Usate LastPass? D'ora in poi potrete avere solo un device gratis! Ecco la novità

[Gigibian]

Quote:

Originariamente inviato da insane74

tipo?
di solito 1password e Lastpass sono i più "gettonati" (e dal mese prossimo pure allineati come prezzo annuale visto questo annuncio di Lastpass).

Security issues
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.[30][31]

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[32][33]

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[34] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[35]

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[36]

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[37][38]

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site.[39][40] By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.[41] [42]

[insane74]

Quote:

Originariamente inviato da Gigibian

Security issues
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.[30][31]

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."[32][33]

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[34] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.[35]

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.[36]

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.[37][38]

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site.[39][40] By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.[41] [42]

interessante. come tutti i software ha bug, sia lato client (estensioni browser, app) che lato server.
immagino che nessuno di questi password manager (con un minimo di diffusione = interesse a bucarlo) sia completamente sicuro.
al solito si cerca il "meno peggio".
purtroppo con necessità "cross device" (mobile + desktop) e "cross os" (windows + iOS) la strada più comoda è un password manager.
va trovato quello "con meno problemi possibili".

[marcram]

Quote:

Originariamente inviato da Gigibian

Bitwarden:

- i dati sono storati nella 5-Eyes alliance.
The Five Eyes alliance (FVEY) consists of the 5 parties to the UKUSA Agreement:

US
UK
Canada
Australia
New Zealand

- Open vuol dire velocità di fix ma anche semplicità per gli hacker di trovare delle falle. Più di una volta nella storia (il più famoso ultimamente bug openssh) è stato scoperto che un protocollo o un algoritmo erano bacati da molto tempo, e solo mesi dopo la falla è stata reso pubblico e fixato.

Hosting privato e cifratura AES256, magari doppia, is the way.

Open vuol dire soprattutto sapere cosa viene fatto sotto il cofano, specie quando dai ad altri le tue password.
Che Bitwarden tenga i dati nella 5-Eye Alliance dovrebbe voler dire poco, visto che sono crittografati E2E sul dispositivo.
Certo, hosting privato sarebbe il top, ma non è alla portata di tutti.

Io preferisco ancora KeePass offline e sincronizzazione locale...

[Uncle Scrooge]

Quote:

Originariamente inviato da Gigibian

- Open vuol dire velocità di fix ma anche semplicità per gli hacker di trovare delle falle. Più di una volta nella storia (il più famoso ultimamente bug openssh) è stato scoperto che un protocollo o un algoritmo erano bacati da molto tempo, e solo mesi dopo la falla è stata reso pubblico e fixato.

Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

[insane74]

Quote:

Originariamente inviato da Uncle Scrooge

Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

perché il fatto che sia open non esclude che sul server giri qualcosa di cui tu non sai nulla, vero?
significa solo che puoi controllare (se hai il tempo/le capacità) i sorgenti che pubblicano, ma non sai cosa sta effettivamente girando lato server, quindi...

quanto a closed/open, direi che è un discorso trito e ritrito. sappiamo che più un OS è diffuso più viene attaccato perché c'è più probabilità di fare danno / diffondere il malware/spyware/ransomware di turno.

[Gigibian]

Quote:

Originariamente inviato da marcram

Open vuol dire soprattutto sapere cosa viene fatto sotto il cofano, specie quando dai ad altri le tue password.
Che Bitwarden tenga i dati nella 5-Eye Alliance dovrebbe voler dire poco, visto che sono crittografati E2E sul dispositivo.
Certo, hosting privato sarebbe il top, ma non è alla portata di tutti.

Io preferisco ancora KeePass offline e sincronizzazione locale...

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:

Quote:

https://github.com/bitwarden/desktop/issues/552 98
This is the first one. The Bitwarden desktop app grants full Remote Code Execution ability (RCE) to the Bitwarden developers via an unattended autoupdate mechanism that rewrites the local application code automatically on command from Bitwarden’s developers (usually performed in the case of a new version). This allows the Bitwarden developers, or anyone who can compromise the Bitwarden developers, or anyone who can coerce the Bitwarden developers (legally, like in the case of a demand from a national military, or illegally, like a kidnapper), to push a backdoored update version that would automatically compromise/upload 100% of the keys/passwords of every Bitwarden desktop user.

[insane74]

Quote:

Originariamente inviato da Gigibian

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:

bella questa!

[Gigibian]

Quote:

Originariamente inviato da Uncle Scrooge

Infatti storicamente è pieno di virus che colpiscono i sistemi basati su kernel Linux e quasi nessuno per Windows, giusto?
Se fosse come dici tu, potremmo tutti disattivare Windows Update che tanto è un sistema chiuso e le falle le scoprono solo loro

Come dice marcram qui sopra, open vuol dire sapere come vengono gestite le password memorizzate.
Se lastpass integrasse un algoritmo che manda tutti i tuoi dati di nascosto a chiunque per rivenderli a malintenzionati, lo si scoprirebbe molto più difficilmente.

Ah senti guarda, se vuoi portare la discussione alla becera Win vs Linux, con il sottoscritto che sono 20 anni che usa Linux dappertutto, non ho proprio voglia.

Io ho detto quello che ho detto, non le robe che stai dicendo tu.

Open è open per tutti, tipicamente è indice di buona implementazione, correttezza del codice e review continua.

Ma in ambito security è un arma a doppio taglio delle volte. Basta vedere l'esempio di OpenSSH.:

https://www.bleepingcomputer.com/new...t-two-decades/

Non sto dicendo che i codici "closed" siano meglio, ma dire che "bitwarden e non serve guardare oltre" è una cavolata bella e buona, perchè ha e potenzialmente puo' avere delle magagne come gli altri.

La soluzione migliore rimane sempre l'hosting privato.

[Phoenix Fire]

Quote:

Originariamente inviato da Svelgen

Purtroppo le alternative, non sono multipiattaforma.
Le ho provate un po tutte, ma LastPass è davvero l'unico che ti consente di fare il login-in (con autoriempimento dei campi) con praticamente qualunque browser e con qualunque sistema operativo, device compresi.
Dopodiché, io ho rinunciato ad usarlo perchè è stato oggetto di pesanti attacchi e quindi...preferisco usare il portachiavi Apple, perfettamente sincronizzato e, con quello che ti fanno pagare i device, immagino sia anche un perlo più sicuro. Perderò alcune funzioni quando voglio usare Linux o altri sistemi operativi e vabbè...riempio a mano.

Bitwarden devo dire che funziona decentemente anche su safari su macOS, non hai il menu contestuale, ma l'autocompletamento va abbastanza bene

[marcram]

Quote:

Originariamente inviato da insane74

perché il fatto che sia open non esclude che sul server giri qualcosa di cui tu non sai nulla, vero?
significa solo che puoi controllare (se hai il tempo/le capacità) i sorgenti che pubblicano, ma non sai cosa sta effettivamente girando lato server, quindi...

quanto a closed/open, direi che è un discorso trito e ritrito. sappiamo che più un OS è diffuso più viene attaccato perché c'è più probabilità di fare danno / diffondere il malware/spyware/ransomware di turno.

Il fatto che il client sia open ti dice come funziona il client, e visto che i dati arrivano sul server dopo essere stati crittografati dal client, puoi far girare quello che vuoi sul server, i dati sono comunque al sicuro.

Quote:

Originariamente inviato da Gigibian

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Birwarden ha anche lui le sue belle magagne:

Premetto che non conosco Bitwarden, non lo uso, ne ho solo sentito parlare...
Quella magagna che hai indicato è, diciamo, un problema minore. E' un problema che hanno, in versione più grave, tutti i software closed.
Quindi non può rappresentare un lato negativo dei software open, visto che tutti i closed lo hanno...
Certo, si potrebbe fare meglio, ma gli altri sono peggio...

[DjLode]

Quote:

Originariamente inviato da Svelgen

Purtroppo le alternative, non sono multipiattaforma.
Le ho provate un po tutte, ma LastPass è davvero l'unico che ti consente di fare il login-in (con autoriempimento dei campi) con praticamente qualunque browser e con qualunque sistema operativo, device compresi.

1Password lo promette, io però ho esperienza solo su Mac, iOS ed Android, Safari Chrome e Samsung browser.
Il difetto è che usa l’orrenda forma del canone mensile, lo preferivo quando aveva un costo una tantum e potevo comprarlo dove mi pareva... ma mi ci trovo bene e lo pago volentieri, tutto sommato.

[Uncle Scrooge]

Quote:

Originariamente inviato da Gigibian

Non sto dicendo che i codici "closed" siano meglio, ma dire che "bitwarden e non serve guardare oltre" è una cavolata bella e buona, perchè ha e potenzialmente puo' avere delle magagne come gli altri.

