescendo, ultimamente. Basta solo saper cercare, perché i "falsi gratis" hanno purtroppo più visibilità pubblicitaria...

Io non sento il bisogno di questi servizi, uso un foglietto di carta dove mi segno parzialmente le password (in questo modo io capisco la password ma un eventuale malintenzionato deve tirare a caso)

...
Tanto erano già una groviera di buchi nel corso degli anni...

tipo?
di solito 1password e Lastpass sono i più "gettonati" (e dal mese prossimo pure allineati come prezzo annuale visto questo annuncio di Lastpass).

Bitwarden, non occorre guardare oltre

Bitwarden:

- i dati sono storati nella 5-Eyes alliance.
The Five Eyes alliance (FVEY) consists of the 5 parties to the UKUSA Agreement:

US
UK
Canada
Australia
New Zealand

- Open vuol dire velocità di fix ma anche semplicità per gli hacker di trovare delle falle. Più di una volta nella storia (il più famoso ultimamente bug openssh) è stato scoperto che un protocollo o un algoritmo erano bacati da molto tempo, e solo mesi dopo la falla è stata reso pubblico e fixato.

Hosting privato e cifratura AES256, magari doppia, is the way.

tipo?
di solito 1password e Lastpass sono i più "gettonati" (e dal mese prossimo pure allineati come prezzo annuale visto questo annuncio di Lastpass).

Security issues
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.[30][31]

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[32][33]

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[34] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[35]

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[36]

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[37][38]

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site.[39][40] By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.[41] [42]

Security issues
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.[30][31]

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[32][33]

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[34] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[35]

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[36]

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[37][38]

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site.[39][40] By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.[41] [42]

interessante. come tutti i software ha bug, sia lato client (estensioni browser, app) che lato server.
immagino che nessuno di questi password manager (con un minimo di diffusione = interesse a bucarlo) sia completamente sicuro.
al solito si cerca il "meno peggio".
purtroppo con necessità "cross device" (mobile + desktop) e "cross os" (windows + iOS) la strada più comoda è un password manager.
va trovato quello "con meno problemi possibili".:mc:

Bitwarden:

- i dati sono storati nella 5-Eyes alliance.
The Five Eyes alliance (FVEY) consists of the 5 parties to the UKUSA Agreement:

US
UK
Canada
Australia
New Zealand

- Open vuol dire velocità di fix ma anche semplicità per gli hacker di trovare delle falle. Più di una volta nella storia (il più famoso ultimamente bug openssh) è stato scoperto che un protocollo o un algoritmo erano bacati da molto tempo, e solo mesi dopo la falla è stata reso pubblico e fixato.

Hosting privato e cifratura AES256, magari doppia, is the way.

Open vuol dire soprattutto sapere cosa viene fatto sotto il cofano, specie quando dai ad altri le tue password.
Che Bitwarden tenga i dati nella 5-Eye Alliance dovrebbe voler dire poco, visto che sono crittografati E2E sul dispositivo.
Certo, hosting privato sarebbe il top, ma non è alla portata di tutti.

Io preferisco ancora KeePass offline e sincronizzazione locale...:D

- Open vuol dire velocità di fix ma anche semplicità per gli hacker di trovare delle falle. Più di una volta nella storia (il più famoso ultimamente bug openssh) è stato scoperto che un protocollo o un algoritmo erano bacati da molto tempo, e solo mesi dopo la falla è stata reso pubblico e fixato.



Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro :sofico:

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro :sofico:

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

perché il fatto che sia open non esclude che sul server giri qualcosa di cui tu non sai nulla, vero?
significa solo che puoi controllare (se hai il tempo/le capacità) i sorgenti che pubblicano, ma non sai cosa sta effettivamente girando lato server, quindi...

quanto a closed/open, direi che è un discorso trito e ritrito. sappiamo che più un OS è diffuso più viene attaccato perché c'è più probabilità di fare danno / diffondere il malware/spyware/ransomware di turno.

Open vuol dire soprattutto sapere cosa viene fatto sotto il cofano, specie quando dai ad altri le tue password.
Che Bitwarden tenga i dati nella 5-Eye Alliance dovrebbe voler dire poco, visto che sono crittografati E2E sul dispositivo.
Certo, hosting privato sarebbe il top, ma non è alla portata di tutti.

Io preferisco ancora KeePass offline e sincronizzazione locale...:D

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:

https://github.com/bitwarden/desktop/issues/552 98
This is the first one. The Bitwarden desktop app grants full Remote Code Execution ability (RCE) to the Bitwarden developers via an unattended autoupdate mechanism that rewrites the local application code automatically on command from Bitwarden’s developers (usually performed in the case of a new version). This allows the Bitwarden developers, or anyone who can compromise the Bitwarden developers, or anyone who can coerce the Bitwarden developers (legally, like in the case of a demand from a national military, or illegally, like a kidnapper), to push a backdoored update version that would automatically compromise/upload 100% of the keys/passwords of every Bitwarden desktop user.

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:

bella questa! :read:

Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro :sofico:

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

Ah senti guarda, se vuoi portare la discussione alla becera Win vs Linux, con il sottoscritto che sono 20 anni che usa Linux dappertutto, non ho proprio voglia.

Io ho detto quello che ho detto, non le robe che stai dicendo tu.

Open è open per tutti, tipicamente è indice di buona implementazione, correttezza del codice e review continua.

Ma in ambito security è un arma a doppio taglio delle volte. Basta vedere l'esempio di OpenSSH.:

https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/

Non sto dicendo che i codici "closed" siano meglio, ma dire che "bitwarden e non serve guardare oltre" è una cavolata bella e buona, perchè ha e potenzialmente puo' avere delle magagne come gli altri.

La soluzione migliore rimane sempre l'hosting privato.

Purtroppo le alternative, non sono multipiattaforma.
Le ho provate un po tutte, ma LastPass è davvero l'unico che ti consente di fare il login-in (con autoriempimento dei campi) con praticamente qualunque browser e con qualunque sistema operativo, device compresi.
Dopodiché, io ho rinunciato ad usarlo perchè è stato oggetto di pesanti attacchi e quindi...preferisco usare il portachiavi Apple, perfettamente sincronizzato e, con quello che ti fanno pagare i device, immagino sia anche un perlo più sicuro. Perderò alcune funzioni quando voglio usare Linux o altri sistemi operativi e vabbè...riempio a mano.

Bitwarden devo dire che funziona decentemente anche su safari su macOS, non hai il menu contestuale, ma l'autocompletamento va abbastanza bene

perché il fatto che sia open non esclude che sul server giri qualcosa di cui tu non sai nulla, vero?
significa solo che puoi controllare (se hai il tempo/le capacità) i sorgenti che pubblicano, ma non sai cosa sta effettivamente girando lato server, quindi...

quanto a closed/open, direi che è un discorso trito e ritrito. sappiamo che più un OS è diffuso più viene attaccato perché c'è più probabilità di fare danno / diffondere il malware/spyware/ransomware di turno.
Il fatto che il client sia open ti dice come funziona il client, e visto che i dati arrivano sul server dopo essere stati crittografati dal client, puoi far girare quello che vuoi sul server, i dati sono comunque al sicuro.

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:
Premetto che non conosco Bitwarden, non lo uso, ne ho solo sentito parlare...
Quella magagna che hai indicato è, diciamo, un problema minore. E' un problema che hanno, in versione più grave, tutti i software closed.
Quindi non può rappresentare un lato negativo dei software open, visto che tutti i closed lo hanno...
Certo, si potrebbe fare meglio, ma gli altri sono peggio...

Purtroppo le alternative, non sono multipiattaforma.
Le ho provate un po tutte, ma LastPass è davvero l'unico che ti consente di fare il login-in (con autoriempimento dei campi) con praticamente qualunque browser e con qualunque sistema operativo, device compresi.

1Password lo promette, io però ho esperienza solo su Mac, iOS ed Android, Safari Chrome e Samsung browser.
Il difetto è che usa l’orrenda forma del canone mensile, lo preferivo quando aveva un costo una tantum e potevo comprarlo dove mi pareva... ma mi ci trovo bene e lo pago volentieri, tutto sommato.

Non sto dicendo che i codici "closed" siano meglio, ma dire che "bitwarden e non serve guardare oltre" è una cavolata bella e buona, perchè ha e potenzialmente puo' avere delle magagne come gli altri.

