Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/alcuni-noti-password-manager-sono-vulnerabili-ad-attacchi-di-clickjacking-a-rischio-i-dati-degli-utenti_142411.html

Secondo una ricerca, diversi noti password manager sono vulnerabili ad attacchi di clickjacking che potrebbero esporre i dati degli utenti: la falla riguarda, in particolare, le estensioni per browser dei gestori di password

Click sul link per visualizzare la notizia.

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.
Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...:D

io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?

Quando tutti scrivevano la combinazione dell'armadietto, della cassaforte ecc, sui taccuini, tu scrivila sui primissimi computer, quando tutti cercano le password dentro i vostri computer.. scrivetele su un taccuino di carta...offline.
Cazzate, guardacaso uno dei primi e quello che uso da lustri non è tra i violati (e vorrei vedere)

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) e 15 seed di TOTP, hai voglia ad usare il taccuino di carta...:D

io ho 143 password senza considerare quelle del lavoro

Quando hai 50 password di 20-30 caratteri e simboli (a volte da cambiare regolarmente) ...

Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così? :doh:

io mai usati, ma tralasciando gli altri, mai sentiti, 1Password non aveva già subito qualcosa del genere tempo fa o mi confondo con altro?

E' LastPass che è stato bucato più volte e, nonostante ciò, pare che sia ancora il PW Manager più usato :rolleyes:

Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.

A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill

C'è inoltre da dire che, se i PW Manager visualizzano ulteriori messaggi di conferma, da un lato evitano questi problemi dall'altro stufano l'utente che quindi smette di usarli, con tutti i rischi che ne conseguono...

Cosa meglio che memorizzarle in un password manager che a sua volta c' ha PWD "1234" e via così? :doh:
:confused:
Che c'entra?
Se usi una password stupida, mica è colpa del password manager...

Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma

Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma

Rilancio: https://keepassxc.org/

A mio avviso comunque non è un problema così grave:
- Se si usa un DNS che blocca i domini di phishing (Quad9, ControlD, NextDNS, ecc) già un 80% della problematica non sussiste più
- Se un sito attendibile viene infettato, molto probabilmente i dati e le credenziali che hai su quel sito sono già in mano agli hacker senza bisogno di abusare dell'autofill


Inoltre, è più un problema dei browser e della gestione delle estensioni che dei password manager. Come sempre è l'utente che deve stare attento a non visitare siti malevoli.

Rilancio: https://keepassxc.org/
E aggiungo: https://www.keepassdx.com/

la ricerca è interessante e sicuramente quelle estensioni devono essere sistemate, ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser? quelli che alla fine il 90% delle persone utilizza?
il gestore delle password di Chrome, di Edge, di Firefox, di Safari, ecc?
sicuramente verificare se anche questi soffrono o meno di questi problemi è più "importante" (perché potenzialmente potrebbe impattare un numero significativamente maggiore di utenti) rispetto ad estensioni che si, hanno milioni di utenti, ma rispetto al "totale" di PC/smartphone sono una percentuale decisamente bassa.
no? :fagiano:

ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser?
Sono quelli che non andrebbero mai usati, se non per siti poco importanti

la ricerca è interessante e sicuramente quelle estensioni devono essere sistemate, ma... non sarebbe più "significativo" verificare il comportamento dei gestori di password "integrati" nel browser? quelli che alla fine il 90% delle persone utilizza?
il gestore delle password di Chrome, di Edge, di Firefox, di Safari, ecc?
sicuramente verificare se anche questi soffrono o meno di questi problemi è più "importante" (perché potenzialmente potrebbe impattare un numero significativamente maggiore di utenti) rispetto ad estensioni che si, hanno milioni di utenti, ma rispetto al "totale" di PC/smartphone sono una percentuale decisamente bassa.
no? :fagiano:

Come scritto nella ricerca (https://marektoth.com/blog/dom-based-extension-clickjacking/), questi tipi di attacchi sono validi solo per le estensioni, non per i gestori di password integrati.

A new clickjacking technique where a malicious script manipulates UI elements that browser extensions inject into the DOM by making them invisible using javascript.

Per i browser basati su chromium è consigliato rimuovere i permessi dell'estensione di accesso lettura/scrittura alle pagine, e impostare solo in seguito al click dell'utente.

Come scritto nella ricerca (https://marektoth.com/blog/dom-based-extension-clickjacking/), questi tipi di attacchi sono validi solo per le estensioni, non per i gestori di password integrati.

A new clickjacking technique where a malicious script manipulates UI elements that browser extensions inject into the DOM by making them invisible using javascript.

Per i browser basati su chromium è consigliato rimuovere i permessi dell'estensione di accesso lettura/scrittura alle pagine, e impostare solo in seguito al click dell'utente.

sorry, evidentemente mi sono perso la parte dove dice espressamente che è un problema solo delle estensioni e non dei gestori integrati.
quindi tanto "meglio", nel senso ovviamente che la maggior parte delle persone non è affetta dal problema.

sorry, evidentemente mi sono perso la parte dove dice espressamente che è un problema solo delle estensioni e non dei gestori integrati.
quindi tanto "meglio", nel senso ovviamente che la maggior parte delle persone non è affetta dal problema.
Purtroppo, però, viene così spinta verso i gestori integrati, che dovrebbero proprio essere evitati...

Purtroppo, però, viene così spinta verso i gestori integrati, che dovrebbero proprio essere evitati...

1) nessuno spinge niente, visto che la maggior parte delle persone manco si pone il problema e va col "default" (che poi se il default non soffre del problema evidenziato da questo studio direi che è un vantaggio piuttosto che uno svantaggio)
2) personalmente non concordo con il "dovrebbero essere evitati". come qualsiasi strumento, se usato male, è potenzialmente inefficace. ma se usato bene (account principale con password forte, autenticazione MFA, ecc) anche i gestori integrati fanno il loro mestiere e spesso sono molto più "comodi" di estensioni varie.
io per lavoro ho un portatile Dell con Windows 11 e uso Edge per le password, e tanto mi basta.
per uso personale, avendo tutto Apple, uso l'app integrata Password. prima usavo 1Password (che è uno dei più raccomandati ma che, stando alla ricerca, soffre ancora di questo bug, per esempio) ma da qualche mese sono passato a Apple Password e mi ci trovo bene. fa tutto quello che deve fare un gestore (gestisce le password, monitora quelle compromesse/riutilizzate, è integrato con l'OS, è l'unico che gestisce correttamente l'integrazione con "Nascondi la mia mail" (funzione utilissima, a patto ovviamente di usare l'app Mail e Safari), ecc ecc).
mail principale dell'account Apple mai condivisa con nessuno e non riconducibile alla mia persona (niente nome.cognome@icloud.com o simili), creato alias "ufficiale" con cui inviare le mail (che ovviamente non può essere usato per accedere all'account). abilitata autenticazione a due fattori. abilitata protezione avanzata di iCloud (tutto criptato E2E anche sul server). disabilitato l'accesso via web. su iPhone/iPad passphrase invece del PIN. impostato tramite "tempo di utilizzo" il blocco alle modifiche all'account/a Dov'è/a Face ID/Touch ID. modificate tutte le mail con cui mi sono registrato ai vari servizi nel corso degli anni (incluso per esempio questo forum) dalla classica mail personale nome.cognome@gmail.com alle mail "random" di "Nascondi la mia mail" (quindi se bucano il forum hanno una mail che possono usare solo per lo SPAM ed essendo univoca ed utilizzata esclusivamente per questo forum saprei subito "l'origine" del problema).

A detta dei ricercatori, il team di 1Password è stato il più proattivo a comunicare con loro per trovare una soluzione. Insieme sono giunti alla conclusione che, per come sono realizzati i browser, non c'è una soluzione sicura al 100% al momento, ma:

- Si può intervenire mitigando il problema: non viene risolto al 100% e può causare errori su siti attendibili, ma il tutto è trasparente per l'utente finale (questa strada è stata intrapresa da Bitwarden e altri)

- Si può aggiungere una alert di conferma prima del riempimento dei campi: è sicuro al 100% ma potrebbe infastidire l'utente finale, se attiva questa misura di sicurezza (questa strada è stata intrapresa da 1Password)

Qui è tutto ben spiegato: https://support.1password.com/kb/202508/

L'articolo comunque dice che disattivare l'autofill NON è consigliato perché è molto più facile cadere nel phishing (molto più comune del clickjacking). Infatti sia Keepass che 1Password hanno una funzione di autotype dal client desktop, totalmente slegato dal browser, ma spetta all'utente verificare che il sito NON sia qualcosa tipo https://gooogle.com

1) nessuno spinge niente, visto che la maggior parte delle persone manco si pone il problema e va col "default" (che poi se il default non soffre del problema evidenziato da questo studio direi che è un vantaggio piuttosto che uno svantaggio)
Dopo una notizia come questa, è ovvio che alcuni di quelli che utilizzavano un password manager esterno diranno "beh, allora è più sicuro usare quello integrato nel browser" e passeranno a quello.
Altri diranno "beh, allora è più sicuro usare carta e penna"...
E sono entrambe soluzioni che non sono consigliabili...

