• Off-topicNews

  • Casseforti di LastPass sottratte nel recente data breach

Marco25 Sì perché in questo caso hai una minima attestazione che davanti c'è un utente reale e non un bot che ha modificato il sistema per tentare accessi fraudolenti.

Eh mica tanto nel mio caso, l'accesso fraudolento sarebbe quello da un dispositivo "spione" mai usato prima (l'amico mi diceva anche di accedere con la rete dati mobile, per cui, proprio con ambiente totalmente diverso dal solito), mentre sarebbe autentico un accesso dallo stesso IP statico di sempre, che pero' ovviamente non gli sta bene perche' con tutte le protezioni del caso non ci guadagnano mezza virgola di dati cosi'...

Ma vabeh, meglio cosi'. Non gli avrei mai pagato gli abbonamenti a Google Apps, figuriamoci un telefono nuovo che avrei dovuto usare solo per poter sbloccare degli account che avevo cmq sostituito da tanti anni. Chissa' piuttosto quando sara' che cancelleranno tutti i dati in automatico...

      LATIITAY
      Non ho capito molto il discorso ma

      Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici

      I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo

      I dati Google li cancella in automatico solo se hai dato il consenso, c'è anche il trattamento di dati in caso di decesso del utente, in modo da consentire ad un utente certificato di estrarre dei dati se necessario
      Se non effettui l'accesso per tot. Tempo, si avvia la procedura

          bortolotti80 Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici

          ??? Io parlo di un IP statico che e' sempre e solo stato utilizzato per accedere a degli account Google. E ora da un anno magicamente Gogole riconosce la posizione di accesso in base all'IP come "insolita" e quindi non mi fa piu' accedere, neanche dopo verifica di numero di telefono preso nuovo apposta. La soluzione propostami sarebbe di accedere da altro IP, ma utilizzando device Google "spione". Che non ha senso, non e' certo a tutela mia ma solo dei loro interessi. Ma non intendo ne' spendere altri soldi (gia' ci ho perso una SIM, figuriamoci un telefono solo per questo!) ne' tantomeno legare dati di telemetria cosi' invasivi a quegli account, piuttosto perdo gli account, visto che sono oltre 10 anni che non li usavo piu' regolarmente.

          bortolotti80 Se non effettui l'accesso per tot. Tempo, si avvia la procedura

          Ottimo. Visto che mi e' impedito l'accesso per motivi di """sicurezza""", allora verranno cancellati. Chissa' quanto ci metteranno.

          bortolotti80 I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo

          Questa frase non ha senso cosi' come esposta. Sono io l'amministratore di rete, e non vedo in che maniera dovrei applicare "challenge JavaScript" (? che c'entrano?) sulla mia rete per non farmi bloccare da Google (che ha bloccato quegli account, non la rete, non e' mica Akamai)... E sono anni che non vedo captcha di Google, la mia rete e' "pulita" sotto questo aspetto.

          /OT 🙂

                  LATIITAY Ottimo. Visto che mi e' impedito l'accesso per motivi di """sicurezza""", allora verranno cancellati. Chissa' quanto ci metteranno.

                  https://www.dday.it/redazione/37882/archiviazione-google-spazio-archiviazione-file-eliminati

                  Per eliminarlo completamente avresti dovuto compilare le impostazioni per il trattamento di dati in caso di decesso (che google chiama in modo differente), altrimenti credo rimanga sempre attivo finchè modificheranno le policy in futuro

                      bortolotti80 https://www.dday.it/redazione/37882/archiviazione-google-spazio-archiviazione-file-eliminati

                      Per eliminarlo completamente avresti dovuto compilare le impostazioni per il trattamento di dati in caso di decesso (che google chiama in modo differente), altrimenti credo rimanga sempre attivo finchè modificheranno le policy in futuro

                      E come facevo se e' da prima del 1 giugno 2021 che non mi fa piu' entrare? 🙂

                      In ogni caso, io da quell'articolo leggo ben altra cosa, e cioe' che non bisogna impostare nulla, ma tutti gli account inattivi per 2 anni dal 1 giugno 2023 verranno eliminati. Vediamo che succede e speriamo sia cosi'.

                      /OT 🙂 🙂

                        Siete fuori tema

                        Ragazzi io uso Chrome per salvare la password, penso che sia il metodo più sicuro!! Google è inviolabile, ricordiamocelo sempre. Poi con il doppio accesso come possono mai entrare.... Botte di ferro.

                          Pacifista spero che tu sia ironico...

                          Fino a qualche mese fa Google non offriva nemmeno la crittografia zero knowledge per il loro password manager. Da alcuni mesi è disponibile, ma è disattiva di default, e non so nemmeno nei dettagli se funziona bene o meno, non utilizzandolo.

                          La soluzione migliore secondo me è Bitwarden, è tutto completamente crittografato, basta avere una password sicura e non dovete nemmeno preoccuparvi troppo dei data breach.

                          Anche Lastpass non è troppo male, il funzionamento è simile a Bitwarden, purtroppo però alcuni campi non sono crittografati (ad esempio appunto gli URL, di cui si è parlato in questo thread), quindi in caso di data breach, come quello appena successo, ci si espone a qualche rischio in più (principalmente attacchi di phishing mirati).

                              Sono un utente LastPass da solo qualche anno, paradossalmente migrato da 1 Password, quindi sembra che sia andato a peggiorare.

                              La mia Master Password è di 14 caratteri (maiuscole,minuscole, numeri e caratteri speciali), non usata in nessun altro ambito, le iterazioni nel mio account erano e sono settate a 100100.

                              Mi sentirei abbastanza sicuro sul fatto che non riescano a decrittare il mio db, sbaglio?

                              Tra l’altro tutte le utenze e servizi diciamo più sensibili, hanno la doppia autenticazione attiva.

                              cristianlivella

                              Cavolo mi hai messo paura!!
                              Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

                                  RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
                                  Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".

                                  Le iterazioni sono utilizzate dall'algrotimo PBKDF2 per convertire la "master password" nella "master key" la quale a sua volta verrà convertita nella chiave finale con altri algoritimi.
                                  Aumentano le difficoltà che avrebbe un hacker nel recuperare la master password con le solite tecniche (dizionari etc...).

                                    Pacifista Cavolo mi hai messo paura!!
                                    Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

                                    I vari Bitwarden, 1password, Lastpass etc.. fanno più o meno quello che fanno i vari gestori di password di Chrome, Safari Edge Etc...
                                    Hanno il plus che sono multipiattaforma e permettono di memorizzare anche altri tipi di dati (carte di credito, documenti, etc,,), mentre i classici browser memorizzano solo le password dei login

                                        giuseppeBG mentre i classici browser memorizzano solo le password dei login

                                        Oddio non è proprio vero..

                                            simonebortolin Oddio non è proprio vero..

                                            probabile, non sono aggiornatissimo sulle funzionalità dei vari portachiavi/wallet delle piattaforme google e apple.
                                            Sono alcuni anni che uso i gestori di password multipiattaforma, prima usavo Lastpass, poi ho usato 1password e da alcuni mesi uso Bitwarden

                                              Io uso l'app Authenticator di Microsoft per le password...che sono crittografate e dietro un account con password a 60 caratteri a due fattori...mi sembra accettabile come sicurezza...

                                              Cosa ne pensate in termini di sicurezza che Microsoft a dato la possibilità di togliere la password e di tenere solo l'autenticazione a due fattori (SMS o codici) ?

                                                giuseppeBG

                                                Ho installato l'estensione per Chrome.
                                                Secondo te/voi se utilizzo una master password con doppio accesso posso permettermi di non mettere alcun timeout alla cassaforte? Cioè è noiosissimo dover ogni volta copiare e incollare la super password per usare l'estensione....
                                                Insomma, il mio portatile resta semore a casa con me, nessuno lo tocca a parte me, con il doppio accesso posso permettermi di non mettere il timeout, giusto? 🙂

                                                  • [cancellato]

                                                  • Messaggio #97

                                                  Tomsel82 password a 60 caratteri

                                                  ostregheta! (cit.) 😮

                                                  Ok, mo' è un pelo troppo eh, anche perché ti voglio vedere scrivere tre versi di un canto della divina commedia ogni volta che devi sbloccare la cassaforte 😅 e oltre un certo limite (soggettivo) avere passphrase più lunghe non porta a sensibili miglioramenti di entropia perché per poterle memorizzare si è costretti a scegliere "token" o metodi più semplici di caratteri a caso.

                                                      Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                      P.I. IT16712091004 - info@fibraclick.it

                                                      ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile