Casseforti di LastPass sottratte nel recente data breach

Pacifista spero che tu sia ironico...

Fino a qualche mese fa Google non offriva nemmeno la crittografia zero knowledge per il loro password manager. Da alcuni mesi è disponibile, ma è disattiva di default, e non so nemmeno nei dettagli se funziona bene o meno, non utilizzandolo.

La soluzione migliore secondo me è Bitwarden, è tutto completamente crittografato, basta avere una password sicura e non dovete nemmeno preoccuparvi troppo dei data breach.

Anche Lastpass non è troppo male, il funzionamento è simile a Bitwarden, purtroppo però alcuni campi non sono crittografati (ad esempio appunto gli URL, di cui si è parlato in questo thread), quindi in caso di data breach, come quello appena successo, ci si espone a qualche rischio in più (principalmente attacchi di phishing mirati).

Sono un utente LastPass da solo qualche anno, paradossalmente migrato da 1 Password, quindi sembra che sia andato a peggiorare.

La mia Master Password è di 14 caratteri (maiuscole,minuscole, numeri e caratteri speciali), non usata in nessun altro ambito, le iterazioni nel mio account erano e sono settate a 100100.

Mi sentirei abbastanza sicuro sul fatto che non riescano a decrittare il mio db, sbaglio?

Tra l’altro tutte le utenze e servizi diciamo più sensibili, hanno la doppia autenticazione attiva.

What’s in a PR statement: LastPass breach explained

cristianlivella

Cavolo mi hai messo paura!!
Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".

Le iterazioni sono utilizzate dall'algrotimo PBKDF2 per convertire la "master password" nella "master key" la quale a sua volta verrà convertita nella chiave finale con altri algoritimi.
Aumentano le difficoltà che avrebbe un hacker nel recuperare la master password con le solite tecniche (dizionari etc...).

Pacifista Cavolo mi hai messo paura!!
Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

I vari Bitwarden, 1password, Lastpass etc.. fanno più o meno quello che fanno i vari gestori di password di Chrome, Safari Edge Etc...
Hanno il plus che sono multipiattaforma e permettono di memorizzare anche altri tipi di dati (carte di credito, documenti, etc,,), mentre i classici browser memorizzano solo le password dei login

Marco25

giuseppeBG mentre i classici browser memorizzano solo le password dei login

Oddio non è proprio vero..

giuseppeBG

Ho installato l'estensione per Chrome.
Secondo te/voi se utilizzo una master password con doppio accesso posso permettermi di non mettere alcun timeout alla cassaforte? Cioè è noiosissimo dover ogni volta copiare e incollare la super password per usare l'estensione....
Insomma, il mio portatile resta semore a casa con me, nessuno lo tocca a parte me, con il doppio accesso posso permettermi di non mettere il timeout, giusto?

Tomsel82 password a 60 caratteri

ostregheta! (cit.)

Ok, mo' è un pelo troppo eh, anche perché ti voglio vedere scrivere tre versi di un canto della divina commedia ogni volta che devi sbloccare la cassaforte e oltre un certo limite (soggettivo) avere passphrase più lunghe non porta a sensibili miglioramenti di entropia perché per poterle memorizzare si è costretti a scegliere "token" o metodi più semplici di caratteri a caso.

[cancellato] ok grazie forse un 32 caratteri è più pratico....e veloce....

Due domandine cosa ne pensate dei generatori di password che si trovano in giro anche tramite app su smartphone? Mi sembrano pratici e non ricorrenti le password che danno...

Del servizio offerto da Microsoft di eliminare la password cosa ne pensate...sembrerebbe più sicuro...stavo pensando di usarlo su dei miei account....

Tomsel82 cosa ne pensate dei generatori di password che si trovano in giro anche tramite app su smartphone? Mi sembrano pratici e non ricorrenti le password che danno...

Sì essenzialmente sono dei generatori casuali, si potrebbe discutere su come generino l'entropia su cui basano la scelta dei caratteri ma su stringhe essenzialmente ridotte (15-20 caratteri) e usate in momenti non prevedibili non pone un problema rilevante di predicibilità.

Tomsel82 Del servizio offerto da Microsoft di eliminare la password cosa ne pensate...sembrerebbe più sicuro...stavo pensando di usarlo su dei miei account....

Dipende da cosa intendi. Di sistemi passwordless ne esistono diversi, dai WebAuthn basati su FIDO2 che richiedono token hardware o che usano chip crittografici/lettori di impronte (stile touchid di Apple), ai certificati installati sulla macchina...

Personalmente, ritengo che si stia solo spostando il problema, invece che basarsi su "ciò che sai" chiedono "ciò che hai", e a quel punto è fondamentale l'implementazione hardware e soprattutto la protezione dei dispositivi fisici (se ti fregano il PC o la chiavetta fido sei fregato). Vedremo come si evolverà la cosa nei prossimi anni, ma credo che la cara e vecchia password resterà con noi per tanto tanto tempo

[cancellato] intendevo il sistema che usa Microsoft con solo l'autenticazione a due fattori tramite SMS o codice fornito dall'authenticator ..dicono che è più sicuro in quanto non ci sono password da craccare o da rubare....

Avevo letto questo articolo....https://www.dday.it/redazione/40586/accesso-account-microsoft-senza-password

LucaTheHacker se l'utente è scemo, non c'è sicurezza che tenga

Concordo, un po' lo stesso discorso che si fa anche per gli AV: se vuoi che funzionino, devi essere te il primo a fare attenzione a dove e come navighi

LucaTheHacker Verissimo, ma ciò non toglie la serietà pari a zero di un gestore di password che ha di default una sola iterazione e campi email e URL non crittografati, mi auguro che più gente possibile scappi da LastPass e vada verso 1Password oppure Bitwarden.

Io ho già fatto lo switch, e ho approfittato dell'offerta in corso, ottenendo uno sconto quasi totale sul canone annuale, dietro presentazione della ricevuta del rinnovo dell'abbonamento LastPass fatta a fine Novembre.

https://1password.com/it/switch/

Mugna Anche io sono passato recentemente a 1Password ma purtroppo avevo Bitwarden versione free, è valido solo per il primo anno giusto?