LastPass nel mirino dopo l'ultimo incidente di sicurezza

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...za_112883.html

Secondo alcuni ricercatori di sicurezza la società avrebbe trattato l'ultimo episodio con superficialità e scarsa trasparenza, con rassicurazioni fuorvianti per gli utenti

Click sul link per visualizzare la notizia.

[marcram]

Beh, se dopo 7 incidenti di sicurezza, la gente continuava ad usarlo...
Come dice il proverbio? "La prima volta che mi freghi è colpa tua, la seconda è colpa mia"...
La settima, non so...

[unnilennium]

mah io non conosco tutti gli episodi, ma mi basta sapere che quello di agosto sia stato il peggiore, da cui si sono generati gli altri, a cascata... e poi abbiano cercato comunque di fare gli indiani, dando indicazioni puffose e contraddittorie sulla reale natura e gravità... l'ultima versione è che se avete usato una password come si deve dovreste essere a posto perchè con un attacco brute force non si sblocca... ma il condizionale è d'obbligo.. diciamo lastpass come tutti i servizi di questo tipo sono comodi ma hanno in sè un bel problema di sicurezza, come tutti i sistemi cloud... gli hacker hanno semplicemente attaccato il sistema più diffuso e sono riusciti a bucarlo... ciò non toglie che anche gli altri servizi siano a rischio.

[ciolla2005]

Hahahaha

[Gringo [ITF]]

Quote:

e poi abbiano cercato comunque di fare gli indiani, dando indicazioni puffose e contraddittorie sulla reale natura e gravità

Probabilmente hanno usato come rappresentante per la comunicazione alla stampa un Politico Italiano Veneto..... :3

[obogsic]

lo uso anche se non ci ho memorizzato cose importanti (per quelle uso ancora il mio cervello )
Alternative valide free (o somma minima)?
Con l'occasione magari qualcosa che non abbia la limitazione ad un solo dispositivo.

[rattopazzo]

Mai fidato di cloud o gestori di password, saranno pure comodi
ma una password, così come un file o qualsiasi cosa di privato mi sento più tranquillo quando è sotto la mia totale responsabilità, almeno saprò che se qualcosa va storto la colpa sarà stata solo mia.

[marcram]

Quote:

Originariamente inviato da obogsic

Alternative valide free (o somma minima)?

Cloud-based, il più consigliato è Bitwarden.
Offline (o al massimo sincronizzato per conto tuo), Keepass.

[lammoth]

Io uso da diversi anni Bitwarden, per 10$/anno mi sono abbonato alla versione premium anche per supportare il progetto (opensource). Se si ha un NAS è possibile installarsi il server (Linux, Docker, ecc) e conservarsi i dati in locale.

Tra quelli offline ho usato Keepass e sentito parlare bene di Enpass.

Se però si decide di usare un gestore offline, ma di salvare l'archivio criptato su Dropbox o Google Drive, alla fine non cambia nulla. Se Dropbox o Google Drive vengono bucati, anche in questo caso, quello che ci salva è la qualità della master password.

[Unrue]

Probabilmente molti continuano ad usarlo per pigrizia. Non hanno voglia di spostare tutte le password da un'altra parte.

[obogsic]

Quote:

Originariamente inviato da marcram

Cloud-based, il più consigliato è Bitwarden.
Offline (o al massimo sincronizzato per conto tuo), Keepass.

grazie degli spunti

[Lo Straniero Misterioso]

Sì ma son tutte password che servono per accedere a servizi online (compresa la master password, a meno che tu non abbia scelto di scaricare offline il database delle password per poterlo usare anche senza internet, che però di default è disattivato).

Perdonate l'ignoranza, ma come fai a fare 2^porco2 tentativi per cercare di indovinare la master password di Lastpass o anche solo quella di un servizio online? Dall'altro lato dopo tot tentativi ti bloccano...

[ElimGarak]

Ma Roboform non è più buono? :-)

[marcram]

Quote:

Originariamente inviato da Lo Straniero Misterioso

Sì ma son tutte password che servono per accedere a servizi online (compresa la master password, a meno che tu non abbia scelto di scaricare offline il database delle password per poterlo usare anche senza internet, che però di default è disattivato).

Perdonate l'ignoranza, ma come fai a fare 2^porco2 tentativi per cercare di indovinare la master password di Lastpass o anche solo quella di un servizio online? Dall'altro lato dopo tot tentativi ti bloccano...

Il blocco dopo tot tentativi è una protezione messa prima dell'accesso al file crittografato. Uno strato di sicurezza a parte.
MA, se sono riusciti ad impossessarsi del file crittografato, possono fare quanti tentativi vogliono, in locale. Non c'è nessuno "blocco tentativi" intrinseco alla crittografia del file...

[Unrue]

Quote:

Originariamente inviato da marcram

Il blocco dopo tot tentativi è una protezione messa prima dell'accesso al file crittografato. Uno strato di sicurezza a parte.
MA, se sono riusciti ad impossessarsi del file crittografato, possono fare quanti tentativi vogliono, in locale. Non c'è nessuno "blocco tentativi" intrinseco alla crittografia del file...

Si ma se nel frattempo cambio le password non ci fanno nulla, tempo sprecato. Questa cosa funziona solo se il file viene decifrato prima che cambino le password, cosa non certo semplice in termini di tempo.

[marcram]

Quote:

Originariamente inviato da Unrue

Si ma se nel frattempo cambio le password non ci fanno nulla, tempo sprecato. Questa cosa funziona solo se il file viene decifrato prima che cambino le password, cosa non certo semplice in termini di tempo.

In linea di massima, sì.

Se cambi le password prima che lo decifrino, non se ne fanno niente; anche se, in teoria, potrebbero dedurre, su alcuni utenti, degli "schemi" sul modo che hanno di creare le password, e intuire le nuove create...
Se la master password è buona, e la crittografia non presenta falle, non se ne fanno niente a priori.

Però
1) spesso le violazioni vengono tenute nascoste, oppure vengono comunicate con palese ritardo, e quindi i sottrattori hanno a disposizione diverso tempo per tentare la decifratura;
2) anche a questo punto, molte persone (e presumo davvero molte) non si prendono la briga di entrare nei vari servizi e cambiare password, che quindi rimangono valide;
3) tra quelli che le cambiano, ci sono comunque quelli che le cambiano con un sistema prevedibile (tipo aggiungere un carattere alla fine, cambiare una maiuscola, ecc.), che rendono la scoperta della password iniziale un buon punto di partenza per l'individuazione della nuova password.

Alla fine, loro lavorano sulla massa. Qualche utente prenderà delle contromisure valide a proteggersi, ma comunque riescono a pescare molti altri pesci...