1Password smentisce LastPass: "100 dollari per violare il vault"

1Password smentisce LastPass: "100 dollari per violare il vault"

Per violare una password utente sarebbero necessari molto meno dei "milioni di anni" citati da LastPass: 1Password lo spiega con un esempio

di pubblicata il , alle 13:31 nel canale Sicurezza
 

LastPass continua ad essere bersagliata dalle critiche dopo l'ultimo incidente di sicurezza rivelato la scorsa settimana. Dopo la condanna dei ricercatori di sicurezza sulla superficialità con cui la vicenda è stata gestita, arriva ora la punzecchiatura di un concorrente, 1Password, che si sofferma in particolare sull'aspetto della sicurezza delle password.

LastPass aveva affermato che occorrerebbero milioni di anni per decifrare la master password di un utente, ma in realtà secondo 1Password il processo richiederebbe molto meno tempo e con un costo relativamente irrisorio.

Jeffrey Goldberg, principale architetto della sicurezza di 1Password, spiega il concetto: "Se si considerano tutte le possibili password di 12 caratteri ci sono circa 272 possibilità  e ci vorrebbero diversi milioni di anni per provarle tutte. Ma chi prova a violare le password create dall'uomo non lo fa in questo modo. I sistemi di cracking proveranno cose come "Fido8my2Sox!" e "2b||!2b.titq" ben prima di tentare password generate da una macchina come ad esempio zm-@MvY7*7eL. Le password create dagli esseri umani possono essere violate anche se soddisfano vari requisiti di complessità".

Goldberg parte quindi dall'assunto che la maggior parte delle password create dagli utenti può essere violata in meno di 10 miliardi di tentativi (parliamo di un ordine di grandezza di circa 233) tramite un processo a basso costo. Nel caso in cui la password sia più breve e di bassa complessità, la sua violazione è ancor più semplice. Per Goldberg non ha senso citare il tempo necessario a provare tutte le 272 possibilità, in quanto le password create dall'uomo, pur complesse, rientrano facilmente in un sottodominio molto più piccolo.

Goldberg spiega poi che tramite una competizione di hacking è stato stimato che il costo della violazione di password codificate in maniera molto simile a quanto fatto da LastPass ammonta a 6 dollari ogni 232 tentativi. 100 dollari consentirebbero quindi di supportare 236 tentativi, e cioè circa 68 miliardi di password diverse, permettendo quindi di indovinare con un'ampia probabilità una password creata da un utente.

Il post si conclude, com'è lecito attendersi, con una spiegazione di come il sistema master password - secret key utilizzato da 1Password sia di gran lunga più sicuro rispetto all'approccio utilizzato da LastPass.

I migliori sconti su Amazon oggi

ECOVACS DEEBOT T50 PRO OMNI Gen2 Robot Aspirapolvere Lavapavimenti, (Migliorato da T30 PRO), 21000 Pa, Spazzola Laterale Estensibile e Lavapavimenti, Aggiunta Automatica Soluzione Detergente

599.00 Compra ora

Amazfit Bip 5, 46 mm, Smartwatch, Schermo grande, chiamate Bluetooth, Alexa, GPS, durata della batteria di 10 giorni, fitness tracker con frequenza cardiaca, monitoraggio dell'ossigeno nel sangue

44.38 Compra ora
-27%

TCL 55T6C 55'' QLED TV 4K HDR, FireTV (SmartTV con Dolby Vision e Atmos, HDR10+, Premi e Chiedi ad Alexa)

449.00 329.90 Compra ora
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD30 Dicembre 2022, 14:59 #1
Beh quello che dicono e' vero perche' la maggioranza delle persone usa quel metodo per creare passwords per ricordarsele, se invece ad esempio si usa un metodo sempre alfa numerico con caratteri speciali usando una mini frase (mini che questo caso si hanno solo 12 caratteri, belli pochi) impossibili da predire allora non hanno ragione, dipende.

Comunque visto che tutto quello che e' online e' per sua natura esposto ad attacchi e a maggior ragione se si sa che quei database contengono informazioni importanti, una grande ragione in piu' per non usare certi servizi, quello che e' offline e scollegato non puo' essere attaccato.
Lain8430 Dicembre 2022, 15:30 #2
Password gestite da KeePas a 32 caratteri alfanumerici e con caratteri speciali....
Non immagino quanto tempo ci voglia a craccare una sola delle password (a meno di avere il DB + la master password ovvio...)
frankie30 Dicembre 2022, 15:37 #3
O$t€ c0m€ € 1l v1n0?
Opteranium30 Dicembre 2022, 16:47 #4
Originariamente inviato da: frankie
O$t€ c0m€ € 1l v1n0?

Unax30 Dicembre 2022, 16:52 #5
Originariamente inviato da: frankie
O$t€ c0m€ € 1l v1n0?


PermEl'€B0noDisyCurO!
Hiei360031 Dicembre 2022, 00:22 #6
Io come master password uso una cosa del genere:
nAv5o3p11#z1Hd686maEeAsrTyxf*DLqF3cMjq1IcwjRv*yMJzn8q2@bjV4S1zF0XIGi$VwzUFl!LoygevCZmefnpHawK2CRKHl8%d5c8A1g7F1!M5JJRsBWy@sMuFS7

(128 caratteri)

Buona fortuna
fabius2131 Dicembre 2022, 08:48 #7
Ma un servizio simile in lan esiste?
marcram31 Dicembre 2022, 10:30 #8
Originariamente inviato da: fabius21
Ma un servizio simile in lan esiste?

Intendi per avere le password disponibili su diversi dispositivi della stessa rete?
Usi un gestore offline (tipo Keepass) e sincronizzi il database tra i dispositivi (ad esempio con Syncthing)...
destroyer8531 Dicembre 2022, 13:22 #9
Originariamente inviato da: Hiei3600
Io come master password uso una cosa del genere:
nAv5o3p11#z1Hd686maEeAsrTyxf*DLqF3cMjq1IcwjRv*yMJzn8q2@bjV4S1zF0XIGi$VwzUFl!LoygevCZmefnpHawK2CRKHl8%d5c8A1g7F1!M5JJRsBWy@sMuFS7

(128 caratteri)

Buona fortuna


Peccato che l'hash generato da questa password sia comunque solo:
8fa2d2f9a74fb1a8e0ada03ed2b3cfae756d968bfe3652bb5f2a3c786c9e49c7
Per cui dei tuoi 128 caratteri lastpass non se ne fa una pippa.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^