lastpass e consigli

[Jammed_Death]

Ciao, non ho trovato un thread ufficiale, quindi chiedo qua...viste le ultime violazioni di sicurezza e i vari pacchi di password che si stanno diffondendo online finalmente mi sono deciso ad affidarmi a un gestore di password, ho scelto lastpass perchè anche la versione free ha tutto quello che mi serve...

l'ho avviato, gli ho fatto fare le sue cose e poi ho lanciato il test di sicurezza e i voti sono un po bassi...alcuni siti non li uso nemmeno più quindi posso eliminarli dall'elenco o converrebbe cancellare l'account completamente dove posso?

Lastpass ha un'opzione "update" nei vari rischi ma ho visto che anche dopo averla lanciata continuano a uscire gli stessi siti con problemi, come mai?

Qualche altro consiglio per utilizzarlo al meglio?
Grazie

[ase]

Il miglior consiglio che ti posso dare è lasciarlo perdere e passare a Bitwarden che è open source ed ha superato già un paio di audit di sicurezza.

[prandello]

LastPass ? Bitwarden ? ma proprio no grazie, ma perché mai dovrei affidare le mie password ad un servizio web hostato altrove? a parte che il concetto dell'autofill è proprio sbagliato di per sè, vedi critiche mosse anche a Bitwarden negli audit. Al limite altro vault open source con file in locale, tipo KeePass Password Safe.

[ase]

con bitwarden ti puoi anche fare il self-hosting se vuoi.

[prandello]

Non vedo perché dover tirare su apposta un server Bitwarden, con risorse hardware, docker e tutto quanto (compreso ID/key univoco che hanno comunque loro...) quando basta avere il file di KeePass su un proprio server SFTP (SSH file transfer, ad es. proprio Nas o RasPi) se proprio serve la sincronizzazione del database in mobilità, con meno risorse impegnate e meno dubbi. Altrimenti, direttamente il file .kdbx in locale sul proprio PC/smartphone/tablet e via.

[AleROMA79]

Scusate ma perché dare le password a questi programmi?
Non è più sicuro salvare la password su browser magari solo quelle meno importanti.
Oppure se si vogliono salvare le password importanti è bene che abbiamo la verifica in due passaggi.

Se ad esempio utilizzi Google Chrome Per entrare in possesso delle password devono rintracciare la tua password dell’account e anche se fosse non hanno la password della verifica in due passaggi che arriva sul cellulare.
Non è abbastanza sicuro?

Grazie saluti

[tallines]

Quote:

Originariamente inviato da Jammed_Death

Ciao, non ho trovato un thread ufficiale, quindi chiedo qua...viste le ultime violazioni di sicurezza e i vari pacchi di password che si stanno diffondendo online finalmente mi sono deciso ad affidarmi a un gestore di password, ho scelto lastpass perchè anche la versione free ha tutto quello che mi serve...

l'ho avviato, gli ho fatto fare le sue cose e poi ho lanciato il test di sicurezza e i voti sono un po bassi...alcuni siti non li uso nemmeno più quindi posso eliminarli dall'elenco o converrebbe cancellare l'account completamente dove posso?

Lastpass ha un'opzione "update" nei vari rischi ma ho visto che anche dopo averla lanciata continuano a uscire gli stessi siti con problemi, come mai?

Qualche altro consiglio per utilizzarlo al meglio?
Grazie

Io le password le ho scritte in un foglio A4..............è cosi semplice

[AleROMA79]

Alcuni le scrivono su word o excel
Ma non credo sia sicuro anzi forse è peggio di salvarle sul browser

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da AleROMA79

Scusate ma perché dare le password a questi programmi?
Non è più sicuro salvare la password su browser magari solo quelle meno importanti.

Perché un virus o un altro tipo di malware progettato per carpirti le password dei browser, un sito malevole che sfrutta qualche bug del browser ancora zero day, ma anche un'altra persona che mette la mani sul tuo computer, apre il browser, va nelle impostazioni sezione credenziali e ciao ciao sicurezza password.

Quote:

Oppure se si vogliono salvare le password importanti è bene che abbiamo la verifica in due passaggi.

Ovviamente questa è una buona soluzione, ma doppio fattore significa che ci sono due livelli di difficoltà da superare. Se uno lo togli resta solo l'altro. E comunque non tutti i servizi ti offrono il doppio fattore.

[AleROMA79]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Perché un virus o un altro tipo di malware progettato per carpirti le password dei browser, un sito malevole che sfrutta qualche bug del browser ancora zero day, ma anche un'altra persona che mette la mani sul tuo computer, apre il browser, va nelle impostazioni sezione credenziali e ciao ciao sicurezza password.



Ovviamente questa è una buona soluzione, ma doppio fattore significa che ci sono due livelli di difficoltà da superare. Se uno lo togli resta solo l'altro. E comunque non tutti i servizi ti offrono il doppio fattore.

Il mio computer non lo usa nessuno è protetto da password questa credo sia la prima cosa.
Inoltre sul browser salvo le password ma come dicevo per quelle importanti arriva sms sul cellulare quindi anche se riesci a bypassare la sicurezza di Google ed entrare in possesso delle password manca l’ultimo step con sms.

D’altronde quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password.
Quindi un gestore password Non so quanto sia più affidabile di google Chrome.

[Jammed_Death]

alla fine tutte le cose importanti sono protette da verifica in 2 passaggi. Last pass o il browser o chi per esso viene usato come "memorizzatore"...non è che posso ricordarmi le pass di tutti i siti ridicoli che uso, ma è ovvio che per l'accesso alla banca uso una 2FA

la cosa più pallosa è che anche disabilitando l'opzione di chrome e edge per utilizzare solo lastpass, si continuano a sovrapporre quando cerco di inserire le password

[AleROMA79]

Ma secondo te quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password in chiaro.

Quindi un gestore password Non so quanto sia più affidabile di google Chrome.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da AleROMA79

Ma secondo te quando navighi un malware o un virus potrebbe anche prendere le password dal gestore password che in quel momento è sbloccato (ad esempio password managar Kaspersky) lo sblocchi ad inizio giornata e poi rimane sbloccato e aperto con tutte le password in chiaro.

E si passa agli errori dell'utente contro cui non c'è nulla da poter fare, loro vincono sempre. Perché lo sblocchi la mattina e non lo chiudi più? Inserisci tre volte al minuto qualche password? Apri il programma, copi-incolli le password sulla pagina web e poi chiudi il programma.

Quote:

Quindi un gestore password Non so quanto sia più affidabile di google Chrome.

Lo è perché l'eventuale scrittore di malware non sa che gestore di password usi, ne esistono diversi, mentre i browser sono gira e rigira due-tre. Basta predisporre due tre metodi diversi e si ritrova la rete piena di pesciolini. Poi chiaramente come scritto sopra, contro gli errori degli utenti non c'è software che tenga.

[AleROMA79]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

E si passa agli errori dell'utente contro cui non c'è nulla da poter fare, loro vincono sempre. Perché lo sblocchi la mattina e non lo chiudi più? Inserisci tre volte al minuto qualche password? Apri il programma, copi-incolli le password sulla pagina web e poi chiudi il programma.



Lo è perché l'eventuale scrittore di malware non sa che gestore di password usi, ne esistono diversi, mentre i browser sono gira e rigira due-tre. Basta predisporre due tre metodi diversi e si ritrova la rete piena di pesciolini. Poi chiaramente come scritto sopra, contro gli errori degli utenti non c'è software che tenga.

Perché la master password è bella complessa non puoi metterla ogni 10 minuti che ti serve accedere ad un sito diverso
In genere si mette al primo accesso e poi si lascia aperto l’archivio (si chiude da solo se non si usa il pc per un ora)
Mettere là master password ogni volta che si deve accedere a qualsiasi sito diventa pesante

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da AleROMA79

Perché la master password è bella complessa non puoi metterla ogni 10 minuti che ti serve accedere ad un sito diverso
In genere si mette al primo accesso e poi si lascia aperto l’archivio (si chiude da solo se non si usa il pc per un ora)
Mettere là master password ogni volta che si deve accedere a qualsiasi sito diventa pesante

Pazienza, non è che se un sistema non fa per te o non ti piace è lui ad essere sbagliato.

[AleROMA79]

No certo
Intendevo che però è fastidioso

Ma perché quando le password sono decriptate sono in chiaro per tutti?
A questo punto è meglio averle sul browser?

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da AleROMA79

No certo
Intendevo che però è fastidioso

Ma perché quando le password sono decriptate sono in chiaro per tutti?

La password non sono criptate, è il database del programma di gestione delle password che è criptato. Quando sblocchi il database inserendo la password generale, le password le puoi vedere e copio-incollare tu e solo tu stesso. Chiuso il programma non lo puoi fare più.

Quote:

A questo punto è meglio averle sul browser?

E vabbé, sì OK, hai ragione tu. Mettile sul browser e non farti altre domande o problemi

[AleROMA79]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

La password non sono criptate, è il database del programma di gestione delle password che è criptato. Quando sblocchi il database inserendo la password generale, le password le puoi vedere e copio-incollare tu e solo tu stesso. Chiuso il programma non lo puoi fare più.




E vabbé, sì OK, hai ragione tu. Mettile sul browser e non farti altre domande o problemi

Ma quando il programma si chiude le password rimangono visibili
Là master password per decriptare l’archivio viene messa solo ad inizio giornata e poi per tutto il giorno l’archivio è aperto.
Per questo ti dicevo a questo punto non è più sicuro il browser??

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da AleROMA79

Ma quando il programma si chiude le password rimangono visibili

No, quando il programma viene chiuso le password non rimangono visibili. E vorrei pure vedere il senso...

[AleROMA79]

Ti ripeto che Quando lo chiudi l’archivio rimane comunque sbloccato
Altrimenti per chiuderlo e mettere le password al sicuro dovresti ogni volta chiuderlo e riaprirlo con là master password

Là master password viene messa ad inizio giornata e poi il programma rimane aperto anche se lo chiudi l’archivio rimane decriptato in verde.