• Off-topicNews

  • Casseforti di LastPass sottratte nel recente data breach

Secondo me c'è sia una cattiva che una buona notizia.

L'unica comunicazione di LastPass sull'incident è stata una e-mail (una) di poche righe, il 23/12, che rimanda ad un articolo (uno) sul loro blog del 22/12.

L'articolo del blog afferma che l'hacker ha copiato "una copia del backup dei dati delle vault/casseforti dei clienti". Questa frase mi fa capire che in quella copia c'erano tutti i clienti di LastPass, e non una frazione di essi. Il fatto che non l'abbiano specificato avvale il sospetto che sia proprio così. Quindi, notizia cattiva, riguarda tutti, davvero tutti i clienti.

L'articolo comunica in seguito che tale copia contiene sia dati criptati che non.
Non criptati = siti/url,
Criptati = user/password
quelli criptati - afferma l'articolo - restano sicuri - e possono essere decriptati solo con la masterpassword che non è salvata da LP. Ed è gestita solo lato client. Penso che questa sia una buona notizia.

Naturalmente LP prosegue l'articolo ipotizzando che certamente l'hacker avrebbe provato a forzare la password master, che se creata con le "best practices" di cui anche sul questo 3d si è parlato, è poco probabile che sia bucata. La parte simpatica dell'articolo - e onestamente la più rassicurante - è quando afferma che

it would take millions of years to guess your master password using generally-available password-cracking technology

L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".

L'altra cosa che non mi è chiara è se io riceva delle notifiche se qualcuno prova ad "indovinare" la mia master ?

    Marco25 beh io l'anno scorso sono stato chiuso fuori da diversi account Google (sia Gmail che account amministratori di Google Apps), pur avendoli usati sempre e solo dallo stesso IP statico e computer, ad una certa si rifiutava di farmi entrare perche' non riconosceva piu' la "posizione" di accesso, poi dopo qualche tentativo ha cominciato a chiedere di configurare un numero di telefono, cosa che alla fine ho fatto procurandomi una nuova SIM iliad con nuovo numero (quindi con numero sicuramente non riciclato), ma non gli e' piaciuto lo stesso, dice sempre che al momento non vogliono farmi accedere per motivi di "sicurezza".

    Evidentemente non gli piace che un account venga usato senza alcun dispositivo o software "spione" collegato, con accesso una volta ogni tanto... 🤣 Un amico che lavorava per loro mi disse che per "risolvere" avrei dovuto provare ad accedere da un telefono Google Android con i Play Services e senza root. Col cavolo, piuttosto perdo gli account, tanto erano anni che non li usavo, e non c'era nulla di importante dentro. 🙄

    • Marco25 ha risposto a questo messaggio

        RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.

        LastPass non salva la master password in chiaro, e neanche criptata in maniera reversibile. Piuttosto applica una funzione non invertibile che converte la password in una stringa chiamata hash. Non è possibile ottenere una password dall'hash ma puoi provare a applicare la stessa funzione di hash alla password finché non ottieni l'hash salvato.
        Per rendere questa operazione più difficoltosa piuttosto che salvare hash(password), salvi hash(hash(hash(hash(hash(password))))), "nidificato" 5 volte. In questo modo per scoprire la password devi calcolare l'hash 5 volte, aumentando il costo in termini di risorse computazionali. Il numero di nidificazioni è detto iterazioni.
        Se le iterazioni sono troppo poche, il numero di password al secondo è molto alto, se troppe lo sblocco della cassaforte da parte dell'utente sarebbe troppo lento.

        LATIITAY Un amico che lavorava per loro mi disse che per "risolvere" avrei dovuto provare ad accedere da un telefono Google Android con i Play Services e senza root.

        Sì perché in questo caso hai una minima attestazione che davanti c'è un utente reale e non un bot che ha modificato il sistema per tentare accessi fraudolenti.

              Marco25 Sì perché in questo caso hai una minima attestazione che davanti c'è un utente reale e non un bot che ha modificato il sistema per tentare accessi fraudolenti.

              Eh mica tanto nel mio caso, l'accesso fraudolento sarebbe quello da un dispositivo "spione" mai usato prima (l'amico mi diceva anche di accedere con la rete dati mobile, per cui, proprio con ambiente totalmente diverso dal solito), mentre sarebbe autentico un accesso dallo stesso IP statico di sempre, che pero' ovviamente non gli sta bene perche' con tutte le protezioni del caso non ci guadagnano mezza virgola di dati cosi'...

              Ma vabeh, meglio cosi'. Non gli avrei mai pagato gli abbonamenti a Google Apps, figuriamoci un telefono nuovo che avrei dovuto usare solo per poter sbloccare degli account che avevo cmq sostituito da tanti anni. Chissa' piuttosto quando sara' che cancelleranno tutti i dati in automatico...

                  LATIITAY
                  Non ho capito molto il discorso ma

                  Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici

                  I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo

                  I dati Google li cancella in automatico solo se hai dato il consenso, c'è anche il trattamento di dati in caso di decesso del utente, in modo da consentire ad un utente certificato di estrarre dei dati se necessario
                  Se non effettui l'accesso per tot. Tempo, si avvia la procedura

                      bortolotti80 Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici

                      ??? Io parlo di un IP statico che e' sempre e solo stato utilizzato per accedere a degli account Google. E ora da un anno magicamente Gogole riconosce la posizione di accesso in base all'IP come "insolita" e quindi non mi fa piu' accedere, neanche dopo verifica di numero di telefono preso nuovo apposta. La soluzione propostami sarebbe di accedere da altro IP, ma utilizzando device Google "spione". Che non ha senso, non e' certo a tutela mia ma solo dei loro interessi. Ma non intendo ne' spendere altri soldi (gia' ci ho perso una SIM, figuriamoci un telefono solo per questo!) ne' tantomeno legare dati di telemetria cosi' invasivi a quegli account, piuttosto perdo gli account, visto che sono oltre 10 anni che non li usavo piu' regolarmente.

                      bortolotti80 Se non effettui l'accesso per tot. Tempo, si avvia la procedura

                      Ottimo. Visto che mi e' impedito l'accesso per motivi di """sicurezza""", allora verranno cancellati. Chissa' quanto ci metteranno.

                      bortolotti80 I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo

                      Questa frase non ha senso cosi' come esposta. Sono io l'amministratore di rete, e non vedo in che maniera dovrei applicare "challenge JavaScript" (? che c'entrano?) sulla mia rete per non farmi bloccare da Google (che ha bloccato quegli account, non la rete, non e' mica Akamai)... E sono anni che non vedo captcha di Google, la mia rete e' "pulita" sotto questo aspetto.

                      /OT 🙂

                              LATIITAY Ottimo. Visto che mi e' impedito l'accesso per motivi di """sicurezza""", allora verranno cancellati. Chissa' quanto ci metteranno.

                              https://www.dday.it/redazione/37882/archiviazione-google-spazio-archiviazione-file-eliminati

                              Per eliminarlo completamente avresti dovuto compilare le impostazioni per il trattamento di dati in caso di decesso (che google chiama in modo differente), altrimenti credo rimanga sempre attivo finchè modificheranno le policy in futuro

                                  bortolotti80 https://www.dday.it/redazione/37882/archiviazione-google-spazio-archiviazione-file-eliminati

                                  Per eliminarlo completamente avresti dovuto compilare le impostazioni per il trattamento di dati in caso di decesso (che google chiama in modo differente), altrimenti credo rimanga sempre attivo finchè modificheranno le policy in futuro

                                  E come facevo se e' da prima del 1 giugno 2021 che non mi fa piu' entrare? 🙂

                                  In ogni caso, io da quell'articolo leggo ben altra cosa, e cioe' che non bisogna impostare nulla, ma tutti gli account inattivi per 2 anni dal 1 giugno 2023 verranno eliminati. Vediamo che succede e speriamo sia cosi'.

                                  /OT 🙂 🙂

                                    Siete fuori tema

                                    Ragazzi io uso Chrome per salvare la password, penso che sia il metodo più sicuro!! Google è inviolabile, ricordiamocelo sempre. Poi con il doppio accesso come possono mai entrare.... Botte di ferro.

                                      Pacifista spero che tu sia ironico...

                                      Fino a qualche mese fa Google non offriva nemmeno la crittografia zero knowledge per il loro password manager. Da alcuni mesi è disponibile, ma è disattiva di default, e non so nemmeno nei dettagli se funziona bene o meno, non utilizzandolo.

                                      La soluzione migliore secondo me è Bitwarden, è tutto completamente crittografato, basta avere una password sicura e non dovete nemmeno preoccuparvi troppo dei data breach.

                                      Anche Lastpass non è troppo male, il funzionamento è simile a Bitwarden, purtroppo però alcuni campi non sono crittografati (ad esempio appunto gli URL, di cui si è parlato in questo thread), quindi in caso di data breach, come quello appena successo, ci si espone a qualche rischio in più (principalmente attacchi di phishing mirati).

                                          Sono un utente LastPass da solo qualche anno, paradossalmente migrato da 1 Password, quindi sembra che sia andato a peggiorare.

                                          La mia Master Password è di 14 caratteri (maiuscole,minuscole, numeri e caratteri speciali), non usata in nessun altro ambito, le iterazioni nel mio account erano e sono settate a 100100.

                                          Mi sentirei abbastanza sicuro sul fatto che non riescano a decrittare il mio db, sbaglio?

                                          Tra l’altro tutte le utenze e servizi diciamo più sensibili, hanno la doppia autenticazione attiva.

                                          cristianlivella

                                          Cavolo mi hai messo paura!!
                                          Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

                                              RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
                                              Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".

                                              Le iterazioni sono utilizzate dall'algrotimo PBKDF2 per convertire la "master password" nella "master key" la quale a sua volta verrà convertita nella chiave finale con altri algoritimi.
                                              Aumentano le difficoltà che avrebbe un hacker nel recuperare la master password con le solite tecniche (dizionari etc...).

                                                Pacifista Cavolo mi hai messo paura!!
                                                Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

                                                I vari Bitwarden, 1password, Lastpass etc.. fanno più o meno quello che fanno i vari gestori di password di Chrome, Safari Edge Etc...
                                                Hanno il plus che sono multipiattaforma e permettono di memorizzare anche altri tipi di dati (carte di credito, documenti, etc,,), mentre i classici browser memorizzano solo le password dei login

                                                    giuseppeBG mentre i classici browser memorizzano solo le password dei login

                                                    Oddio non è proprio vero..

                                                        simonebortolin Oddio non è proprio vero..

                                                        probabile, non sono aggiornatissimo sulle funzionalità dei vari portachiavi/wallet delle piattaforme google e apple.
                                                        Sono alcuni anni che uso i gestori di password multipiattaforma, prima usavo Lastpass, poi ho usato 1password e da alcuni mesi uso Bitwarden

                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                          P.I. IT16712091004 - info@fibraclick.it

                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile