Bucato di nuovo LastPass: compromessi alcuni dati degli utenti, ma password al sicuro

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ro_112246.html

La nuova intrusione nei sistemi LastPass è collegata a quella dello scorso mese di agosto, ma comunque le password degli utenti sono sempre rimaste al sicuro

Click sul link per visualizzare la notizia.

[alexfri]

Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".

[VanCleef]

Io continuo a credere che la soluzione migliore sia ricordarsi solo un metodo di generazione password, ad esempio

Google -> 6x3+GOOG-ogle
Facebook ->8x4+FACE-book
Tiktok -> 6x2+TIKT-ktok
Withu -> 5x2+WITH-ithu
Wikipedia -> 9x5+WIKI-edia

Con questo sistema il problema rimangono
- i servizi con la scadenza della password e cronologia in cui serve ricordarsi il numero raggiunto...
- i servizi che non accettano tutti i caratteri del metodo scelto (ad esempio il "+")
Problemi aggirabili con appunti (tipo anzichè Google, usato gmail, usato _ anzichè +) cartacei o elettronici.

[marcram]

Quote:

Originariamente inviato da alexfri

Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".

Eh, e "allora andiamo a cavallo"...

A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...

[Goofy Goober]

Quote:

Originariamente inviato da marcram

Eh, e "allora andiamo a cavallo"...

A parte gli scherzi, anche il foglio di carta ha le sue vulnerabilità: è lì nel cassetto, chiunque può leggerlo, se sei fuori casa non puoi accedere agli account...
Ci sono strumenti moderni per conservare le password, il vecchio foglietto di carta è... vecchio.
Se poi si vuole usare servizi dubbi e proprietari, magari anche già bucati, è logico che è meglio il foglietto di carta...

beh parlava di metodo sicuro, non comodo.

a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).

onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.

[Vash88]

Quote:

Originariamente inviato da alexfri

Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".

Su lastpass ho 200 password uniche, che vengono riempite automaticamente a prescindere dal dispositivo utilizzato. Il problema è se bucano un sito e poi provano a utilizzare le stesse credenziali su un altro sito. Se non si ha una password unica o 2FA ovunque sei esposto.

[Phoenix Fire]

Quote:

Originariamente inviato da Svelgen

Io resto dell'idea che il portachiavi di Apple, resta il luogo più sicuro dove conservare le password. Serve solo ricordarsi una buona password di iCloud e basta.
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.

hai scritto tante di quelle fanboiate che la metà bastava. Come se poi "the fappening" non avesse già provato il contrario di quanto dici (e non è una critica verso Apple, semplicemente nessuno è invincibile)

PS icloud non si paga a prescindere, ti danno 5gb gratis ad account che le password bastano e avanzano, il problema è che non si sincronizza con nulla di non Apple, cosa fai su pc windows o telefono android?

[ninja750]

Quote:

Originariamente inviato da VanCleef

Io continuo a credere che la soluzione migliore sia ricordarsi solo un metodo di generazione password, ad esempio

così scoperta una te le bucano tutte

[marcram]

Quote:

Originariamente inviato da Svelgen

Io resto dell'idea che il portachiavi di Apple, resta il luogo più sicuro dove conservare le password. Serve solo ricordarsi una buona password di iCloud e basta.
E lo dimostra il fatto che, se porti qualsiasi dispositivo Apple in assistenza, ti viene chiesto in modo inequivocabile di cancellare tutto, compreso il blocco iCloud.
Neppure loro, su un telefono bloccato, riescono a metterci le mani.
Ovvio che poi, dietro ci devono essere dei server remoti che ti garantiscono la sicurezza. LastPass è gratuito. iCloud invece lo paghi. Quella è la differenza.

Eh, insomma...
https://www.dday.it/redazione/44340/...i-altri-utenti

Quote:

Originariamente inviato da Goofy Goober

beh parlava di metodo sicuro, non comodo.

a meno che non mettiamo in conto che l'effrazione domestica ai fini di rubarti le password nel cassetto sia più probabile di un furto di credenziali su pc (o cloud, che tanto sempre su pc sono).

onestamente credo che fidarsi dei sistemi online di archiviazione sia come dire che sai già sicuro di morire, il problema è solo quando. stesso discorso per la possibilità che il servizio cloud sia bucato o meno.

Effrazione, conviventi, foglio che perdi perché te lo porti dietro...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...

[Goofy Goober]

Quote:

Originariamente inviato da marcram

Effrazione, conviventi, foglio che perdi perché te lo porti dietro...
Se hai un database crittografato con una buona password, non hai nessuno di questi problemi.
Non devi fidarti dei sistemi di archiviazione online, basta che ti fidi del client offline...

Vivi da solo e lasci sempre nel cassetto... Ripeto era un esempio di sicurezza non comodità.
L'effrazione non ho idea se sia più o meno probabile del bucare un account o un computer SE lo scopo è rubare le credenziali, e non entrarti in casa per altri motivi (rubarti dei beni fisici). Onestamente avrei detto che è l'ultimo canale che il malintezionato userebbe per rubarti i dati (un po' come chi vuole clonarti le carte e avere PIN etc agisce dove le usi, e non viene a prendertele in casa).

Era solo per chiacchiera il confronto comunque, io sono il primo a non aver scritto le password da nessuna parte.

I client affidabili offline che consiglieresti quali sono?

[VanCleef]

Quote:

Originariamente inviato da ninja750

così scoperta una te le bucano tutte

Dipende da come crei l'algoritmo.
Con una password disponibile non è così automatico ricostruirlo.

[Unrue]

Quote:

Originariamente inviato da alexfri

Le password vanno scritte su un taccuino di carta e messo in un cassetto, attualmente é il modo piu sicuro, come lo era negli anni 80 scriverle su un floppy ovvero dove nessuno le cercherebbe nei rispettivi momenti storici. La complessità informatica attuale é ben superiore ai fenomeni che si credono invulnerabili a chiunque, nessuno da solo (in informatica) puo difendersi da gruppi letteralmente di Geni che lavorano in tutto il mondo per rubare credenziali ecc, nessuno. E non tirate fuori la storia: "allora andiamo a cavallo".

No, il modo migliore sarebbe ricordarsele a memoria senza scriverle da nessuna parte. Chiaramente non è fattibile, a meno di non usare password semplici.

[UtenteHD]

Mi ricordo ancora a suo tempo, quando un vero Tecnico mi insegno' le basi e prima di tutto chiese di ricordare sempre che:
1) un PC (o cell, o tablet, ecc..) sicuro e' un PC spento
2) le cose non si cambiano/aggiornano a meno che non sia necessario, se qualcosa va e' inutile cambiarla ed il cambio puo' scaturire problemi
3)tutto quello che e' connesso ad internet e' ovviamente a rischio in quanto sempre online

Detto questo, pensare di salvare al sicuro un qualcosa di personale che e' ricercato online, dal mio punto di vista e' assurdo, non che abbia password, per lavoro ne avro' un 50 tutte diverse, sempre con me sempre offline in vari modi, ad essempio in cryp con app apposita su cell, vero che il cell e' online, ma il doc e' cifrato e l'app crypt/decrypt funziona solo offline ed e' anche bloccata da firewall su cell, mentre per i PC che uso tutto salvato offline senza usare alcun password manager ecc..

Mi spiace ovvio, ma se salvi le tue "cose" online.. puo' accadere che te le rubino..

[marcram]

Quote:

Originariamente inviato da Goofy Goober

Vivi da solo e lasci sempre nel cassetto... Ripeto era un esempio di sicurezza non comodità.
L'effrazione non ho idea se sia più o meno probabile del bucare un account o un computer SE lo scopo è rubare le credenziali, e non entrarti in casa per altri motivi (rubarti dei beni fisici). Onestamente avrei detto che è l'ultimo canale che il malintezionato userebbe per rubarti i dati (un po' come chi vuole clonarti le carte e avere PIN etc agisce dove le usi, e non viene a prendertele in casa).

Se subisci un hackeraggio, è ancora più facile che intercettino le password mentre le scrivi tramite MITM o keylogger, oppure che tramite webcam ti leggano il foglio di carta, rispetto a riuscire a decrittare un database con una buona password...

Poi devi considerare che hackerare un servizio online tipo LastPass vuol dire impossessarsi di una marea di password, mentre bucare la rete di un privato, per poi bucare il suo pc, per poi cercare di bucare un database crittografato per ottenere le password di una singola persona... è un lavoraccio improduttivo...

Quote:

Era solo per chiacchiera il confronto comunque, io sono il primo a non aver scritto le password da nessuna parte.

I client affidabili offline che consiglieresti quali sono?

Purtroppo, quando ne hai tante, è quasi impossibile non scriverle. Soprattutto se sono lunghe, molto diverse tra loro, e magari devi cambiarle regolarmente...

Personalmente, offline userei solo Keepass.
Con database sincronizzato manualmente, o tramite Syncthing.

Di online, invece, molti consigliano Bitwarden.

[ninja750]

Quote:

Originariamente inviato da UtenteHD

Mi ricordo ancora a suo tempo, quando un vero Tecnico mi insegno' le basi e prima di tutto chiese di ricordare sempre che:
1) un PC (o cell, o tablet, ecc..) sicuro e' un PC spento
2) le cose non si cambiano/aggiornano a meno che non sia necessario, se qualcosa va e' inutile cambiarla ed il cambio puo' scaturire problemi
3)tutto quello che e' connesso ad internet e' ovviamente a rischio in quanto sempre online

1) se è spento ci potrebbe essere il wake on lan o simili
2) spesso aggiornamenti risolvono problemi pregressi o aggiungono funzionalità
3) vero (vedi punto 1)

[Goofy Goober]

Quote:

Originariamente inviato da marcram

Personalmente, offline userei solo Keepass.
Con database sincronizzato manualmente, o tramite Syncthing.

Di online, invece, molti consigliano Bitwarden.

keepass lo avevo provato anni fa, dovrei riprenderlo... avevo mollato perchè mi dimenticato di aggiornare le password dal pc dove lo tenevo.

Quote:

Originariamente inviato da ninja750

1) se è spento ci potrebbe essere il wake on lan o simili

ma il wake on lan esiste attivo di default su alcuni computer/schede madri?
l'ho sempre trovato disattivo di base.
forse sui nas mi è capitato di trovarlo attivo alla prima accensione, ma non sono sicuro.

[Gundam.75]

Io ho il db di keepass su una chiave usb con bitlocker attivo (che non sblocca automaticamente) ed oltre alla password per accedere devo far leggere al programma un file che ho copiato in una cartella sul PC

[alexfri]

Quando intendevo di scriverle su taccuino intendevo di introdurre un sistema lungo da scarsinare, mi spiego meglio: da sempre la chiave nella sicurezza é la velocita per non essere scoperti da un lato o per impiegare dei giorni a rubare le psw della massaia di voghera senza nessun valore. Con sistemi online o con hardware software poco sicuro nelle mani del 95% delle persone basta andare a strascico, si fanno campagne di pishing, di troian, di qualsiasi altra cosa automatizzata che scandagli, installi, controlli i device di chiunque. Se le tue password sono in quei sistemi avrai possibilita di avarle violate proprio perche un impegno breve (ma con altissimo intelletto) da grandi numeri. Il famoso “taccuino” fa si che chiunque sia interessato alle tue psw debba introdursi fisicamente in casa tua…ma vogliamo paragonarlo???? A meno che tu non sia un pezzo grosso di qualche azienda le possibilita che qulcuno entri in casa tua per rubarti le password sono pressoche nulle. A dire il vero avevo pensato anche a un qualche tipo di software su sistemi ormai desueti come l’Amiga. Anche andasse in retr chi diavolo vuoi che sappia dell’esistenza di un computer di 30 anni fa? Ripeto la chiave migliore é il tempo.

