LastPass, corretta vulnerabilità critica grazie alle segnalazioni

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...oni_63843.html

Le segnalazioni di bug e possibili exploit sono indispensabili per chi gestisce la sicurezza di un software, e LastPass vuole dimostrare la propria gratitudine a chi effettua le segnalazioni con un post ufficiale

Click sul link per visualizzare la notizia.

[matteop3]

KeePassX mi sembra la soluzione più convincente.

[treno2]

KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.

[Persilù]

Quote:

Originariamente inviato da treno2

KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.

Quoto!

[YetAnotherNewBie]

KeePassX è il capostipite di una famiglia di *programmi* disponibile su tutte le piattaforme:

KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

In comune, riconoscono lo stesso formato del database delle chiavi.
Salvando questo file sul vostro servizio cloud preferito, avrete le vostre chiavi disponibili sui dispositivi sincronizzati.

Io uso DropBox e ho le mie chiavi disponibili sul notebook Windows, iMac, iPad, smartphone Android e mini pc Linux.

[Emin001]

Quote:

Originariamente inviato da treno2

KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate PAGANDO $12 ANNUI)
- non è detto che sia più sicuro (magari lo è, magari no).

Il testo in grassetto è da arrampicata sugli specchi di proporzioni bibliche. Poteva anche passare ma come pro/contro in una comparativa è aria fritta perché può essere applicato anche alla controparte. In altre parole: posa la calzamaglia da spidertroll.


Il testo tra parentesi l'ho fixato, questa funzionalità "Sincronizzazione illimitata di tutti i dispositivi mobili e desktop" bisogna pagarla(poco), di gratis c'è solamente questa "Backup e sincronizzazione automatica del primo dispositivo". Quindi se non ho capito male, solo il primo dispositivo può leggere e scrivere il database in cloud, i restanti dispositivi possono solo leggere. A pagamento invece tutti i dispositivi possono leggere e scrivere il database.

Comunque sono dei geni del marketing, scrivere in primo piano "L'inizio è gratuito, rapido e semplice." Come dire: preparati che c'è da pagare....
Guardate che l'utente non fa i salti di gioia e non dirà "Evvai, finalmente metto mano al portafoglio!". Se già mettete le mani avanti aspettate un momento che io metto i piedi dietro(filo via a velocità smodata).

Quote:

Originariamente inviato da treno2

- dal punto di vista delle funzionalità non è paragonabile a Lastpass
ha proporzionalmente minori funzionalità.

http://keepass.info/plugins.html bastano? Attenzione: i plugin potrebbero essere insicuri(magari lo sono, magari no).

Diciamo che lastpass ha preso il necessario e lo ha confezionato meglio.

[Persilù]

Quote:

Originariamente inviato da YetAnotherNewBie

KeePassX è il capostipite di una famiglia di *programmi* disponibile su tutte le piattaforme:

KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

In comune, riconoscono lo stesso formato del database delle chiavi.
Salvando questo file sul vostro servizio cloud preferito, avrete le vostre chiavi disponibili sui dispositivi sincronizzati.

Io uso DropBox e ho le mie chiavi disponibili sul notebook Windows, iMac, iPad, smartphone Android e mini pc Linux.

Ora è un po che non ci guardo.
Ma fino a poco tempo fa, la sincronizzazione non era cosi user friendly come la dipingi.
Per questo motivo sono passato a LastPass.
Però mi hai messo curiosità, quindi nei prossimi giorni riprendo in mano keepass e vedo se hanno fatto passi avanti.

[Emin001]

Resta con lastpass perché non è user friendly come speri. Il database devi renderlo sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.

[matteop3]

Quote:

Originariamente inviato da treno2

KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.

KeePassX funziona completamente offline (l'utente può decidere se e in quale spazio cloud privato tenere sincronizzato il db), ha una solida crittografia del db delle password ed è completamente open source. Da un punto di vista di sicurezza mi sembra il più convincente.
Per esempio a me non piace avere il db in cloud, così lo tengo sul mio smartphone (con backup di sicurezza su una chiavetta USB), mi è sufficiente collegarlo ai miei pc per accedere al db.
Io gli ho affidato la generazione di quasi tutte le mie password, in modo che siano molto resistenti e, soprattutto, tutte diverse, quindi ho validissimi motivi per preoccuparmi della sicurezza del mio db.

