LastPass, aggiornamenti per l'hack di agosto: sottratti anche dati degli utenti

Redazione di Hardware Upg · 23-12-2022, 10:31

Link alla notizia: https://www.hwupgrade.it/news/sicure...ti_112796.html

Ulteriori indagini seguite all'incidente di sicurezza avvenuto ad agosto hanno portato alla conclusione che gli hacker hanno sottratto anche un archivio di dati crittografati degli utenti

Click sul link per visualizzare la notizia.

An.tani · 23-12-2022, 11:56

Non ho mai capito perché la gente paga per affidare le proprie password al altri quando esistono OTTIMI programmi open source multi piattaforma come Keepas

Opteranium · 23-12-2022, 12:15

sono d'accordo, molto meglio un file in locale e l'hash di recupero master password in backup

Sandro kensan · 23-12-2022, 14:35

Mi vengono in mente due cosette. La prima è una risposta a diversi commenti che ho letto tempo fa. Quando hai in mano il file con le password crittografate o comunque un qualsiasi file crittografato con dati importanti allora sei con le spalle al muro e i nodi vengono al pettine tutti insieme.

Con quel file puoi fare infiniti tentativi di crack, di brute force e di attesa che qualcuno scopra qualche vulnerabilità da qualsiasi parte. Alcuni commentatori dicevano: "tanto puoi fare fino a 3 tentativi e poi ti devi riloggare", "quindi è un sistema sicuro". Ecco, la risposta è questa, con i Cracker che hanno il file in mano e succede sempre prima o poi, sia con lastpass che con Google che con Apple. Prima o poi succede.

I cracker adesso possono andare alla ricerca di bachi nel protocollo crittografico usato che non è solo AES ma anche la generazione della password crittografica. Se questo sistema non è open source la vedo dura e prima o poi trovano una vulnerabilità indipendente da AES che è ultratestato.

Anche perché quei file rimarranno in Rete per sempre e quindi finiranno in tantissime mani soprattutto di esperti.

La seconda cosa che mi viene in mente è che questo sistema è sicuro se è un sistema open source e se si mettono nel cloud password non troppo importanti. Quindi riassumendo:

* software open source con uso di algoritmi standard e di provata efficacia
* crittazione in locale e salvataggio nel cloud
* inserire password di media importanza
* le password importanti vanno mantenute a memorie e/o memorizzate in locale con file crittato

Per ultimo evitare i sistemi semplici, il cloud deve essere un semplice archivio di un file crittografato mantenuto il più al sicuro possibile. In definitiva non ho approfondito come funziona lastpass ma credo che per semplificare la vita agli utenti e per guadagnarci abbia sacrificato la sicurezza.

23-12-2022, 10:31	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75173	Link alla notizia: https://www.hwupgrade.it/news/sicure...ti_112796.html Ulteriori indagini seguite all'incidente di sicurezza avvenuto ad agosto hanno portato alla conclusione che gli hacker hanno sottratto anche un archivio di dati crittografati degli utenti Click sul link per visualizzare la notizia.

23-12-2022, 11:56	#2
An.tani Senior Member Iscritto dal: Sep 2015 Messaggi: 1246	Non ho mai capito perché la gente paga per affidare le proprie password al altri quando esistono OTTIMI programmi open source multi piattaforma come Keepas

23-12-2022, 12:15	#3
Opteranium Senior Member Iscritto dal: Feb 2004 Messaggi: 5984	sono d'accordo, molto meglio un file in locale e l'hash di recupero master password in backup

23-12-2022, 14:35	#4
Sandro kensan Senior Member Iscritto dal: Dec 2011 Messaggi: 2903	Mi vengono in mente due cosette. La prima è una risposta a diversi commenti che ho letto tempo fa. Quando hai in mano il file con le password crittografate o comunque un qualsiasi file crittografato con dati importanti allora sei con le spalle al muro e i nodi vengono al pettine tutti insieme. Con quel file puoi fare infiniti tentativi di crack, di brute force e di attesa che qualcuno scopra qualche vulnerabilità da qualsiasi parte. Alcuni commentatori dicevano: "tanto puoi fare fino a 3 tentativi e poi ti devi riloggare", "quindi è un sistema sicuro". Ecco, la risposta è questa, con i Cracker che hanno il file in mano e succede sempre prima o poi, sia con lastpass che con Google che con Apple. Prima o poi succede. I cracker adesso possono andare alla ricerca di bachi nel protocollo crittografico usato che non è solo AES ma anche la generazione della password crittografica. Se questo sistema non è open source la vedo dura e prima o poi trovano una vulnerabilità indipendente da AES che è ultratestato. Anche perché quei file rimarranno in Rete per sempre e quindi finiranno in tantissime mani soprattutto di esperti. La seconda cosa che mi viene in mente è che questo sistema è sicuro se è un sistema open source e se si mettono nel cloud password non troppo importanti. Quindi riassumendo: * software open source con uso di algoritmi standard e di provata efficacia * crittazione in locale e salvataggio nel cloud * inserire password di media importanza * le password importanti vanno mantenute a memorie e/o memorizzate in locale con file crittato Per ultimo evitare i sistemi semplici, il cloud deve essere un semplice archivio di un file crittografato mantenuto il più al sicuro possibile. In definitiva non ho approfondito come funziona lastpass ma credo che per semplificare la vita agli utenti e per guadagnarci abbia sacrificato la sicurezza.

Strumenti
Mostra una versione stampabile Invia questa pagina per email