[marcram]

Quote:

Originariamente inviato da alexfri

Quando intendevo di scriverle su taccuino intendevo di introdurre un sistema lungo da scarsinare, mi spiego meglio: da sempre la chiave nella sicurezza é la velocita per non essere scoperti da un lato o per impiegare dei giorni a rubare le psw della massaia di voghera senza nessun valore. Con sistemi online o con hardware software poco sicuro nelle mani del 95% delle persone basta andare a strascico, si fanno campagne di pishing, di troian, di qualsiasi altra cosa automatizzata che scandagli, installi, controlli i device di chiunque. Se le tue password sono in quei sistemi avrai possibilita di avarle violate proprio perche un impegno breve (ma con altissimo intelletto) da grandi numeri.

Se "in quei sistemi" intendi quei servizi di aggregazione password online proprietari, sono d'accordo.
Ma tu hai detto che il metodo più sicuro è il taccuino di carta, e su questo dissento.

Quote:

Il famoso “taccuino” fa si che chiunque sia interessato alle tue psw debba introdursi fisicamente in casa tua…ma vogliamo paragonarlo???? A meno che tu non sia un pezzo grosso di qualche azienda le possibilita che qulcuno entri in casa tua per rubarti le password sono pressoche nulle. A dire il vero avevo pensato anche a un qualche tipo di software su sistemi ormai desueti come l’Amiga. Anche andasse in retr chi diavolo vuoi che sappia dell’esistenza di un computer di 30 anni fa? Ripeto la chiave migliore é il tempo.

Ovviamente la chiave migliore è il tempo.
E ci vuole più tempo a scassinare la casa di uno per entrare e portargli via il foglio delle password, o impostare un pc che vada per qualche centinaio d'anni di brute force per indovinare la password di un file criptato?

[Phoenix Fire]

Quote:

Originariamente inviato da Svelgen

Perché devi attaccarmi con sta cazzata del fappening quando anche il più scemo sa benissimo che chi è stato bucato usava password semplici da indovinare oppure, completamente ubriaco/a aveva lasciato il telefono incustodito e gli avevano ciulato l'account?
Ti possono fottere i soldi anche con l'home banking se è per questo.
Come lo fanno poi, è irrilevante nel momento in cui rispondi alla solita mail di pishing oppure dai in mano il telefono a qualche ciarlatano che si finge un funzionario e che ti va a cambiare gli accessi e i numeri di telefono certificati.
iCloud lo paghi quando compri un dispositivo Apple. I server dove custodiscono la tua roba, anche se 5GB, non sono aggratisse...
Ad ogni modo...quante notizie hai già letto di LastPass compromesso?
Quante ne leggi di server iCloud compromessi e dati sensibili trafugati?
Io continuo a fidarmi di un solo gestore, meglio se integrato con solo dispositivi Apple e gestito SOLO da Apple.

perchè non è stato assolutamente così quel caso, magari studiare cosa è avvenuto nel dettaglio e chiedersi come mai hanno "indovinato" la password di tanti vip ti impedirebbe di ripetere l'errore
Detto questo, nessuno sta consigliando lastpass, visto che viene bucato troppo spesso, ma esistono alternative non ancora bucate se è per questo, al contrario di icloud che ti è stato già dimostrato che è stato bucato più di una volta, unaaddirittura di recente (vedi articolo linkato da macram)
tu fidati di chi ti pare, la scelta è soggettiva, ma in un forum tecnico, credere che Apple sia invincibile, è da fanboy