Ho installato l'estensione per Chrome.
Secondo te/voi se utilizzo una master password con doppio accesso posso permettermi di non mettere alcun timeout alla cassaforte? Cioè è noiosissimo dover ogni volta copiare e incollare la super password per usare l'estensione....
Insomma, il mio portatile resta semore a casa con me, nessuno lo tocca a parte me, con il doppio accesso posso permettermi di non mettere il timeout, giusto? 
Casseforti di LastPass sottratte nel recente data breach
[cancellato]
Tomsel82 password a 60 caratteri
ostregheta! (cit.) 
Ok, mo' è un pelo troppo eh, anche perché ti voglio vedere scrivere tre versi di un canto della divina commedia ogni volta che devi sbloccare la cassaforte 
e oltre un certo limite (soggettivo) avere passphrase più lunghe non porta a sensibili miglioramenti di entropia perché per poterle memorizzare si è costretti a scegliere "token" o metodi più semplici di caratteri a caso.
[cancellato] ok grazie forse un 32 caratteri è più pratico....e veloce....
Due domandine cosa ne pensate dei generatori di password che si trovano in giro anche tramite app su smartphone? Mi sembrano pratici e non ricorrenti le password che danno...
Del servizio offerto da Microsoft di eliminare la password cosa ne pensate...sembrerebbe più sicuro...stavo pensando di usarlo su dei miei account....
[cancellato]
Tomsel82 cosa ne pensate dei generatori di password che si trovano in giro anche tramite app su smartphone? Mi sembrano pratici e non ricorrenti le password che danno...
Sì essenzialmente sono dei generatori casuali, si potrebbe discutere su come generino l'entropia su cui basano la scelta dei caratteri ma su stringhe essenzialmente ridotte (15-20 caratteri) e usate in momenti non prevedibili non pone un problema rilevante di predicibilità.
Tomsel82 Del servizio offerto da Microsoft di eliminare la password cosa ne pensate...sembrerebbe più sicuro...stavo pensando di usarlo su dei miei account....
Dipende da cosa intendi. Di sistemi passwordless ne esistono diversi, dai WebAuthn basati su FIDO2 che richiedono token hardware o che usano chip crittografici/lettori di impronte (stile touchid di Apple), ai certificati installati sulla macchina...
Personalmente, ritengo che si stia solo spostando il problema, invece che basarsi su "ciò che sai" chiedono "ciò che hai", e a quel punto è fondamentale l'implementazione hardware e soprattutto la protezione dei dispositivi fisici (se ti fregano il PC o la chiavetta fido sei fregato). Vedremo come si evolverà la cosa nei prossimi anni, ma credo che la cara e vecchia password resterà con noi per tanto tanto tempo 
[cancellato] intendevo il sistema che usa Microsoft con solo l'autenticazione a due fattori tramite SMS o codice fornito dall'authenticator ..dicono che è più sicuro in quanto non ci sono password da craccare o da rubare....
Avevo letto questo articolo....https://www.dday.it/redazione/40586/accesso-account-microsoft-senza-password
23 giorni dopo
LucaTheHacker se l'utente è scemo, non c'è sicurezza che tenga
Concordo, un po' lo stesso discorso che si fa anche per gli AV: se vuoi che funzionino, devi essere te il primo a fare attenzione a dove e come navighi
LucaTheHacker Verissimo, ma ciò non toglie la serietà pari a zero di un gestore di password che ha di default una sola iterazione e campi email e URL non crittografati, mi auguro che più gente possibile scappi da LastPass e vada verso 1Password oppure Bitwarden.
Io ho già fatto lo switch, e ho approfittato dell'offerta in corso, ottenendo uno sconto quasi totale sul canone annuale, dietro presentazione della ricevuta del rinnovo dell'abbonamento LastPass fatta a fine Novembre.
Mugna Anche io sono passato recentemente a 1Password ma purtroppo avevo Bitwarden versione free, è valido solo per il primo anno giusto?
Michele144 A quanto mi risulta sì, è uno sconto che si applica al primo anno.
ale_prince io sono corso ai ripari passando a 1Password + YubiKey.
Se presenti l'ultima fattura LastPass ti applicano il 50% di sconto per 12 mesi.
Cr4z33 Lo sconto è proporzionale a quanto è recente la sottoscrizione di LastPass, la mia era di fine Novembre, abbonamento fatto a 1Password due settimane fa con sconto del 90% circa.
La cosa triste è che io sono passato da 1Passord a LastPass qualche anno fa, malvoluto non è mai troppo.....
Quale modello di Yubikey usi?
un mese dopo
Aggiornamento da LastPass. Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file multimediali, installato malware sul computer di un dipendente e infine letto la password della cassaforte LastPass per estrarre la chiave di cifratura dei backup: https://support.lastpass.com/help/incident-2-additional-details-of-the-attack.
This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault
[cancellato]
Marco25 Gli hacker avrebbero sfruttato una vulnerabilità in un software di riproduzione file
Gli hacker hanno sfruttato la vulnerabilità di un cattivo sviluppatore - che per di più doveva essere "senior" - che usava la stessa macchina per due attività con notevoli diversi livelli di sicurezza, essendo suddetto sviluppatore uno dei quattro che aveva accesso alle credenziali più elevate. Un altro caso di DevOooooops! E LastPass è colpevole se 1) non gli ha fornito un PC di lavoro 2) non l'ha obbligato ad usarlo. BYOD è sinonimo di Bring Your Own Vulnerabilities.
A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
[cancellato]
[cancellato] DevOooooops!
Purtroppo è sempre più pane quotidiano per tutte le più grandi aziende dell'informatica (e non solo le più grandi)... pare che di far cappellate e di perdere la faccia non importi più nulla a nessuno, butta su che c'è da fare in fretta, poi sistemiamo e rifacciamo due volte, o tre, la stessa cosa. Male, ovviamente, ammesso ci sia budget per sistemarla e non sia stato dirottato per la nuoverrima boiata commerciale.
[cancellato] BYOD è sinonimo di Bring Your Own Vulnerabilities.
Ma anche Bring Your Own Deficiencies francamente.
[cancellato] A meno che questo non sia lo "scapegoat" per nascondere che si sono fatti bucare in altro modo.
Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali (!!!) di un bucket S3 (a trovarlo, mica AZ ne ha uno solo...) che guardacaso conteneva i dump di backup del database... Aoh, questo c'aveva meno probabilità di fare due sei di fila al superenalotto senza giocare la schedina che incasellare tutte queste coincidenze.
[cancellato] Ho paura anch'io che sia una mossa di copertura. Voglio dire, chi diavolo può arrivare a sapere che il tizio X, che usa il software Y (non aggiornato, nella versione con una RCE) che non c'azzecca niente con il lavoro, su una postazione personale, che viene bucata proprio quando viene usata casualmente a quanto sembra una volta per una operazione di lavoro, riesce proprio in quel momento a prendere il controllo, rubare credenziali
Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere (fonti di ArsTechnica sostengono si trattasse di Plex che nello stesso periodo ha sofferto un data breach).
Se avessi voluto nascondere il vero motivo del data breach non avrei certamente portato alla stampa una storia così imbarazzante di un ingegnere con accesso estremamente privilegiato che esegue Plex sul PC di lavoro. Avrei taciuto o inventato un attacco più sofisticato.
Marco25 A me sembra che questo annuncio sembra proprio rientrare nella categoria da te descritta "o inventato un attacco più sofisticato"
i signori della truffa 2
[cancellato]
Marco25 inventato un attacco più sofisticato
È proprio questo secondo me il caso, hanno tentato di scaricare la colpa su Plex che era bucato per dire "noi c'avevamo tuttt'apppposto signò ma ci hanno bucati per colpa sua", che poi tutto a posto non era per le ragioni che ha espresso anche [cancellato] .
Marco25 Secondo te gli hacker passavano lì per caso e hanno trovato uno ingegnere di LastPass? Avranno fatto un lungo lavoro di ricognizione prima di procedere
Che secondo te non lo so? Il problema è che quel castello di carte che hanno costruito per dare la spiegazione non regge, ci sono troppe, troppe coincidenze. A meno che l'attaccante non fosse un (ex-)interno, la serie di pianeti e satelliti che si dovevano allineare affinché la cosa riuscisse era praticamente impossibile da ricostruire per un esterno, anche avesse passato mesi a studiarsi l'azienda e i suoi dipendenti... ci sono target più redditizi cui star dietro con cotanta costanza che un gestore di password dove l'informazione più preziosa, la parola d'accesso, è sicuramente cifrata fin dall'origine client-side.