Quote:

Originariamente inviato da YetAnotherNewBie

KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

KeePassX è disponibile anche per Windows: https://www.keepassx.org/downloads

[Persilù]

Quote:

Originariamente inviato da Emin001

Resta con lastpass perché non è user friendly come speri. Il database devi renderlo sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.

Come immaginavo appunto.
E' rimasto tutto come prima.

[YetAnotherNewBie]

Quote:

Originariamente inviato da Persilù

(...) fino a poco tempo fa, la sincronizzazione non era cosi user friendly come la dipingi.

Se hai già delle cartelle sincronizzate tra i tuoi dispositivi con un servizio cloud, non devi installare niente più del programma stesso.
Metti il database delle chiavi in una di queste cartelle, lanci il programma in uno dei tuoi dispositivi e, quando ti chiede il database, ne inserisci il path.
Il programma tiene memoria del path tra una sessione e l'altra, quindi non devi re-inserirlo ogni volta, a meno che non usi più di un database.

Effettivamente, nel caso di iOS, la cosa è un po' più ostica: io devo copiare il database nella sandox di MiniKeePass in locale mediante iTunes.

Se invece il problema è di non lasciare il database sul cloud, ci sono altri metodi come quello esposto da Emin001.
Però anche LastPass salva nel cloud...

[Tasslehoff]

Quote:

Originariamente inviato da Emin001

Resta con lastpass perché non è user friendly come speri. Il database devi renderlo sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.

Ti sbagli, di default puoi usare non solo share di rete ed ftp (ovviamente sconsigliato se non in rete locale) ma anche Webdav.
Quest'ultimo ad esempio può essere raggiunto anche da wan con autenticazione tramite protocollo https con tutti i crismi.

Signori miei, una volta per fare tutto questo serviva una connettività che non esisteva per l'utente domestico (mi riferisco all'era pre-broadband), servivano ip statici (mi riferisco a prima che nascessero i servizi di DNS dinamico) e servivano server always-on (mi riferisco prima che ci fossero single board pc economicissimi e ad assorbimento ridicolo, es tutte le board ARM based in stile Raspberry PI).
Ora non ci sono più scuse, basta una banale installazione di Apache o Nginx, Let's Encrypt e una comunissima ADSL.

[Emin001]

Mi riferivo a dropbox&co.(quelli che non supportano webdav). Se non erro, bisogna passare dal client o dal plugin per salvare il database.

[Persilù]

Si ok.
Tutto bello e tutto quello che volete.
Ma lastpass, una volta che hai fatto l'account e scaricato l'app (oppure l'estensione su ogni browser che usi) funziona senza configurare nulla.
Ti logghi su PC linux, Tablet android, IOS, windows etc etc e hai tutte le tue password sincronizzate.

[Syk]

da quando hanno inserito la battaglia navale come sui conti correnti che scade dopo 30 giorni e i dispositivi whitelistati non mi sono più interessato a keepass visto che se non sto attento rischio di non entrare più dentro al mio lastpass

[antonio79ita]

Toc Toc! Sembra che oggi qualcuno abbia bussato al mio acount di LastPass.

Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:

Quote:

E' stato fatto un tentativo di accesso al tuo conto da un dispositivo mobile che non è abilitato.

Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!

[bogdaneg]

Quote:

Originariamente inviato da antonio79ita

Toc Toc! Sembra che oggi qualcuno abbia bussato al mio acount di LastPass.

Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:
Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!

Per scrupolo io cambierei la password.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.

[antonio79ita]

Quote:

Originariamente inviato da bogdaneg

Per scrupolo io cambierei la password.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.

Ma mi chiedo però chi possa aver pensato di violare il mio account io che sono un pinco pallo qualunque.
A voi è mai successo?

[bogdaneg]

Quote:

Originariamente inviato da antonio79ita

Ma mi chiedo però chi possa aver pensato di violare il mio account io che sono un pinco pallo qualunque.
A voi è mai successo?

A me mai.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.

Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.

[antonio79ita]

Quote:

Originariamente inviato da bogdaneg

A me mai.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.

Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.

Uso solo il mio PC e il mio telefono. Forse da quando è stato hackerato Last Pass qualche tempo fa ci sarà ancora qualcuno che prova ad accedere a qualche account a caso. Almeno questa è la mia ipotesi.

Comunque oltre ad avere il 2 fattori ho pure una password abbastanza forte che ho cambiato adesso, spero possa bastare.