La soluzione migliore rimane sempre l'hosting privato.

Sono perfettamente d'accordo che la suscettibilità agli attacchi, più che dal "closed" vs "open", dipende da quanto è diffuso un prodotto. Perciò non condivido l'affermazione che open sia meno sicuro di closed a prescindere (e comunque anche a parità di diffusione, personalmente reputerei un prodotto open più sicuro di uno closed, ma qua andiamo off topic e siamo nell'ambito delle opinioni personali).

Bitwarden dà la possibilità di sincronizzare i dati su hosting privato invece che sui loro server, quindi è una soluzione valida sia per l'utente che vuole la pappa pronta, sia per lo smanettone diffidente che preferisce sapere dove vengono memorizzati i dati (sebbene siano comunque crittografati).

Keepass probabilmente è altrettanto valido ma offre soltanto la soluzione per smanettoni.

[Nui_Mg]

Quote:

Originariamente inviato da Gigibian

Infatti mi sono fatto una VPN personale con OpenVPN + Keepass installato ovunque.

Esatto, ma il tutto può essere vanificato senza l'uso di una keyboard integrata nel programma opensource di gestione keyx/key, soprattutto quando si è su mobile.
Non ho guardato bene per ipod ma mi sembra che non ci sia niente opensource con keyboard integrata.

[Thormir84]

Io ho un container con Bitwarden (parliamo di Docker) che gira su un NAS "artigianale" basato su OpenMediaVault, raggiunbigile dall'esterno attraverso un sotto-dominio gestito da Nginx Reverse Proxy (container anche lui) che si occupa di criptare la connessione.

[gerasimone]

io da tempo uso bitwarden_rs in docker, nessun problema di sorta. è possibile deployare anche in rete privata e obbligo di connessione vpn, mille possibilità diverse, pieno controllo

[robegue]

Il titolo dice una cosa falsa, io uso lastpass da molti anni su diversi notebook e desktop, e continuero' a farlo in modo gratuito. L'unica limitazione e' che non potro' usarlo gratuitamente anche su mobile, cosa che non ho mai fatto ne' mi interessa.

[retuor]

Anche Roboform è una valida alternativa, lo uso da 15 anni circa, e visto i prezzi di Lastpass e 1Password risulta quella meno costosa.

[Gigibian]

Quote:

Originariamente inviato da Nui_Mg

Esatto, ma il tutto può essere vanificato senza l'uso di una keyboard integrata nel programma opensource di gestione keyx/key, soprattutto quando si è su mobile.
Non ho guardato bene per ipod ma mi sembra che non ci sia niente opensource con keyboard integrata.

Prima di tutto quando usi un tool del genere vai di autocompletamento. La keyboard non la usi mai.

Secondo, se pensi che il produttore di smartphone possa usare una sorta di keylogger, magari integrato nella googleboard, beh, oltre ad un alto tasso di paranoia, non sarai mai e cmq protetto, neanche quando inserisci le password a manina. Molto più sicuro l'autofill di cui sopra.
Ed in ogni caso, Keepass SI, ha una tastiera integrata: K2PA.

Quindi Si, VPN con PSW+ Certificato, e Keepass su hosting locale cifrato in AES-256 ed eventuale tastiera K2PA + accesso tramite FTPS con TLS oppure SFTP che è il metodo più sicuro di accedere ai tuoi dati personali.

Ci sono 3 livelli di cifratura ed un eventuale keylogger è inutile.

auguri a crakkarlo.

[BaStArD91]

Ciao ragazzi ho letto tutte e 4 le pagine dei vostri (ottimi) commenti. Vorrei chiedervi , in concreto, se ci sono alternative valide a LastPass (free) in quanto ho necessità di avere le mie password sempre con me su 2 dispositivi desktop e 3 dispositivi mobile.
Circa 2 anni fa utilizzavo il classico foglio Word ma da quando ho scoperto Lastpass, ora è tutto più immediato con riempimento automatico,plugin su Chrome etc.

Grazie a chi mi risponderà buona giornata

[tonycalbas]

Quote:

Originariamente inviato da FrozeN_

Bitwarden, non occorre guardare oltre

Confermo.. ho inziato ad usarlo da poco.. multipiattaforma, free e open source..

Interfaccia non proprio immediata.. ma generalmente soddisfatto..