• Off-topicNews
  • Casseforti di LastPass sottratte nel recente data breach

Marco25 Per un periodo di circa 6 mesi ho usato LastPass, però già ai tempi circolavano voci poco incoraggianti sul loro servizio.

Ammirevole comunque come abbiano gestito il breach in modo chiaro e tondo, lo apprezzo. Comunque è sempre brutto che un'azienda che offre un servizio di questo genere venga bucato, spero che non accada mai a BitWarden 😆

    Io uso keepass2 in locale, più "scomodo" probabilmente, ma mai voluto usare servizi di password manager online proprio per questo.

    ag23900 Comunque è sempre brutto che un'azienda che offre un servizio di questo genere venga bucato, spero che non accada mai a BitWarden 😆

    Più che altro mi fa sempre ridere chi afferma che il servizio X ha un funzioanmento basilare che non può essere bucato.... e poi succede questo

      Per fortuna sono passato a bitwarden da un bel pezzo

      Come dovrebbe essere una password sufficientemente robusta?

        giuseppeBG
        Una passphrase, ovvero una password fatta da 4 parole casuali. Non scegliere le parole tu ma apri il dizionario e prendine quattro a caso.

          maxolina per quanto mi riguarda, anche 6 parole per la master password.

          E poi, un'accortezza in più per Bitwarden (forse si può fare anche su LastPass, non sono sicuro, per fortuna non lo uso più da qualche anno), dalle impostazioni conviene aumentare il numero di iterazioni PBKDF2, che di default è abbastanza basso.

          Rende lo sblocco della cassaforte leggermente più lento (si parla comunque di massimo 1-2 secondi, su un dispositivo recente), ma ne aumenta la sicurezza nel caso qualcuno dovesse riuscire ad avere accesso ai dati criptati, come è successo con LastPass.

          io uso questi servizi per tutte quelle password di basso livello, tipo il sito del gestore energetico, i forum, etc. per quelli istituzionali c'è SPID con qrcode e le banche solo memoria e foglietti materiali crittografati. Mi è capitato di scriverle talmente incasinate e usarle poco che ho dovuto resettarle.

          dopo questa abbandonerò lastpass,tra l'altro abbonamento premium,cosa consigliate?bitwarden?

            ale_prince 1Password. A differenza degli altri password manager la cassaforte è criptata con la master password più una secret key generata casualmente e molto robusta. In caso di data breach di 1Password, la cassaforte è impossibile da decriptare anche se la master password scelta dall'utente è debole.

              Marco25 generata casualmente

              Dato che non credo che usino comunquer quantistici la generazione casuale su un computer è pressoché impossibile. Di sicuro dietro c'è un algoritmo deterministico ed un seed ed una volta scoperti, se c'è fortuna ci sono pure i timestamp di quando è stata generata questa master key (o magari si riescono a ricavare con un intervallo di precisione molto ridotto) e via che si fa un bello script che mi genera tutte le chiavi

              • Marco25 ha risposto a questo messaggio

                simonebortolin Dato che non credo che usino comunquer quantistici la generazione casuale su un computer è pressoché impossibile.

                Casuale al 100% è impossibile ma algoritmi per la generazione pseudocasuale con un livello di imprevedibilità tale da essere usati con successo in una valanga di protocolli crittografici, sì.

                simonebortolin Di sicuro dietro c'è un algoritmo deterministico ed un seed ed una volta scoperto,

                L'algoritmo deterministico con seed va bene per mescolare le carte, 1Password (ma senza dubbio anche gli altri password manager) si affida al generatore crittografico sicuro del sistema.

                simonebortolin via che si fa un bello script che mi genera tutte le chiavi

                2128 possibili chiavi, impossibile fare uno script che le genera (e le prova) tutte.

                  Marco25 si affida al generatore crittografico sicuro del sistema.

                  Che pensi sia così sicuro? Cioè è sicuro per quello che è stato ideato, non per uno scopo del genere...

                  Marco25 2128 possibili chiavi, impossibile fare uno script che le genera tutte.

                  Molte meno tranquillo...

                  Oh se non ci credi aspettiamo il prossimo articolo... lo ho già detto:

                  simonebortolin Più che altro mi fa sempre ridere chi afferma che il servizio X ha un funzioanmento basilare che non può essere bucato.... e poi succede questo

                  E anche @[cancellato] lo ha rimarchiato:

                  [cancellato] Ci sono due categorie di aziende: quelle che sono state bucate e quelle che non lo sanno.

                    simonebortolin Che pensi sia così sicuro? Cioè è sicuro per quello che è stato ideato, non per uno scopo del genere...

                    https://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro

                    Nella sicurezza informatica un generatore di numeri pseudocasuali crittograficamente sicuro (detto in genere CSPRNG da Cryptographically Secure Pseudo-random Number Generator) è un generatore di numeri pseudo-casuali le cui proprietà lo rendono adatto all'uso in crittografia.

                    Molti aspetti della crittografia richiedono numeri casuali, ad esempio:

                    Generazione di chiavi
                    Generazione di chiavi di sessione (detti nonce)
                    salt casuali richiesti da alcuni schemi di firma, come ECDSA, RSASSA-PSS
                    One-time pad

                    Ti stai affidando a generatore del tuo sistema per creare la chiave che cripta la sessione tra te e https://forum.fibra.click

                    simonebortolin Molte meno tranquillo...

                    E quante sono allora?

                    simonebortolin Oh se non ci credi aspettiamo il prossimo articolo

                    La secret key serve proprio per proteggere in caso di data breach. Certo, l'implementazione potrebbe essere fallace, ma questo con qualunque password manager.

                      Marco25 il problema per LastPass cmq non credo stia tanto nella sicurezza della generazione della master key, ma nel fatto che la master key sia decifrabile con passphrase, ed evidentemente o non usavano algoritmi iterativi complessi oppure li usavano ma con poche iterazioni... Oppure hanno avvisato cosi' solo per prudenza (come poi e' giusto che sia in questi casi), chissa'...

                      Marco25 https://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro
                      Nella sicurezza informatica un generatore di numeri pseudocasuali crittograficamente sicuro (detto in genere CSPRNG da Cryptographically Secure Pseudo-random Number Generator) è un generatore di numeri pseudo-casuali le cui proprietà lo rendono adatto all'uso in crittografia.

                      Molti aspetti della crittografia richiedono numeri casuali, ad esempio:

                      Generazione di chiavi
                      Generazione di chiavi di sessione (detti nonce)
                      salt casuali richiesti da alcuni schemi di firma, come ECDSA, RSASSA-PSS
                      One-time pad

                      Ti stai affidando a generatore del tuo sistema per creare la chiave che cripta la sessione tra te e https://forum.fibra.click

                      Lo so benissimo cosa è, e come funziona... e quando viene usato, quello che volevo dire è un altro (LATIITAY vale pure per te lol) c'è differenza tra generare una chiave ogni non so mettimo 20 minuti di un computer usato per accedere al social blu, una chiave ogni 2 minuti generata da un serve web, ed una chiave generata ogni 2 secondi per un nuovo utente del password manager?

                      Marco25 E quante sono allora?

                      Teoricamente 2128, praticamente chi lo sa, dipende dalla implementazione...

                      Marco25 La secret key serve proprio per proteggere in caso di data breach. Certo, l'implementazione potrebbe essere fallace, ma questo con qualunque password manager.

                      Ooooh finalmente ecco che ci siamo arrivati.
                      🥳

                        simonebortolin c'è differenza tra generare una chiave ogni non so mettimo 20 minuti di un computer usato per accedere al social blu, una chiave ogni 2 minuti generata da un serve web, ed una chiave generata ogni 2 secondi per un nuovo utente del password manager?

                        Qual è la differenza?

                        simonebortolin Teoricamente 2128, praticamente chi lo sa, dipende dalla implementazione...

                        È letteralmente una funzione o chiamata di sistema, se non ti fidi di quelle... Come scritto @LATIITAY, basta aprire /dev/urandom.

                        simonebortolin Ooooh finalmente ecco che ci siamo arrivati.

                        Disclaimer ovvio, ma allora cosa facciamo, torniamo all'età della pietra perché tutta la tecnologia più essere fallata? L'utente sopra ha chiesto una alternativa a LastPass, e IMHO sulla carta il design di 1Password è migliore.

                          Marco25 grazie!
                          bon ragazzi,in rete credo che nulla sia in sicurezza al 100%😬🤷🏽‍♂️

                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                          P.I. IT16712091004 - info@fibraclick.it

                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile