|
|
|
![]() |
|
Strumenti |
![]() |
#21 | |
Senior Member
Iscritto dal: Dec 2012
Messaggi: 4335
|
Quote:
2011 security incident On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.[30][31] 2015 security breach On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[32][33] 2016 security incidents In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[34] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[35] 2017 security incidents On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[36] On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[37][38] 2019 security incidents On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site.[39][40] By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.[41] [42]
__________________
AMD Ryzen 7800X3D - PBO MAX CO(-35/-40) All core | 32GB (2x16GB) G.Skill Trident Z5 Neo 6000MHz @c30 36 36 96(EXPO) | AIO Arctic LF2 420mm | Gigabyte B650 AORUS ELITE AX | AMD Radeon RX 9070 XT Powercolor RedDevil | Corsair 7000D | Seasonic Focus GX 1000 80+Gold | NVMe Lexar NM790 2TB | Samsung Gaming Odyssey G8 OLED 32" 4K Flat (LS32DG800SUXEN) [MY AMD PC - PHOTO] |
|
![]() |
![]() |
![]() |
#22 | |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 10026
|
Quote:
immagino che nessuno di questi password manager (con un minimo di diffusione = interesse a bucarlo) sia completamente sicuro. al solito si cerca il "meno peggio". purtroppo con necessità "cross device" (mobile + desktop) e "cross os" (windows + iOS) la strada più comoda è un password manager. va trovato quello "con meno problemi possibili". ![]()
__________________
Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / TP-LINK Archer GE800;QNAP QSW-1105-5T / iPhone 14 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB |
|
![]() |
![]() |
![]() |
#23 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 5263
|
Quote:
Che Bitwarden tenga i dati nella 5-Eye Alliance dovrebbe voler dire poco, visto che sono crittografati E2E sul dispositivo. Certo, hosting privato sarebbe il top, ma non è alla portata di tutti. Io preferisco ancora KeePass offline e sincronizzazione locale... ![]() |
|
![]() |
![]() |
![]() |
#24 | |
Senior Member
Iscritto dal: Oct 2010
Messaggi: 840
|
Quote:
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro ![]() Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate. Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente. Ultima modifica di Uncle Scrooge : 17-02-2021 alle 15:08. |
|
![]() |
![]() |
![]() |
#25 | |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 10026
|
Quote:
significa solo che puoi controllare (se hai il tempo/le capacità) i sorgenti che pubblicano, ma non sai cosa sta effettivamente girando lato server, quindi... quanto a closed/open, direi che è un discorso trito e ritrito. sappiamo che più un OS è diffuso più viene attaccato perché c'è più probabilità di fare danno / diffondere il malware/spyware/ransomware di turno.
__________________
Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / TP-LINK Archer GE800;QNAP QSW-1105-5T / iPhone 14 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB |
|
![]() |
![]() |
![]() |
#26 | ||
Senior Member
Iscritto dal: Dec 2012
Messaggi: 4335
|
Quote:
Birwarden ha anche lui le sue belle magagne: Quote:
__________________
AMD Ryzen 7800X3D - PBO MAX CO(-35/-40) All core | 32GB (2x16GB) G.Skill Trident Z5 Neo 6000MHz @c30 36 36 96(EXPO) | AIO Arctic LF2 420mm | Gigabyte B650 AORUS ELITE AX | AMD Radeon RX 9070 XT Powercolor RedDevil | Corsair 7000D | Seasonic Focus GX 1000 80+Gold | NVMe Lexar NM790 2TB | Samsung Gaming Odyssey G8 OLED 32" 4K Flat (LS32DG800SUXEN) [MY AMD PC - PHOTO] |
||
![]() |
![]() |
![]() |
#27 | |
Senior Member
Iscritto dal: Feb 2003
Città: BG
Messaggi: 10026
|
Quote:
![]()
__________________
Mac mini M1,16GB,2TB,10Gbit;Satechi Hub NVMe;Samsung 990 Pro 4TB;WD My Passport for Mac 4TB / Logitech MX Keys;Logitech MX Vertical;Philips 288E2A;PreSonus Eris E3.5;HP LaserJet Pro M281fdw / QNAP TVS-871-i3-4G,8GB,8x WD Red CMR 6TB raid 6,QNAP QXG-2G1T-I225 / TP-LINK Archer GE800;QNAP QSW-1105-5T / iPhone 14 Pro Max 1TB;iPad mini 6 256GB;Apple Watch Ultra 2;AirPods Pro 2;Kindle Paperwhite 11 SE / LG OLED C2 48";Apple TV 4K 2021 64GB;Denon AVR-X2800H / Xbox Series X;Seagate Expansion Card 2TB |
|
![]() |
![]() |
![]() |
#28 | |
Senior Member
Iscritto dal: Dec 2012
Messaggi: 4335
|
Quote:
Io ho detto quello che ho detto, non le robe che stai dicendo tu. Open è open per tutti, tipicamente è indice di buona implementazione, correttezza del codice e review continua. Ma in ambito security è un arma a doppio taglio delle volte. Basta vedere l'esempio di OpenSSH.: https://www.bleepingcomputer.com/new...t-two-decades/ Non sto dicendo che i codici "closed" siano meglio, ma dire che "bitwarden e non serve guardare oltre" è una cavolata bella e buona, perchè ha e potenzialmente puo' avere delle magagne come gli altri. La soluzione migliore rimane sempre l'hosting privato.
__________________
AMD Ryzen 7800X3D - PBO MAX CO(-35/-40) All core | 32GB (2x16GB) G.Skill Trident Z5 Neo 6000MHz @c30 36 36 96(EXPO) | AIO Arctic LF2 420mm | Gigabyte B650 AORUS ELITE AX | AMD Radeon RX 9070 XT Powercolor RedDevil | Corsair 7000D | Seasonic Focus GX 1000 80+Gold | NVMe Lexar NM790 2TB | Samsung Gaming Odyssey G8 OLED 32" 4K Flat (LS32DG800SUXEN) [MY AMD PC - PHOTO] |
|
![]() |
![]() |
![]() |
#29 | |
Senior Member
Iscritto dal: Sep 2006
Città: Aprilia
Messaggi: 12597
|
Quote:
__________________
Quelli che dicevano che era impossibile non hanno mai fatto un tentativo Inventario Steam contattatemi se interessati |
|
![]() |
![]() |
![]() |
#30 | ||
Senior Member
Iscritto dal: Jul 2008
Messaggi: 5263
|
Quote:
Quote:
Quella magagna che hai indicato è, diciamo, un problema minore. E' un problema che hanno, in versione più grave, tutti i software closed. Quindi non può rappresentare un lato negativo dei software open, visto che tutti i closed lo hanno... Certo, si potrebbe fare meglio, ma gli altri sono peggio... |
||
![]() |
![]() |
![]() |
#31 | |
Senior Member
Iscritto dal: Oct 2000
Città: Reggio Emilia
Messaggi: 17229
|
Quote:
Il difetto è che usa l’orrenda forma del canone mensile, lo preferivo quando aveva un costo una tantum e potevo comprarlo dove mi pareva... ma mi ci trovo bene e lo pago volentieri, tutto sommato.
__________________
Twinkle, twinkle, little star how I wonder what you are. |
|
![]() |
![]() |
![]() |
#32 | |
Senior Member
Iscritto dal: Oct 2010
Messaggi: 840
|
Quote:
Bitwarden dà la possibilità di sincronizzare i dati su hosting privato invece che sui loro server, quindi è una soluzione valida sia per l'utente che vuole la pappa pronta, sia per lo smanettone diffidente che preferisce sapere dove vengono memorizzati i dati (sebbene siano comunque crittografati). Keepass probabilmente è altrettanto valido ma offre soltanto la soluzione per smanettoni. |
|
![]() |
![]() |
![]() |
#33 | |
Senior Member
Iscritto dal: Jan 2007
Messaggi: 6578
|
Quote:
Non ho guardato bene per ipod ma mi sembra che non ci sia niente opensource con keyboard integrata.
__________________
E come disse Peppone appena svegliatosi in Parlamento, "Fasciiisti!!!" |
|
![]() |
![]() |
![]() |
#34 |
Member
Iscritto dal: Sep 2019
Città: Albenga
Messaggi: 37
|
Io ho un container con Bitwarden (parliamo di Docker) che gira su un NAS "artigianale" basato su OpenMediaVault, raggiunbigile dall'esterno attraverso un sotto-dominio gestito da Nginx Reverse Proxy (container anche lui) che si occupa di criptare la connessione.
|
![]() |
![]() |
![]() |
#35 |
Senior Member
Iscritto dal: Dec 2003
Città: Roma
Messaggi: 615
|
io da tempo uso bitwarden_rs in docker, nessun problema di sorta. è possibile deployare anche in rete privata e obbligo di connessione vpn, mille possibilità diverse, pieno controllo
|
![]() |
![]() |
![]() |
#36 |
Member
Iscritto dal: Aug 2007
Messaggi: 44
|
il titolo dell'articolo e' fuorviante
Il titolo dice una cosa falsa, io uso lastpass da molti anni su diversi notebook e desktop, e continuero' a farlo in modo gratuito. L'unica limitazione e' che non potro' usarlo gratuitamente anche su mobile, cosa che non ho mai fatto ne' mi interessa.
|
![]() |
![]() |
![]() |
#37 |
Member
Iscritto dal: Apr 2015
Messaggi: 122
|
Anche Roboform è una valida alternativa, lo uso da 15 anni circa, e visto i prezzi di Lastpass e 1Password risulta quella meno costosa.
|
![]() |
![]() |
![]() |
#38 | |
Senior Member
Iscritto dal: Dec 2012
Messaggi: 4335
|
Quote:
Secondo, se pensi che il produttore di smartphone possa usare una sorta di keylogger, magari integrato nella googleboard, beh, oltre ad un alto tasso di paranoia, non sarai mai e cmq protetto, neanche quando inserisci le password a manina. Molto più sicuro l'autofill di cui sopra. Ed in ogni caso, Keepass SI, ha una tastiera integrata: K2PA. Quindi Si, VPN con PSW+ Certificato, e Keepass su hosting locale cifrato in AES-256 ed eventuale tastiera K2PA + accesso tramite FTPS con TLS oppure SFTP che è il metodo più sicuro di accedere ai tuoi dati personali. Ci sono 3 livelli di cifratura ed un eventuale keylogger è inutile. auguri a crakkarlo.
__________________
AMD Ryzen 7800X3D - PBO MAX CO(-35/-40) All core | 32GB (2x16GB) G.Skill Trident Z5 Neo 6000MHz @c30 36 36 96(EXPO) | AIO Arctic LF2 420mm | Gigabyte B650 AORUS ELITE AX | AMD Radeon RX 9070 XT Powercolor RedDevil | Corsair 7000D | Seasonic Focus GX 1000 80+Gold | NVMe Lexar NM790 2TB | Samsung Gaming Odyssey G8 OLED 32" 4K Flat (LS32DG800SUXEN) [MY AMD PC - PHOTO] Ultima modifica di Gigibian : 18-02-2021 alle 08:03. |
|
![]() |
![]() |
![]() |
#39 |
Senior Member
Iscritto dal: Jun 2007
Città: Catania
Messaggi: 967
|
Info
Ciao ragazzi ho letto tutte e 4 le pagine dei vostri (ottimi) commenti. Vorrei chiedervi , in concreto, se ci sono alternative valide a LastPass (free) in quanto ho necessità di avere le mie password sempre con me su 2 dispositivi desktop e 3 dispositivi mobile.
Circa 2 anni fa utilizzavo il classico foglio Word ma da quando ho scoperto Lastpass, ora è tutto più immediato con riempimento automatico,plugin su Chrome etc. Grazie a chi mi risponderà buona giornata |
![]() |
![]() |
![]() |
#40 |
Senior Member
Iscritto dal: Aug 2007
Messaggi: 389
|
Confermo.. ho inziato ad usarlo da poco.. multipiattaforma, free e open source..
Interfaccia non proprio immediata.. ma generalmente soddisfatto..
__________________
![]() |
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:55.