La soluzione migliore rimane sempre l'hosting privato.

Sono perfettamente d'accordo che la suscettibilità agli attacchi, più che dal "closed" vs "open", dipende da quanto è diffuso un prodotto. Perciò non condivido l'affermazione che open sia meno sicuro di closed a prescindere (e comunque anche a parità di diffusione, personalmente reputerei un prodotto open più sicuro di uno closed, ma qua andiamo off topic e siamo nell'ambito delle opinioni personali).

Bitwarden dà la possibilità di sincronizzare i dati su hosting privato invece che sui loro server, quindi è una soluzione valida sia per l'utente che vuole la pappa pronta, sia per lo smanettone diffidente che preferisce sapere dove vengono memorizzati i dati (sebbene siano comunque crittografati).

Keepass probabilmente è altrettanto valido ma offre soltanto la soluzione per smanettoni.

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.
Esatto, ma il tutto può essere vanificato senza l'uso di una keyboard integrata nel programma opensource di gestione keyx/key, soprattutto quando si è su mobile.
Non ho guardato bene per ipod ma mi sembra che non ci sia niente opensource con keyboard integrata.

Io ho un container con Bitwarden (parliamo di Docker) che gira su un NAS "artigianale" basato su OpenMediaVault, raggiunbigile dall'esterno attraverso un sotto-dominio gestito da Nginx Reverse Proxy (container anche lui) che si occupa di criptare la connessione.

io da tempo uso bitwarden_rs in docker, nessun problema di sorta. è possibile deployare anche in rete privata e obbligo di connessione vpn, mille possibilità diverse, pieno controllo

Il titolo dice una cosa falsa, io uso lastpass da molti anni su diversi notebook e desktop, e continuero' a farlo in modo gratuito. L'unica limitazione e' che non potro' usarlo gratuitamente anche su mobile, cosa che non ho mai fatto ne' mi interessa.

Anche Roboform è una valida alternativa, lo uso da 15 anni circa, e visto i prezzi di Lastpass e 1Password risulta quella meno costosa.

Esatto, ma il tutto può essere vanificato senza l'uso di una keyboard integrata nel programma opensource di gestione keyx/key, soprattutto quando si è su mobile.
Non ho guardato bene per ipod ma mi sembra che non ci sia niente opensource con keyboard integrata.

Prima di tutto quando usi un tool del genere vai di autocompletamento. La keyboard non la usi mai.

Secondo, se pensi che il produttore di smartphone possa usare una sorta di keylogger, magari integrato nella googleboard, beh, oltre ad un alto tasso di paranoia, non sarai mai e cmq protetto, neanche quando inserisci le password a manina. Molto più sicuro l'autofill di cui sopra.
Ed in ogni caso, Keepass SI, ha una tastiera integrata: K2PA.

Quindi Si, VPN con PSW+ Certificato, e Keepass su hosting locale cifrato in AES-256 ed eventuale tastiera K2PA + accesso tramite FTPS con TLS oppure SFTP che è il metodo più sicuro di accedere ai tuoi dati personali.

Ci sono 3 livelli di cifratura ed un eventuale keylogger è inutile.

auguri a crakkarlo.

Ciao ragazzi ho letto tutte e 4 le pagine dei vostri (ottimi) commenti. Vorrei chiedervi , in concreto, se ci sono alternative valide a LastPass (free) in quanto ho necessità di avere le mie password sempre con me su 2 dispositivi desktop e 3 dispositivi mobile.
Circa 2 anni fa utilizzavo il classico foglio Word ma da quando ho scoperto Lastpass, ora è tutto più immediato con riempimento automatico,plugin su Chrome etc.

Grazie a chi mi risponderà buona giornata

Bitwarden, non occorre guardare oltre

Confermo.. ho inziato ad usarlo da poco.. multipiattaforma, free e open source..

Interfaccia non proprio immediata.. ma generalmente soddisfatto..

oltre che ad aver tolto feature, ora spiano pure: https://www.cnet.com/news/lastpass-in-privacy-hot-seat-over-web-trackers/

fortuna che ho deciso di abbandonarli e passare ad altro (per ora sono nelle due settimane di prova di 1Password).