LastPass, corretta vulnerabilità critica grazie alle segnalazioni

LastPass, corretta vulnerabilità critica grazie alle segnalazioni

Le segnalazioni di bug e possibili exploit sono indispensabili per chi gestisce la sicurezza di un software, e LastPass vuole dimostrare la propria gratitudine a chi effettua le segnalazioni con un post ufficiale

di pubblicata il , alle 08:01 nel canale Sicurezza
 
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Tasslehoff30 Luglio 2016, 18:10 #11
Originariamente inviato da: Emin001
Resta con lastpass perché non è user friendly come speri. Il database [U]devi renderlo[/U] sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.
Ti sbagli, di default puoi usare non solo share di rete ed ftp (ovviamente sconsigliato se non in rete locale) ma anche Webdav.
Quest'ultimo ad esempio può essere raggiunto anche da wan con autenticazione tramite protocollo https con tutti i crismi.

Signori miei, una volta per fare tutto questo serviva una connettività che non esisteva per l'utente domestico (mi riferisco all'era pre-broadband), servivano ip statici (mi riferisco a prima che nascessero i servizi di DNS dinamico) e servivano server always-on (mi riferisco prima che ci fossero single board pc economicissimi e ad assorbimento ridicolo, es tutte le board ARM based in stile Raspberry PI).
Ora non ci sono più scuse, basta una banale installazione di Apache o Nginx, Let's Encrypt e una comunissima ADSL.
Emin00130 Luglio 2016, 21:53 #12
Mi riferivo a dropbox&co.(quelli che non supportano webdav). Se non erro, bisogna passare dal client o dal plugin per salvare il database.
Persilù31 Luglio 2016, 11:19 #13
Si ok.
Tutto bello e tutto quello che volete.
Ma lastpass, una volta che hai fatto l'account e scaricato l'app (oppure l'estensione su ogni browser che usi) funziona senza configurare nulla.
Ti logghi su PC linux, Tablet android, IOS, windows etc etc e hai tutte le tue password sincronizzate.
Syk31 Luglio 2016, 16:35 #14
da quando hanno inserito la battaglia navale come sui conti correnti che scade dopo 30 giorni e i dispositivi whitelistati non mi sono più interessato a keepass visto che se non sto attento rischio di non entrare più dentro al mio lastpass
antonio79ita11 Gennaio 2017, 10:48 #15
Toc Toc! Sembra che oggi qualcuno abbia bussato al mio acount di LastPass.

Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:

E' stato fatto un tentativo di accesso al tuo conto da un dispositivo mobile che non è abilitato.


Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!
bogdaneg11 Gennaio 2017, 10:57 #16
Originariamente inviato da: antonio79ita
Toc Toc! Sembra che oggi qualcuno abbia bussato al mio acount di LastPass.

Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:
Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!


Per scrupolo io cambierei la password.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.
antonio79ita11 Gennaio 2017, 11:01 #17
Originariamente inviato da: bogdaneg
Per scrupolo io cambierei la password.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.


Ma mi chiedo però chi possa aver pensato di violare il mio account io che sono un pinco pallo qualunque.
A voi è mai successo?
bogdaneg11 Gennaio 2017, 11:20 #18
Originariamente inviato da: antonio79ita
Ma mi chiedo però chi possa aver pensato di violare il mio account io che sono un pinco pallo qualunque.
A voi è mai successo?


A me mai.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.

Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.
antonio79ita11 Gennaio 2017, 11:44 #19
Originariamente inviato da: bogdaneg
A me mai.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.

Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.


Uso solo il mio PC e il mio telefono. Forse da quando è stato hackerato Last Pass qualche tempo fa ci sarà ancora qualcuno che prova ad accedere a qualche account a caso. Almeno questa è la mia ipotesi.

Comunque oltre ad avere il 2 fattori ho pure una password abbastanza forte che ho cambiato adesso, spero possa bastare.
Syk11 Gennaio 2017, 13:26 #20
se uno va nel sito di lastpass con la mia email e la password giusta gli dice che l'account è inesistente.
non mi ricordo cosa ho attivato ma così è.

per la 2FA abbiamo diverse opzioni, personalmente ritengo pericoloso un device che si può collegare a internet da usare come token (cellulare/chiavetta USB); ho preferito la battaglia navale.
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^