• Off-topicNews

  • Casseforti di LastPass sottratte nel recente data breach

Entro un po' a gamba tesa, ma se qualcuno verrà impattato da questo breach, non sarà colpa di LastPass.

Sì, certo, le casseforti non dovevano finire in giro per il mondo, ma la sicurezza vera (e questo la gente non lo capisce) è nella password stessa.
È come mettere il cartello di vietato l'accesso su una porta, non sarà quello a proteggerti, ma la serratura che hai usato.

Se un'azienda poco intelligente ha permesso ai suoi dipendenti di usare una master password di 4 caratteri direi che la colpa è dell'azienda stessa, non di LastPass.

Sarebbe colpa di LastPass se avessero usato roba come AES-IGE (rimosso anche da OpenSSL per via dei problemi di sicurezza) o controlli via hash con md5/sha1, ma non mi sembra questo il caso.

Come al solito, la sicurezza è in mano all'utente finale, puoi metterci una pezza per migliorare la cosa, ma se l'utente è scemo, non c'è sicurezza che tenga. È come mettere una cassaforte da 20 milioni di euro in casa e poi tenere la chiave necessaria ad aprire tutto sotto al tappeto di casa.

    LATIITAY Piu' che altro, non e' stata aggiornata insieme al codice 😅

    Perché forse l'implementazione di Donenfeld non è omnidiffusa e omnipresente, quindi è giusto così?

        Curiosità che mi è venuta leggendo questo thread: ma invece usare il password manager che spesso si trova di default su alcune distro linux (tipo Mint e Ubuntu), che dovrebbe essere GNOME keyring, com'è? E in generale come sono applicazioni di quel tipo?

        LATIITAY E cosi' facendo con master key + passphrase puoi anche cambiare password senza dover stare a rigenerare la cassaforte...

        Questo puoi farlo anche senza usare due chiavi separate. Tipicamente infatti non si cripta direttamente con la password P1 dell'utente, ma si genera una chiave casuale C che cripta i dati, e poi si cripta C con P1. In questo modo per cambiare la password basta decriptare C e criptarla nuovamente con P2. Nella crittografia disco è standard.

            simonebortolin ah no, e' solo in Linux mainline e la stavano portando pure su qualche flavor di BSD, che vuoi che sia... O sara' che quelle man pages non vengono aggiornate da eoni (perche' la documentazione si e' spostata e ha cambiato formato varie volte, https://www.kernel.org/doc/) e pure se lo fossero non sono cmq aggiornati i siti che le indicizzano mettendoci sopra e sotto AdSense... 🤦

            Marco25 si' appunto, a quello mi riferivo, e alla fine e' un sistema a doppia chiave (la seconda chiave viene generata dall'input utente, spesso con algoritmi a molte iterazioni tipo PBKDF2, e serve a decifrare la prima chiave, che e' la master key, che hai chiamato C). Mentre scrivevo pensavo proprio a com'e' implementato LUKS in effetti.

                Marco25 Molti password manager rigenerano l'intera cassaforte invece, principalmente perché la chiave di cifratura è una derivata (vedasi KDF) della chiave privata (che potrebbe essere una password), senza altri tramiti.

                  Quindi una Master Password composta da 20 caratteri (maiuscole minuscole speciali e numeri) è abbastanza sicura?
                  Nel senso che anche hackerando il database non riuscirebbero a decrifarla.

                    giuseppeBG si', fintanto che la password non sia QWERTYuiop123456789! (20 caratteri, maiuscole minuscole speciali e numeri 😛) allora dovrebbe essere relativamente sicura...

                      giuseppeBG Se non è bucabile "via dizionario" o per dati noti (aka non è tipo nome_figliodata_figlio!anno_nascita), è abbastanza sicura.

                      Per dare un'idea

                        ag23900 Ammirevole comunque come abbiano gestito il breach in modo chiaro e tondo, lo apprezzo.

                        Chiaro e tondo? 😅 hanno cambiato versione tre volte in tre mesi... Prima "nessun dato è stato prelevato", poi "alcuni dati ma non le password", ora "anche le password". E ora si scopre persino che non cifrano gli URL, cosa che i password manager un po' più seri fanno.

                        Non è la prima volta che hanno problemi di sicurezza tra l'altro, ne combinano una all'anno praticamente e mi sfugge come abbiano ancora clienti. Considerando anche che l'ultima volta che ho usato LastPass era un colabrodo di pagine PHP mezze rotte.

                            matteocontrini Chiaro e tondo? 😅 hanno cambiato versione tre volte in tre mesi...

                            Vabbè ma quello ci può pure stare, magari devono capire chi e cosa ha preso cosa, non è detto che sia facilissimo, soprattutto se i log fanno cagare.

                              matteocontrini Ci sono tante aziende che dicono solo che c'è stato un breach e finisce lì, senza aggiungere alcun dettaglio o nulla. Avranno anche cambiato versione tre volte in tre mesi, però almeno sono un minimo trasparenti.

                              matteocontrini Non è la prima volta che hanno problemi di sicurezza tra l'altro, ne combinano una all'anno praticamente

                              Infatti io mi ricordo che cambiai password manager proprio perché avevo letto di problemi di sicurezza precedenti al mio arrivo.

                              matteocontrini mi sfugge come abbiano ancora clienti.

                              Probabilmente chi li usa pensa che cambiare password manager sia un casino e che dovrebbero importare a mano tutte le password, quindi resta con loro.
                              Io sono durato forse 3 mesi con LastPass, ho esportato i miei dati, cancellato tutto e reimportato su BitWarden in forse 10 minuti..

                                      ag23900 ho esportato i miei dati, cancellato tutto e reimportato su BitWarden in forse 10 minuti..

                                      si è un attimo,avevo provato tempo fa dashlane...

                                        domanda a voi esperti: ma con un data breach,serve avere una password forte,con caratteri speciali,minuscole,maiuscole?non viene decriptata?o dipende di che data breach si tratta?

                                        ps.: 1 password su iOS la nuova versione 8 sta riscontrando problemi(non funziona face id)con la precedente 7 invece era tutto ok

                                        • Marco25 ha risposto a questo messaggio

                                          ale_prince domanda a voi esperti: ma con un data breach,serve avere una password forte,con caratteri speciali,minuscole,maiuscole?non viene decriptata?

                                          Si presuppone che la cassaforte di LastPass sia criptata con la password scelta dall'utente, e questa password non viene mai trasmessa né tanto meno salvata dal servizio. In questo modo in caso di data breach l'hacker deve necessariamente provare tutte le possibili password (o usare un dizionario) per decriptare la cassaforte. Avere una password forte rende questo processo infattibile.

                                              Marco25 bon,allora mi sento abbastanza sicuro...abbastanza😬

                                              • Marco25 ha risposto a questo messaggio

                                                  ale_prince Attenzione al phishing. Gli URL sono in chiaro nel data breach, insieme ai dati di fatturazione e email. Questi potrebbero essere usati per inviare email di phishing particolarmente convincenti.

                                                      Marco25 Attenzione al phishing. Gli URL sono in chiaro nel data breach, insieme ai dati di fatturazione e email. Questi potrebbero essere usati per inviare email di phishing particolarmente convincenti.

                                                      ok grazie!

                                                        e su dashlane e roboform che pareri ci sono in merito alla qualità del processo di gestione?

                                                        Non sono un esperto di sicurezza informatica e quello che sto per scrivere farà storcere il naso a molti, ma non ho mai capito perché usare un gestore di password in cloud. Io uso KeePass in locale con una master key di 17 caratteri alfanumerici e caratteri speciali, un file key salvato su ogni pc che uso e il DB caricato su un hosting di quelli usati per siti web. Ho la stessa comodità di servizi come Lastpass senza dovermi preoccupare di eventuali data breach.
                                                        Sicuramente non sarà il server più protetto del mondo, ma ritengo che uno dei problemi del cloud sia l'aggregazione di migliaia di dati presso un unico provider, e questo è il motivo per cui non ho messo il database su Google Drive. Nel mio caso un malintenzionato dovrebbe sapere dove sta il mio database, hackerare il server, provare a decriptare la master key senza comunque avere il file chiave, tutto per recuperare bene che vada una quarantina di mie password. E dentro KeePass non tengo comunque dati bancari, quelli sono su un file di testo in una cartella dello smartphone protetta dall'impronta, senza riferimenti alle banche e in mezzo ad altri numeri e lettere fittizzi scritti casualmente e non riferiti a nessun servizio.
                                                        Non avrò mai la sicurezza al 100% ma in questo modo mi sento sicuro perché tutti i miei dati non passano per soggetti terzi.

                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                          P.I. IT16712091004 - info@fibraclick.it

                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile