LastPass, corretta vulnerabilità critica grazie alle segnalazioni

LastPass, corretta vulnerabilità critica grazie alle segnalazioni

Le segnalazioni di bug e possibili exploit sono indispensabili per chi gestisce la sicurezza di un software, e LastPass vuole dimostrare la propria gratitudine a chi effettua le segnalazioni con un post ufficiale

di pubblicata il , alle 08:01 nel canale Sicurezza
 

La caccia al bug consente di risolvere problematiche che a volte rimangono persistenti sui software anche per anni, a volte anche per decenni. È per questo che le società sono disposte a pagare anche decine di migliaia di dollari per la ricerca di singoli exploit, e parecchi esperti e firme del settore impiegano tempo e risorse per riuscire a dare una mano. Più è sensibile la vulnerabilità e più, di solito, vengono pagati i ricercatori che sono stati in grado di scoprirla prima degli altri.

Un esempio è quello riportato recentemente da LastPass, il servizio di gestione delle password, che ha di recente commentato un paio di bug separati che aprivano il servizio ad eventuali exploit via phishing. Uno degli attacchi è stato scoperto dal ricercatore di sicurezza Mathias Karlsson, che ha trovato un bug che può essere sfruttato per far rivelare al servizio le password usate sui vari siti. Un utente poteva cliccare su un URL fantoccio facendo credere al browser che fosse (ad esempio) Twitter, consentendo al sito malevolo di conoscere la password utilizzata sulla piattaforma di microblogging.

Il bug è stato presentato alla società oltre un anno fa, e Karlsson ha ammesso che per la sua soluzione il team di LastPass ha impiegato meno di un giorno, premiando il ricercatore con una taglia da 1000 dollari. Un altro caso è però ben più recente: a scoprirlo è stato Travis Ormandy, del Google Security Team, sull'estensione specifica per il browser Firefox. Anche in questo caso il team alla base del gestore di password ha impiegato circa un giorno per sistemarlo: rivelato alla compagnia il 26 luglio, già il 27 era disponibile un fix. Trovate un approfondimento a questo indirizzo.

Visti i report ricevuti negli ultimi giorni, LastPass ha sottolineato 5 consigli sull'uso dell'estensione, che traduciamo liberamente qui di seguito:

  • Attenti agli attacchi di phishing. Non cliccate su link che provengono da utenti che non conoscete, o che non provengono da contatti o aziende affidabili
  • Usate una password unica e diversa per ogni account online
  • Su LastPass usate una master password forte e sicura che non avete mai condiviso con nessuno, nemmeno con noi
  • Attivate l'autenticazione a due passaggi su LastPass e sugli altri servizi come banche, e-mail, Twitter, Facebook.
  • Mantenete il vostro computer pulito eseguendo un antivirus e aggiornando costantemente il vostro software.

 

 or that seem out of character from your trusted contacts and companies.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
matteop329 Luglio 2016, 10:27 #1
KeePassX mi sembra la soluzione più convincente.
treno229 Luglio 2016, 13:54 #2
KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.
Persilù29 Luglio 2016, 13:56 #3
Originariamente inviato da: treno2
KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.



Quoto!
YetAnotherNewBie29 Luglio 2016, 14:40 #4
KeePassX è il capostipite di una famiglia di *programmi* disponibile su tutte le piattaforme:

KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

In comune, riconoscono lo stesso formato del database delle chiavi.
Salvando questo file sul vostro servizio cloud preferito, avrete le vostre chiavi disponibili sui dispositivi sincronizzati.

Io uso DropBox e ho le mie chiavi disponibili sul notebook Windows, iMac, iPad, smartphone Android e mini pc Linux.
Emin00129 Luglio 2016, 17:32 #5
Originariamente inviato da: treno2
KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate PAGANDO $12 ANNUI)
- non è detto che sia più sicuro (magari lo è, magari no).


Il testo in grassetto è da arrampicata sugli specchi di proporzioni bibliche. Poteva anche passare ma come pro/contro in una comparativa è aria fritta perché può essere applicato anche alla controparte. In altre parole: posa la calzamaglia da spidertroll.


Il testo tra parentesi l'ho fixato, questa funzionalità "Sincronizzazione illimitata di tutti i dispositivi mobili e desktop" bisogna pagarla(poco), di gratis c'è solamente questa "Backup e sincronizzazione automatica del primo dispositivo". Quindi se non ho capito male, solo il primo dispositivo può leggere e scrivere il database in cloud, i restanti dispositivi possono solo leggere. A pagamento invece tutti i dispositivi possono leggere e scrivere il database.

Comunque sono dei geni del marketing, scrivere in primo piano "L'inizio è gratuito, rapido e semplice." Come dire: preparati che c'è da pagare....
Guardate che l'utente non fa i salti di gioia e non dirà "Evvai, finalmente metto mano al portafoglio!". Se già mettete le mani avanti aspettate un momento che io metto i piedi dietro(filo via a velocità smodata).


Originariamente inviato da: treno2
- dal punto di vista delle funzionalità non è paragonabile a Lastpass
ha proporzionalmente minori funzionalità.


http://keepass.info/plugins.html bastano? Attenzione: i plugin potrebbero essere insicuri(magari lo sono, magari no).

Diciamo che lastpass ha preso il necessario e lo ha confezionato meglio.
Persilù29 Luglio 2016, 18:17 #6
Originariamente inviato da: YetAnotherNewBie
KeePassX è il capostipite di una famiglia di *programmi* disponibile su tutte le piattaforme:

KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

In comune, riconoscono lo stesso formato del database delle chiavi.
Salvando questo file sul vostro servizio cloud preferito, avrete le vostre chiavi disponibili sui dispositivi sincronizzati.

Io uso DropBox e ho le mie chiavi disponibili sul notebook Windows, iMac, iPad, smartphone Android e mini pc Linux.


Ora è un po che non ci guardo.
Ma fino a poco tempo fa, la sincronizzazione non era cosi user friendly come la dipingi.
Per questo motivo sono passato a LastPass.
Però mi hai messo curiosità, quindi nei prossimi giorni riprendo in mano keepass e vedo se hanno fatto passi avanti.
Emin00129 Luglio 2016, 20:26 #7
Resta con lastpass perché non è user friendly come speri. Il database [U]devi renderlo[/U] sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.
matteop329 Luglio 2016, 21:36 #8
Originariamente inviato da: treno2
KeePassX è sicuramente un buon prodotto ma:
- dal punto di vista delle funzionalità non è paragonabile a Lastpass (che consente di avere a disposizione le proprie password su ogni device, sempre aggiornate)
- non è detto che sia più sicuro (magari lo è, magari no).

Certamente non essendo un prodotto in cloud KeePassX ha un'impronta di attacco decisamente minore di Lastpass ma, appunto, ha proporzionalmente minori funzionalità.

KeePassX funziona completamente offline (l'utente può decidere se e in quale spazio cloud privato tenere sincronizzato il db), ha una solida crittografia del db delle password ed è completamente open source. Da un punto di vista di sicurezza mi sembra il più convincente.
Per esempio a me non piace avere il db in cloud, così lo tengo sul mio smartphone (con backup di sicurezza su una chiavetta USB), mi è sufficiente collegarlo ai miei pc per accedere al db.
Io gli ho affidato la generazione di quasi tutte le mie password, in modo che siano molto resistenti e, soprattutto, tutte diverse, quindi ho validissimi motivi per preoccuparmi della sicurezza del mio db.

Originariamente inviato da: YetAnotherNewBie
KeePass --> Windows
KeePassX --> Linux e Os X
MiniKeePass --> iOs
KeePassDroid --> Android

KeePassX è disponibile anche per Windows: https://www.keepassx.org/downloads
Persilù30 Luglio 2016, 09:33 #9
Originariamente inviato da: Emin001
Resta con lastpass perché non è user friendly come speri. Il database [U]devi renderlo[/U] sincronizzabile tramite plugin o tramite l'app/programma del servizio cloud prescelto. Di default non ci sono strumenti per farlo, sei tu che devi scegliere la via che più ti aggrada. Era così prima, è così adesso.

Ad esempio il database lo sincronizzo in automatico solo via ftp nella mia lan, online non c'è nulla.


Come immaginavo appunto.
E' rimasto tutto come prima.
YetAnotherNewBie30 Luglio 2016, 11:22 #10
Originariamente inviato da: Persilù
(...) fino a poco tempo fa, la sincronizzazione non era cosi user friendly come la dipingi.

Se hai già delle cartelle sincronizzate tra i tuoi dispositivi con un servizio cloud, non devi installare niente più del programma stesso.
Metti il database delle chiavi in una di queste cartelle, lanci il programma in uno dei tuoi dispositivi e, quando ti chiede il database, ne inserisci il path.
Il programma tiene memoria del path tra una sessione e l'altra, quindi non devi re-inserirlo ogni volta, a meno che non usi più di un database.

Effettivamente, nel caso di iOS, la cosa è un po' più ostica: io devo copiare il database nella sandox di MiniKeePass in locale mediante iTunes.

Se invece il problema è di non lasciare il database sul cloud, ci sono altri metodi come quello esposto da Emin001.
Però anche LastPass salva nel cloud...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^