2) personalmente non concordo con il "dovrebbero essere evitati". come qualsiasi strumento, se usato male, è potenzialmente inefficace. ma se usato bene (account principale con password forte, autenticazione MFA, ecc) anche i gestori integrati fanno il loro mestiere e spesso sono molto più "comodi" di estensioni varie.
io per lavoro ho un portatile Dell con Windows 11 e uso Edge per le password, e tanto mi basta.
per uso personale, avendo tutto Apple, uso l'app integrata Password. prima usavo 1Password (che è uno dei più raccomandati ma che, stando alla ricerca, soffre ancora di questo bug, per esempio) ma da qualche mese sono passato a Apple Password e mi ci trovo bene. fa tutto quello che deve fare un gestore (gestisce le password, monitora quelle compromesse/riutilizzate, è integrato con l'OS, è l'unico che gestisce correttamente l'integrazione con "Nascondi la mia mail" (funzione utilissima, a patto ovviamente di usare l'app Mail e Safari), ecc ecc).
mail principale dell'account Apple mai condivisa con nessuno e non riconducibile alla mia persona (niente nome.cognome@icloud.com o simili), creato alias "ufficiale" con cui inviare le mail (che ovviamente non può essere usato per accedere all'account). abilitata autenticazione a due fattori. abilitata protezione avanzata di iCloud (tutto criptato E2E anche sul server). disabilitato l'accesso via web. su iPhone/iPad passphrase invece del PIN. impostato tramite "tempo di utilizzo" il blocco alle modifiche all'account/a Dov'è/a Face ID/Touch ID. modificate tutte le mail con cui mi sono registrato ai vari servizi nel corso degli anni (incluso per esempio questo forum) dalla classica mail personale nome.cognome@gmail.com alle mail "random" di "Nascondi la mia mail" (quindi se bucano il forum hanno una mail che possono usare solo per lo SPAM ed essendo univoca ed utilizzata esclusivamente per questo forum saprei subito "l'origine" del problema).
E' universalmente riconosciuto da tutti che il gestore password del browser non è così sicuro e affidabile. Certo, meglio di niente, ma comunque un gestore esterno è molto più consigliabile.
Quella dell'articolo è una falla scoperta che comunque è relativa solo ad alcuni gestori (meglio, alle estensioni per browser di alcuni gestori).
Falla che è stata prontamente corretta in quelli più seri.
I browser, invece, continuano, ancora ora, a tenere le chiavi di crittazione vicine alle password crittografate, e sono comunque più soggetti ad attacchi di malware.

Keepass password manager

https://keepass.info/

gratis, opensource, multipiattaforma

Rilancio: https://keepassxc.org/

E aggiungo: https://www.keepassdx.com/

Differenze ???

Grazie

Bitwarden e 1Password sono di un livello nettamente superiore. Entrambi oggi hanno rilasciato una versione aggiornata dell'estensione per ovviare a questo problema.


Per quanto riguarda Bitwarden mi risulta che l'ultimo aggiornamento sia del 26 luglio:
https://chromewebstore.google.com/detail/bitwarden-password-manage/nngceckbapebfimnlniiiahkandclblb?browser=chrome

Differenze ???

Grazie
Keepass è la versione originale, solo per Windows, un po' più vecchio stile.
KeepassXC è più moderno, multipiattaforma, con aggiornamenti più frequenti.
KeepassDX è la versione per Android.

Tutti e tre comunque utilizzano lo stesso database.

Per quanto riguarda Bitwarden mi risulta che l'ultimo aggiornamento sia del 26 luglio:
https://chromewebstore.google.com/detail/bitwarden-password-manage/nngceckbapebfimnlniiiahkandclblb?browser=chrome

Ufficialmente è stata rilasciata, magari ci vanno alcuni giorni perché superi il processo di approvazione dello Store:

https://github.com/bitwarden/clients/releases/tag/browser-v2025.8.0

Keepass è la versione originale, solo per Windows, un po' più vecchio stile.
KeepassXC è più moderno, multipiattaforma, con aggiornamenti più frequenti.
KeepassDX è la versione per Android.

Tutti e tre comunque utilizzano lo stesso database.

Ok. Grazie.
Non conoscevo il secondo e il terzo.
Io su KeePass "originale" e su android uso Keepass2Android ;)

Mi consiglieresti di provare gli altri 2 al posto di quelli che uso io ?

Ok. Grazie.
Non conoscevo il secondo e il terzo.
Io su KeePass "originale" e su android uso Keepass2Android ;)

Mi consiglieresti di provare gli altri 2 al posto di quelli che uso io ?
Attualmente KeepassXC e KeepassDX sono le versioni più consigliate.
Ma uno già abituato agli altri potrebbe trovarsi meglio con quelli...
Puoi provare, alla fine credo sia una questione di gusti personali, visto che più o meno fanno le stesse cose...

errore