LastPass: account sviluppatore compromesso e codice sorgente rubato

Redazione di Hardware Upg · 26-08-2022, 08:51

Link alla notizia: https://www.hwupgrade.it/news/sicure...to_109632.html

La società comunica una violazione ma afferma che i dati dei clienti non sono stati compromessi

Click sul link per visualizzare la notizia.

Gringo [ITF] · 26-08-2022, 09:22

- Quindi cambierà nome da .... LASTPASS .... a LOSTPASS.

Chissà quanti account sarà possibile compromettere ora, dipenderà se l'algoritmo di crittazione su server e "Reversibile" essendo in possesso del sorgente, tipo una master password ecc..

demon77 · 26-08-2022, 09:24

Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.

Praetorian · 26-08-2022, 09:37

Quote:

Originariamente inviato da demon77

Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

(...)

Concordo alla grande, mai utilizzato questi servizi proprio per questo.
A volte è meglio fare le cose alla vecchia maniera :P

v10_star · 26-08-2022, 10:11

Lastche?

Buona memoria e due chiavettone USB con bitlocker con bel txt all'interno

Cr4z33 · 26-08-2022, 10:32

Finora mi sono sempre affidato a LastPass, ma adesso comincio a 💩 sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.

WELive · 26-08-2022, 10:44

Quote:

Originariamente inviato da demon77

Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.

https://www.hwupgrade.it/forum/showthread.php?t=2434730

demon77 · 26-08-2022, 10:50

Quote:

Originariamente inviato da WELive

https://www.hwupgrade.it/forum/showthread.php?t=2434730

Si si lo conosco. Mai usato ma lo conosco.
Alla fine di tool di criptaggio per singoli files ce ne sono parecchie.. ai tempi approdai su AXcrypt e trovandomi bene poi sono rimasto lì.

demon77 · 26-08-2022, 10:57

Quote:

Originariamente inviato da Cr4z33

Finora mi sono sempre affidato a LastPass, ma adesso comincio a �� sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di ��?
Uso Linux, Windows 1x, macOS e Android.

Dipende dalle tue esigenze, ci sono ottime soluzioni free validissime per tutti i gusti.

Se come me hai necessità di criptare uno o più files SINGOLI in modo efficace il tool perfetto è AXcrypt o come indicato sopra anche Easycrypt.. ce ne sono molti comunque.

Se invece hai esigenze maggiori e vuoi una vra e propria unità disco FISICA o VIRTUALE da montare e smontare a piacimento (e' di fatto un file monoblocco) completamente criptata ti cosiglio veracrypt.

Per win, linux e macos non dovrebbero esserci problemi.. android non so.

jepessen · 26-08-2022, 11:02

Quote:

Originariamente inviato da demon77

Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.

Non penso proprio che cio' avverra'. Avere accesso al codice sorgente non puo' compromettere, in linea teorica, i dati salvati. Questo perche' verrebbe meno uno dei principi con la quale vengono costruiti praticamente tutti gli algoritmi crittografici. La sicurezza non deve essere assicurata dalla segretezza dell'algoritmo, che anzi deve essere pubblico per poter essere testato e verificato, ma dalla segretezza della chiave. Spulciare gli algoritmi quindi non serve a niente se non si hanno le chiavi di cifratura. Ed e' per questo che occorre sempre mettere le password al sicuro, mentre gli algoritmo no (pensiamo a ssl che e' opensource).

insane74 · 26-08-2022, 11:11

Quote:

Originariamente inviato da Cr4z33

Finora mi sono sempre affidato a LastPass, ma adesso comincio a 💩 sotto (considerando tutti i dati sensibili che ho dentro).
Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣?
Uso Linux, Windows 1x, macOS e Android.

Anch'io anni fa usavo LastPass, ma a seguito dell'ennesimo data breach (il servizio è stato bucato più volte) decisi di passare ad altro.
da un paio d'anni uso con soddisfazione 1Password.

pare (la certezza non esiste) sia uno dei migliori. viene sottoposto periodicamente ad auditing esterni per verificarne la sicurezza ecc ecc.
io mi ci trovo bene, le app sono fatte bene, e anche l'integrazione coi browser funziona bene (uso le app su iPhone/iPad e Mac e l'integrazione col browser sul PC aziendale che ha Windows 10).

costicchia però.
sicuramente ci sono alternative altrettanto valide e meno costose.

Jimbo Kern · 26-08-2022, 11:47

Quote:

Originariamente inviato da demon77

Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo:
metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco..

Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA":
Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT)

Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME.

Idem. Mai usati gestori di password di quel genere. Ho Keypass su tutti i PC, il database su NAS e anche l'app sul telefono con accesso tramite impronta, il file criptato lo passo anche sul cellulare quando aggiorno qualcosa e sono a posto. Tutto in locale, sempre.

WELive · 26-08-2022, 11:50

Quote:

Originariamente inviato da demon77

Si si lo conosco. Mai usato ma lo conosco.
Alla fine di tool di criptaggio per singoli files ce ne sono parecchie.. ai tempi approdai su AXcrypt e trovandomi bene poi sono rimasto lì.

a parte il criptaggio dei file singoli, puoi criptare direttamente il testo con le password come faccio io, si chiama Text Encryption. Così non c'è un file ma un testo criptato e codificato. Poi uno usa quello che gli pare, ma le "vecchie versioni" non supportate più... Mi mettono in pensiero per eventuali bug o vulnerabilità.

lammoth · 26-08-2022, 11:55

Quote:

Originariamente inviato da insane74

[...]
uso con soddisfazione 1Password.
[...]
costicchia però.
sicuramente ci sono alternative altrettanto valide e meno costose.

Bitwarden

I sorgenti non li possono rubare perché è open-source

Sandro kensan · 26-08-2022, 13:31

Anch'io uso un file locale per le password e come crittografia trovo sia il massimo GNUpg https://it.wikipedia.org/wiki/GNU_Privacy_Guard che è sempre aggiornato all'ultima versione automaticamente. Poi uso anche le password salvate sui server di Firefox ma sono password minori.

https://www.mozilla.org/it/firefox/features/password-manager/

Firefox può utilizzare una master password e inoltre salva su un server remoto le password in modo tale che tutti i firefox in diversi dispositivi abbiano le stesse password.

Ovviamente le password sono crittografate sul server con un algoritmo pubblico, quindi non c'è nulla da rubare. Se si perdono le credenziali di firefox le password sono perse per sempre in quanto Mozilla non può accedervi. Crittografia end to end come di dice di solito. Comodo ma da usare solo per password non economiche.

Perseverance · 26-08-2022, 13:34

Queste società che state scrivendo oltre a quella dell'articolo non hanno un indirizzo, una sede legale, una sede fiscale, un numero di telefono. Queste sono praticamente società fantasma, matriosca, neanche si sà di chi sono ma si sà che fatturano miliardi di dollari, le tasse non si sà dove le pagano e se le pagano. E voialtri vi sentite con la coscienza a posto a dare le vostre informazioni a queste entità ?

Come paragone ad esempio quando salvi le password in Firefox sai che le stai dando alla Mozilla Foundation, sai dov'è, chi è, dove paga le tasse e sai anche il numero di telefono, l'organigramma, le sussidiarie e le sedi in giro per il mondo. Cioè: esiste.

Vash88 · 26-08-2022, 13:46

Anche se rubassero tutti i dati dei clienti, visto che sono crittografati e lastpass NON SALVA la masterpassword a meno che non siate come master password una password ridicola non dovrebbero esserci problemi. Chi ha paura per le proprie password è meglio che usi una masterpassword sicura.

insane74 · 26-08-2022, 13:58

Quote:

Originariamente inviato da Perseverance

Queste società che state scrivendo oltre a quella dell'articolo non hanno un indirizzo, una sede legale, una sede fiscale, un numero di telefono. Queste sono praticamente società fantasma, matriosca, neanche si sà di chi sono ma si sà che fatturano miliardi di dollari, le tasse non si sà dove le pagano e se le pagano. E voialtri vi sentite con la coscienza a posto a dare le vostre informazioni a queste entità ?
...

Eh?

Per 1Password, quella che uso: https://1password.com/it/company/
https://1password.com/it/legal-center/

Quote:

4711 Yonge St, 10th Floor, Toronto, Ontario, M2N 6K8, Canada

Società fantasma???

giuliop · 26-08-2022, 15:35

Viene il dubbio che la redazione faccia effettivamente bene a pubblicare quegli articoli simil-Novella 2000, perché la maggior parte dei commenti riguardo a questa notizia sono degni delle reazioni isteriche che si trovano su un giornale scandalistico, e non di chi dovrebbe intendersi un minimo di informatica.

Opteranium · 26-08-2022, 16:27

io uso keepassx, penso anch'io che in un ambito come la sicurezza l'opensource sia necessario

26-08-2022, 09:24	#3
demon77 Senior Member Iscritto dal: Sep 2001 Città: Saronno (VA) Messaggi: 22442	Ed ecco concretizzarsi il mio principale spauracchio legato proprio a servizi di questo tipo: metto dentro tutte le password e tutti gli account.. e poi sfondano il servizio e si fottono tutto in blocco.. Io ho preferito risolvere alla vecchia maniera e tutto "IN CASA": Supremo file di testo con tutte le credenziali opportunamente criptato con programmino stand alone in locale.. (una vecchia versione senza fronzoli di AXCRYPT) Almeno se vogliono fottersi le mie password devono veire a pigliare proprio ME. __________________ DEMON77 La mia galleria su Deviant Art: http://aby77.deviantart.com/gallery/?catpath=/

