LastPass nel mirino dopo l'ultimo incidente di sicurezza

Redazione di Hardware Upg · 29-12-2022, 10:01

Link alla notizia: https://www.hwupgrade.it/news/sicure...za_112883.html

Secondo alcuni ricercatori di sicurezza la società avrebbe trattato l'ultimo episodio con superficialità e scarsa trasparenza, con rassicurazioni fuorvianti per gli utenti

Click sul link per visualizzare la notizia.

marcram · 29-12-2022, 10:33

Beh, se dopo 7 incidenti di sicurezza, la gente continuava ad usarlo...
Come dice il proverbio? "La prima volta che mi freghi è colpa tua, la seconda è colpa mia"...
La settima, non so...

unnilennium · 29-12-2022, 10:46

mah io non conosco tutti gli episodi, ma mi basta sapere che quello di agosto sia stato il peggiore, da cui si sono generati gli altri, a cascata... e poi abbiano cercato comunque di fare gli indiani, dando indicazioni puffose e contraddittorie sulla reale natura e gravità... l'ultima versione è che se avete usato una password come si deve dovreste essere a posto perchè con un attacco brute force non si sblocca... ma il condizionale è d'obbligo.. diciamo lastpass come tutti i servizi di questo tipo sono comodi ma hanno in sè un bel problema di sicurezza, come tutti i sistemi cloud... gli hacker hanno semplicemente attaccato il sistema più diffuso e sono riusciti a bucarlo... ciò non toglie che anche gli altri servizi siano a rischio.

ciolla2005 · 29-12-2022, 10:56

Hahahaha

Gringo [ITF] · 29-12-2022, 11:06

Quote:

e poi abbiano cercato comunque di fare gli indiani, dando indicazioni puffose e contraddittorie sulla reale natura e gravità

Probabilmente hanno usato come rappresentante per la comunicazione alla stampa un Politico Italiano Veneto..... :3

obogsic · 29-12-2022, 13:28

lo uso anche se non ci ho memorizzato cose importanti (per quelle uso ancora il mio cervello

)
Alternative valide free (o somma minima)?
Con l'occasione magari qualcosa che non abbia la limitazione ad un solo dispositivo.

rattopazzo · 29-12-2022, 14:11

Mai fidato di cloud o gestori di password, saranno pure comodi
ma una password, così come un file o qualsiasi cosa di privato mi sento più tranquillo quando è sotto la mia totale responsabilità, almeno saprò che se qualcosa va storto la colpa sarà stata solo mia.

marcram · 29-12-2022, 14:20

Quote:

Originariamente inviato da obogsic

Alternative valide free (o somma minima)?

Cloud-based, il più consigliato è Bitwarden.
Offline (o al massimo sincronizzato per conto tuo), Keepass.

lammoth · 29-12-2022, 15:25

Io uso da diversi anni Bitwarden, per 10$/anno mi sono abbonato alla versione premium anche per supportare il progetto (opensource). Se si ha un NAS è possibile installarsi il server (Linux, Docker, ecc) e conservarsi i dati in locale.

Tra quelli offline ho usato Keepass e sentito parlare bene di Enpass.

Se però si decide di usare un gestore offline, ma di salvare l'archivio criptato su Dropbox o Google Drive, alla fine non cambia nulla. Se Dropbox o Google Drive vengono bucati, anche in questo caso, quello che ci salva è la qualità della master password.

Unrue · 29-12-2022, 17:08

Probabilmente molti continuano ad usarlo per pigrizia. Non hanno voglia di spostare tutte le password da un'altra parte.

obogsic · 30-12-2022, 22:14

Quote:

Originariamente inviato da marcram

Cloud-based, il più consigliato è Bitwarden.
Offline (o al massimo sincronizzato per conto tuo), Keepass.

grazie degli spunti

Lo Straniero Misterioso · 31-12-2022, 13:21

Sì ma son tutte password che servono per accedere a servizi online (compresa la master password, a meno che tu non abbia scelto di scaricare offline il database delle password per poterlo usare anche senza internet, che però di default è disattivato).

Perdonate l'ignoranza, ma come fai a fare 2^porco2 tentativi per cercare di indovinare la master password di Lastpass o anche solo quella di un servizio online? Dall'altro lato dopo tot tentativi ti bloccano...

ElimGarak · 31-12-2022, 13:41

Ma Roboform non è più buono? :-)

marcram · 31-12-2022, 14:09

Quote:

Originariamente inviato da Lo Straniero Misterioso

Sì ma son tutte password che servono per accedere a servizi online (compresa la master password, a meno che tu non abbia scelto di scaricare offline il database delle password per poterlo usare anche senza internet, che però di default è disattivato).

Perdonate l'ignoranza, ma come fai a fare 2^porco2 tentativi per cercare di indovinare la master password di Lastpass o anche solo quella di un servizio online? Dall'altro lato dopo tot tentativi ti bloccano...

Il blocco dopo tot tentativi è una protezione messa prima dell'accesso al file crittografato. Uno strato di sicurezza a parte.
MA, se sono riusciti ad impossessarsi del file crittografato, possono fare quanti tentativi vogliono, in locale. Non c'è nessuno "blocco tentativi" intrinseco alla crittografia del file...

Unrue · 04-01-2023, 08:06

Quote:

Originariamente inviato da marcram

Il blocco dopo tot tentativi è una protezione messa prima dell'accesso al file crittografato. Uno strato di sicurezza a parte.
MA, se sono riusciti ad impossessarsi del file crittografato, possono fare quanti tentativi vogliono, in locale. Non c'è nessuno "blocco tentativi" intrinseco alla crittografia del file...

Si ma se nel frattempo cambio le password non ci fanno nulla, tempo sprecato. Questa cosa funziona solo se il file viene decifrato prima che cambino le password, cosa non certo semplice in termini di tempo.

marcram · 04-01-2023, 12:06

Quote:

Originariamente inviato da Unrue

Si ma se nel frattempo cambio le password non ci fanno nulla, tempo sprecato. Questa cosa funziona solo se il file viene decifrato prima che cambino le password, cosa non certo semplice in termini di tempo.

In linea di massima, sì.

Se cambi le password prima che lo decifrino, non se ne fanno niente; anche se, in teoria, potrebbero dedurre, su alcuni utenti, degli "schemi" sul modo che hanno di creare le password, e intuire le nuove create...
Se la master password è buona, e la crittografia non presenta falle, non se ne fanno niente a priori.

Però
1) spesso le violazioni vengono tenute nascoste, oppure vengono comunicate con palese ritardo, e quindi i sottrattori hanno a disposizione diverso tempo per tentare la decifratura;
2) anche a questo punto, molte persone (e presumo davvero molte) non si prendono la briga di entrare nei vari servizi e cambiare password, che quindi rimangono valide;
3) tra quelli che le cambiano, ci sono comunque quelli che le cambiano con un sistema prevedibile (tipo aggiungere un carattere alla fine, cambiare una maiuscola, ecc.), che rendono la scoperta della password iniziale un buon punto di partenza per l'individuazione della nuova password.

Alla fine, loro lavorano sulla massa. Qualche utente prenderà delle contromisure valide a proteggersi, ma comunque riescono a pescare molti altri pesci...

29-12-2022, 13:28	#6
obogsic Senior Member Iscritto dal: Jun 2001 Città: Avellino Messaggi: 3356	lo uso anche se non ci ho memorizzato cose importanti (per quelle uso ancora il mio cervello ) Alternative valide free (o somma minima)? Con l'occasione magari qualcosa che non abbia la limitazione ad un solo dispositivo. __________________ Fregato da stermy57 alias Claudio P.....i di Castel Campagnano (CE). Vedi qui: http://www.hwupgrade.it/forum/showth...0#post39225160

29-12-2022, 14:11	#7
rattopazzo Senior Member Iscritto dal: Dec 2000 Città: Airstrip One Messaggi: 6255	Mai fidato di cloud o gestori di password, saranno pure comodi ma una password, così come un file o qualsiasi cosa di privato mi sento più tranquillo quando è sotto la mia totale responsabilità, almeno saprò che se qualcosa va storto la colpa sarà stata solo mia. __________________ La fiducia cieca crea sudditi. La fiducia consapevole crea uomini liberi. Non seguo la folla, io la osservo 👀 #PensieroCritico

29-12-2022, 10:01	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: https://www.hwupgrade.it/news/sicure...za_112883.html Secondo alcuni ricercatori di sicurezza la società avrebbe trattato l'ultimo episodio con superficialità e scarsa trasparenza, con rassicurazioni fuorvianti per gli utenti Click sul link per visualizzare la notizia.

29-12-2022, 10:33	#2
marcram Senior Member Iscritto dal: Jul 2008 Messaggi: 5663	Beh, se dopo 7 incidenti di sicurezza, la gente continuava ad usarlo... Come dice il proverbio? "La prima volta che mi freghi è colpa tua, la seconda è colpa mia"... La settima, non so...

29-12-2022, 10:46	#3
unnilennium Senior Member Iscritto dal: Jan 2005 Città: ichnusa Messaggi: 18035	mah io non conosco tutti gli episodi, ma mi basta sapere che quello di agosto sia stato il peggiore, da cui si sono generati gli altri, a cascata... e poi abbiano cercato comunque di fare gli indiani, dando indicazioni puffose e contraddittorie sulla reale natura e gravità... l'ultima versione è che se avete usato una password come si deve dovreste essere a posto perchè con un attacco brute force non si sblocca... ma il condizionale è d'obbligo.. diciamo lastpass come tutti i servizi di questo tipo sono comodi ma hanno in sè un bel problema di sicurezza, come tutti i sistemi cloud... gli hacker hanno semplicemente attaccato il sistema più diffuso e sono riusciti a bucarlo... ciò non toglie che anche gli altri servizi siano a rischio.

29-12-2022, 10:56	#4
ciolla2005 Senior Member Iscritto dal: Feb 2005 Città: Padova Messaggi: 898	Hahahaha

29-12-2022, 15:25	#9
lammoth Member Iscritto dal: Aug 2018 Messaggi: 75	Io uso da diversi anni Bitwarden, per 10$/anno mi sono abbonato alla versione premium anche per supportare il progetto (opensource). Se si ha un NAS è possibile installarsi il server (Linux, Docker, ecc) e conservarsi i dati in locale. Tra quelli offline ho usato Keepass e sentito parlare bene di Enpass. Se però si decide di usare un gestore offline, ma di salvare l'archivio criptato su Dropbox o Google Drive, alla fine non cambia nulla. Se Dropbox o Google Drive vengono bucati, anche in questo caso, quello che ci salva è la qualità della master password.

29-12-2022, 17:08	#10
Unrue Senior Member Iscritto dal: Nov 2002 Messaggi: 6364	Probabilmente molti continuano ad usarlo per pigrizia. Non hanno voglia di spostare tutte le password da un'altra parte.

31-12-2022, 13:21	#12
Lo Straniero Misterioso Senior Member Iscritto dal: May 2017 Messaggi: 404	Sì ma son tutte password che servono per accedere a servizi online (compresa la master password, a meno che tu non abbia scelto di scaricare offline il database delle password per poterlo usare anche senza internet, che però di default è disattivato). Perdonate l'ignoranza, ma come fai a fare 2^porco2 tentativi per cercare di indovinare la master password di Lastpass o anche solo quella di un servizio online? Dall'altro lato dopo tot tentativi ti bloccano...

31-12-2022, 13:41	#13
ElimGarak Member Iscritto dal: Sep 2015 Messaggi: 62	Ma Roboform non è più buono? :-)

Strumenti
Mostra una versione stampabile Invia questa pagina per email