LastPass, corretta vulnerabilità critica grazie alle segnalazioni
Le segnalazioni di bug e possibili exploit sono indispensabili per chi gestisce la sicurezza di un software, e LastPass vuole dimostrare la propria gratitudine a chi effettua le segnalazioni con un post ufficiale
di Nino Grasso pubblicata il 29 Luglio 2016, alle 08:01 nel canale Sicurezza
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAd esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.
Quest'ultimo ad esempio può essere raggiunto anche da wan con autenticazione tramite protocollo https con tutti i crismi.
Signori miei, una volta per fare tutto questo serviva una connettività che non esisteva per l'utente domestico (mi riferisco all'era pre-broadband), servivano ip statici (mi riferisco a prima che nascessero i servizi di DNS dinamico) e servivano server always-on (mi riferisco prima che ci fossero single board pc economicissimi e ad assorbimento ridicolo, es tutte le board ARM based in stile Raspberry PI).
Ora non ci sono più scuse, basta una banale installazione di Apache o Nginx, Let's Encrypt e una comunissima ADSL.
Tutto bello e tutto quello che volete.
Ma lastpass, una volta che hai fatto l'account e scaricato l'app (oppure l'estensione su ogni browser che usi) funziona senza configurare nulla.
Ti logghi su PC linux, Tablet android, IOS, windows etc etc e hai tutte le tue password sincronizzate.
Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:
Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!
Infatti ho appena ricevuto questa e-mail di sicurezza da parte di Last Pass:
Mi devo preoccupare???
Per fortuna che avevo attivato l'autenticazione a 2 fattori!
Per scrupolo io cambierei la password.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.
Comunque, l'autenticazione a due fattori è una gran manna dal cielo.
Hai fatto bene ad attivarla.
Ma mi chiedo però chi possa aver pensato di violare il mio account io che sono un pinco pallo qualunque.
A voi è mai successo?
A voi è mai successo?
A me mai.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.
Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.
Però direi di stare tranquillo, se hai impostato la doppia verifica sei quasi in una botte di ferro.
Non è che hai altri dispositivi (tablet o altro) con installato last pass e hai provato ad accedere?
Perché a sto punto, qualcuno aveva i dati del tuo account di last pass, compresa la mail di accesso.
Uso solo il mio PC e il mio telefono. Forse da quando è stato hackerato Last Pass qualche tempo fa ci sarà ancora qualcuno che prova ad accedere a qualche account a caso. Almeno questa è la mia ipotesi.
Comunque oltre ad avere il 2 fattori ho pure una password abbastanza forte che ho cambiato adesso, spero possa bastare.
non mi ricordo cosa ho attivato ma così è.
per la 2FA abbiamo diverse opzioni, personalmente ritengo pericoloso un device che si può collegare a internet da usare come token (cellulare/chiavetta USB); ho preferito la battaglia navale.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".