26-08-2022, 13:34	#16
Perseverance Senior Member Iscritto dal: Jul 2008 Messaggi: 8289	Queste società che state scrivendo oltre a quella dell'articolo non hanno un indirizzo, una sede legale, una sede fiscale, un numero di telefono. Queste sono praticamente società fantasma, matriosca, neanche si sà di chi sono ma si sà che fatturano miliardi di dollari, le tasse non si sà dove le pagano e se le pagano. E voialtri vi sentite con la coscienza a posto a dare le vostre informazioni a queste entità ? Come paragone ad esempio quando salvi le password in Firefox sai che le stai dando alla Mozilla Foundation, sai dov'è, chi è, dove paga le tasse e sai anche il numero di telefono, l'organigramma, le sussidiarie e le sedi in giro per il mondo. Cioè: esiste. __________________ System Failure

26-08-2022, 13:46	#17
Vash88 Senior Member Iscritto dal: Sep 2003 Città: Regno Unito Messaggi: 5726	Anche se rubassero tutti i dati dei clienti, visto che sono crittografati e lastpass NON SALVA la masterpassword a meno che non siate come master password una password ridicola non dovrebbero esserci problemi. Chi ha paura per le proprie password è meglio che usi una masterpassword sicura. __________________ 3090 FE & Ryzen 5700x - Legion 7 5800h 32gb - 3080 16gb

26-08-2022, 15:35	#19
giuliop Senior Member Iscritto dal: Apr 2005 Messaggi: 6848	Viene il dubbio che la redazione faccia effettivamente bene a pubblicare quegli articoli simil-Novella 2000, perché la maggior parte dei commenti riguardo a questa notizia sono degni delle reazioni isteriche che si trovano su un giornale scandalistico, e non di chi dovrebbe intendersi un minimo di informatica. __________________ Ἀξύνετοι ἀκούσαντες κωφοῖσιν ἐοίκασι ̇φάτις αὐτοῖσιν μαθτυρεῖ παρεόντας ἀπεῖναι. Ὕες γοῦν βορβόρῳ ἥδονται μᾶλλον ἢ καθαρῷ ὕδατι.

26-08-2022, 08:51	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: https://www.hwupgrade.it/news/sicure...to_109632.html La società comunica una violazione ma afferma che i dati dei clienti non sono stati compromessi Click sul link per visualizzare la notizia.

26-08-2022, 09:22	#2
Gringo [ITF] Senior Member Iscritto dal: Sep 2004 Città: Veneto Orientale Messaggi: 4762	- Quindi cambierà nome da .... LASTPASS .... a LOSTPASS. Chissà quanti account sarà possibile compromettere ora, dipenderà se l'algoritmo di crittazione su server e "Reversibile" essendo in possesso del sorgente, tipo una master password ecc..

26-08-2022, 10:11	#5
v10_star Senior Member Iscritto dal: Aug 2004 Città: Padova Messaggi: 2721	Lastche? Buona memoria e due chiavettone USB con bitlocker con bel txt all'interno

26-08-2022, 10:32	#6
Cr4z33 Senior Member Iscritto dal: Apr 2000 Città: Lu sule, lu mare e lu ientu Messaggi: 1155	Finora mi sono sempre affidato a LastPass, ma adesso comincio a 💩 sotto (considerando tutti i dati sensibili che ho dentro). Esiste qualche soluzione multipiattaforma con criptaggio a prova di 💣? Uso Linux, Windows 1x, macOS e Android.

26-08-2022, 13:31	#15
Sandro kensan Senior Member Iscritto dal: Dec 2011 Messaggi: 3177	Anch'io uso un file locale per le password e come crittografia trovo sia il massimo GNUpg https://it.wikipedia.org/wiki/GNU_Privacy_Guard che è sempre aggiornato all'ultima versione automaticamente. Poi uso anche le password salvate sui server di Firefox ma sono password minori. https://www.mozilla.org/it/firefox/features/password-manager/ Firefox può utilizzare una master password e inoltre salva su un server remoto le password in modo tale che tutti i firefox in diversi dispositivi abbiano le stesse password. Ovviamente le password sono crittografate sul server con un algoritmo pubblico, quindi non c'è nulla da rubare. Se si perdono le credenziali di firefox le password sono perse per sempre in quanto Mozilla non può accedervi. Crittografia end to end come di dice di solito. Comodo ma da usare solo per password non economiche.

26-08-2022, 16:27	#20
Opteranium Senior Member Iscritto dal: Feb 2004 Messaggi: 6256	io uso keepassx, penso anch'io che in un ambito come la sicurezza l'opensource sia necessario

Strumenti
Mostra una versione stampabile Invia questa pagina per email