• Off-topicNews

  • Casseforti di LastPass sottratte nel recente data breach

LucaTheHacker cloud gestito da qualcuno di forse più competente

Certo, come no, mi raccomando fidati del primo che passa solo perche' ha dei bravi markettari che sanno vendere bene...

LucaTheHacker se ti fottono il disco hanno il tuo bel DB

Evidentemente se dici cosi' significa che non hai mai usato KeePass. Per sbloccare va usata sia il keyfile che la passphrase. Non basta solo il keyfile e non basta solo la passphrase (e ovviamente non basta solo il DB), servono tutti e tre insieme. 😉

LucaTheHacker Madonna che clownata

Lastpass usava AES-ECB. ECB. Altro che IGE...

edofullo È vero che probabilmente è "meno sicuro" rispetto ad affidarsi a qualcuno di questi servizi che lo fa per lavoro

Io non credo, e sinceramente, non capisco perche' tutti debbano sempre sottovalutarsi e allo stesso tempo sopravvalutare cosi' tanto l'operato e le competenze dei terzi...

edofullo Se qualcuno prova seriamente ad entrare e riesce a bypassare fail2ban, 2FA yubikey, traefik "ben configurato" e master password vuol dire che sono stato specificatamente preso di mira e forse a quel punto ho problemi maggiori

edofullo Invece affidandosi "al cloud" i tuoi dati sono insieme a tutti quelli di altri quindi in caso l'attacco riesca ruba decine di migliaia di account e non solo uno o due, quindi è molto più remunerativo.

Appunto. Farsi le cose in casa innanzitutto evita la pesca a strascico. E poi, se qualcuno vuole prenderti di mira specificatamente, pur sempre gli stai rendendo la vita piu' complicata, visto che non basta corrompere l'amico dell'amico/mostrare un mandato non necessariamente legittimo/fare la pesca a strascico nel punto in cui il "cloud" e' in chiaro/etc, ma devono venire a bucare esplicitamente la tua infrastruttura usata solo da te...

              Alla luce di tutti i commenti riassumo questo setup per il "password manager in cloud fai da te"

              1. Database KeePass salvato su Google Drive

              2. Account Google protetto con 2FA unicamente tramite token di sicurezza USB.

              3. Cifratura database tramite keyfile pieno di dati casuali + password. Keyfile salvato il chiaro sul PC per comodità.

              Razionale delle scelte:

              1. Ritengo Google l'azienda più difficile da hackerare in assoluto, per cui ottima protezione dai data breach.

              2. I token di sicurezza sono vincolati al dominio offrendo una protezione eccellente contro il phishing.

              3. L'apporto del keyfile alla cifratura protegge contro attacchi forza bruta in caso di data breach dei server Google.

                Marco25 Mi sembrano tanto quei post da social blu in stile pulisci le zampe del gatto con la candeggina prima di farlo entrare, sia mai che abbia pestato il covid...

                    simonebortolin e invece e' una cosa che ha molto senso, se si considera Google Drive una soluzione accettabile (quindi se sta bene usare un account Google con tutte le conseguenze del caso)

                      Attualmente sto usando BitWarden, in precedenza 1Password. 🤞🏻

                      LATIITAY sullo smartphone non ho fatto l'accesso al cloud del produttore, solo all'account Google e ho comunque impostato di non sincronizzare nulla, solo le email con l'app Gmail. La cartella protetta è una sezione dello storage che comunque non verrebbe sincronizzata. Però in effetti potrei creare una voce su KeePass con nome fittizio e tutto salvato nelle note in mezzo ad altri dati non reali.
                      matteocontrini ho provato a usare Lastpass e sinceramente la comodità in più rispetto a KeePass non l'ho vista. Certo non posso accedere se non ho il mio pc con me, ma non ne ho mai sentito l'esigenza. In realtà potrei anche portarmi dietro il key file, un po' più scomodo ma penso che la sicurezza sia principale.

                      LucaTheHacker io non sincronizzo nulla a mano, KeePass accede al DB direttamente dall'hosting, quindi semplicemente lo apro, modifico o aggiungo voci e salvo, esattamente come farei con Lastpass.
                      Per il resto invece di ridere argomenta. Non ricordo di aver mai letto di provider hosting hackerati, proprio perché di solito non c'è niente di importante da sottrarre, al massimo qualche attacco brute Force verso i login di WordPress. Il senso della sicurezza nelle mie impostazioni è non affidarsi a sistemi informatici di terzi che possono sempre essere hackerati, ma rendere sconveniente il rapporto costi benefici dell'operazione. Almeno come dice Edofullo qualcuno non abbia preso di mira proprio me, ma in quel caso le rogne per me sarebbero maggiori di un DB sottratto a cui comunque non si potrebbe accedere senza password principale e key file.

                      P.S. Scusate ma non so come si quota, per cui ho citato solo i nickname.

                              magick81 sullo smartphone non ho fatto l'accesso al cloud del produttore, solo all'account Google e ho comunque impostato di non sincronizzare nulla, solo le email con l'app Gmail

                              Eh, magari fosse cosi' semplice. Google ha cmq pieno accesso allo smartphone, pari a cio' che avrebbe l'utente con l'accesso di root. Che poi ci si voglia fidare di Google, che non faccia cose che non gli vengano dette, che non venga bucato, e anche che non venga mai bucato il proprio account Google collegato al telefono, ok... Io non mi fiderei mai cosi', ma d'altronde da parecchi anni e' impossibile utilizzare un telefono con Google Android nuovo senza procedere cosi' (e senza invalidare la garanzia). Ma cmq io preferirei lo stesso KeePass 😅

                              In particolare per Gmail pero', mi ricordo che su Google Android relativamente recente (era l'anno scorso su un telefono nuovo di fascia media uscito da poco) per attivare la sincronizzazione automatica dell'email Gmail (e quindi poter ricevere le notifiche delle mail in arrivo) bisognava attivare la sincronizzazione dell'intero telefono, o perlomeno questo era cio' che un prompt chiedeva con insistenza di fare... Poi non saprei se si riesca effettivamente ancora a disattivare la sincronizzazione di tutto tranne Gmail...

                              magick81 P.S. Scusate ma non so come si quota, per cui ho citato solo i nickname.

                              Dopo aver selezionato il testo, compare l'opzione "Cita"

                                    LATIITAY Poi non saprei se si riesca effettivamente ancora a disattivare la sincronizzazione di tutto tranne Gmail...

                                    Ok ce l'ho fatta 😅
                                    Con Android 10 nelle impostazioni in "utenti e account" - - >"Google" ho tutte le singole sincronizzazioni gestibili.

                                      LATIITAY Google ha cmq pieno accesso allo smartphone, pari a cio' che avrebbe l'utente con l'accesso di root.

                                      Per ovviare a ciò, Google Pixel con Graphene OS. Cambiare OS non invalida la garanzia e ai Play Services non vengono conferiti privilegi aggiuntivi.

                                          oppure per fare ancora prima usate il cell soltanto per lavoro come faccio io e buonanotte

                                          magick81 io non sincronizzo nulla a mano, KeePass accede al DB direttamente dall'hosting, quindi semplicemente lo apro, modifico o aggiungo voci e salvo, esattamente come farei con Lastpass.

                                          Di bene in meglio insomma, evviva la sicurezza.

                                          magick81 Non ricordo di aver mai letto di provider hosting hackerati, proprio perché di solito non c'è niente di importante da sottrarre, al massimo qualche attacco brute Force verso i login di WordPress

                                          Non lo leggi perché chi li usa è solitamente un imbecille e si fa bucare prima ancora che venga bucato l'hosting.
                                          Poi parliamo di roba gestita con pannelli di qualche millennio fa, tutto sicuro eh, mi raccomando continua a fidarti.

                                                Marco25 lol, paradossalmente anche i Chromebook sono i computer piu' aperti, con addirittura il firmware dell'EC open source (fork di coreboot) e ricompilabile liberamente...

                                                LucaTheHacker ma la smetti di sparare a zero a caso? La sua soluzione e' sicura. Chi buca l'hosting vede un file a caso che non puo' decifrare e magari non puo' manco collegare ad una persona fisica. Dovrebbero attaccare lui nello specifico, sapere che tiene le password salvate in questa specifica maniera, poi rubargli/bucargli un computer per ottenere il keyfile, e poi far cosi' per ottenere anche la password. Piuttosto, di sicuro con la sua soluzione e' protetto dalla pesca a strascico, il che di questi tempi e' senza dubbio un obiettivo sensato per i "comuni mortali" 😉

                                                • L4ky ha messo mi piace.

                                                    altra domanda a voi esperti: dimenticavo che ho anche l'autenticazione a due fattori attiva oltre alla master password...serve a qualcosa in questo tipo di data breach?

                                                      LucaTheHacker Di bene in meglio insomma, evviva la sicurezza.

                                                      Ti rinnovo l'invito a spiegare perché non sarebbe sicuro e cosa fa di diverso Lastpass quando accedi al database.

                                                      LucaTheHacker Poi parliamo di roba gestita con pannelli di qualche millennio fa, tutto sicuro eh, mi raccomando continua a fidarti.

                                                      Gestito con cPanel sempre aggiornato. Non mi sembrano che siano gli ultimi scappati di casa nei pannelli di gestione degli hosting.

                                                      Ti ripeto: l'obiettivo è evitare che il mio DB finisca in mezzo a migliaia di altri così da rendere sconveniente il rapporto costi/benefici impossessarsi di solo il mio database.

                                                      La realtà dei fatti è che mentre qui state a chiedervi se il vostro database su Lastpass rientra nel data breach, se la masterphrafse è abbastanza sicura, se il DB può essere bucato, se l'autenticazione a due fattori è utile in questi casi, io non ho di queste insicurezze.

                                                          ale_prince ho anche l'autenticazione a due fattori attiva oltre alla master password...serve a qualcosa in questo tipo di data breach?

                                                          No, l’autenticazione a due fattori protegge il login a LastPass ma in questo caso gli hacker hanno bypassato il tutto e copiato direttamente la cassaforte.

                                                              ale_prince no, visto che il secondo fattore proteggeva la porta di accesso, ma i ladri son passati dalla finestra

                                                                  Marco25 hanno bypassato il tutto e copiato direttamente la cassaforte.

                                                                  ah ok grazie...però devono decriptare la master password per entrarci giusto?

                                                                  LATIITAY no, visto che il secondo fattore proteggeva la porta di accesso, ma i ladri son passati dalla finestra

                                                                  😬😬😬

                                                                        ale_prince quello si', uno dei problemi grossi cmq e' che gli account piu' vecchi erano cifrati in maniera abbastanza ridicola, ad esempio con AES in modo ECB, o con poche iterazioni dell'algoritmo di trasformazione della password nella master key... Quindi sono piu' vulnerabili a vari tipi di attacchi (soprattutto se la password e' relativamente facile da indovinare con un attacco bruteforce)

                                                                            LATIITAY io sono dal 2019 con loro...😏

                                                                              Cmq per chi diceva di fidarsi di Google ancora oggi... E' bello il tempismo con cui accadono certe cose 🤣 Ecco un blog post fresco fresco (e relativi commenti su HN) di un account Google che "fa come gli pare" dal nulla, addirittura deconfigurando la 2FA U2F (YubiKey) in automatico...

                                                                              https://news.ycombinator.com/item?id=34141497
                                                                              https://lunnova.dev/articles/google-just-to-be-safe/

                                                                              • Marco25 ha risposto a questo messaggio

                                                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                                P.I. IT16712091004 - info@fibraclick.it

                                                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile