Casseforti di LastPass sottratte nel recente data breach

cristianlivella

Cavolo mi hai messo paura!!
Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".

Le iterazioni sono utilizzate dall'algrotimo PBKDF2 per convertire la "master password" nella "master key" la quale a sua volta verrà convertita nella chiave finale con altri algoritimi.
Aumentano le difficoltà che avrebbe un hacker nel recuperare la master password con le solite tecniche (dizionari etc...).

Pacifista Cavolo mi hai messo paura!!
Questo Bitwarden una volta installato può ricevere da Chrome tutte le password? E soprattutto poi come funziona? Resta in background nel sistema e quando serve una password funziona come il password mangaer di Chrome? Grazie!!!!

I vari Bitwarden, 1password, Lastpass etc.. fanno più o meno quello che fanno i vari gestori di password di Chrome, Safari Edge Etc...
Hanno il plus che sono multipiattaforma e permettono di memorizzare anche altri tipi di dati (carte di credito, documenti, etc,,), mentre i classici browser memorizzano solo le password dei login

Marco25

giuseppeBG mentre i classici browser memorizzano solo le password dei login

Oddio non è proprio vero..

Io uso l'app Authenticator di Microsoft per le password...che sono crittografate e dietro un account con password a 60 caratteri a due fattori...mi sembra accettabile come sicurezza...

Cosa ne pensate in termini di sicurezza che Microsoft a dato la possibilità di togliere la password e di tenere solo l'autenticazione a due fattori (SMS o codici) ?

giuseppeBG

Ho installato l'estensione per Chrome.
Secondo te/voi se utilizzo una master password con doppio accesso posso permettermi di non mettere alcun timeout alla cassaforte? Cioè è noiosissimo dover ogni volta copiare e incollare la super password per usare l'estensione....
Insomma, il mio portatile resta semore a casa con me, nessuno lo tocca a parte me, con il doppio accesso posso permettermi di non mettere il timeout, giusto?

Tomsel82 password a 60 caratteri

ostregheta! (cit.)

Ok, mo' è un pelo troppo eh, anche perché ti voglio vedere scrivere tre versi di un canto della divina commedia ogni volta che devi sbloccare la cassaforte e oltre un certo limite (soggettivo) avere passphrase più lunghe non porta a sensibili miglioramenti di entropia perché per poterle memorizzare si è costretti a scegliere "token" o metodi più semplici di caratteri a caso.

Tomsel82 cosa ne pensate dei generatori di password che si trovano in giro anche tramite app su smartphone? Mi sembrano pratici e non ricorrenti le password che danno...

Sì essenzialmente sono dei generatori casuali, si potrebbe discutere su come generino l'entropia su cui basano la scelta dei caratteri ma su stringhe essenzialmente ridotte (15-20 caratteri) e usate in momenti non prevedibili non pone un problema rilevante di predicibilità.

Tomsel82 Del servizio offerto da Microsoft di eliminare la password cosa ne pensate...sembrerebbe più sicuro...stavo pensando di usarlo su dei miei account....

Dipende da cosa intendi. Di sistemi passwordless ne esistono diversi, dai WebAuthn basati su FIDO2 che richiedono token hardware o che usano chip crittografici/lettori di impronte (stile touchid di Apple), ai certificati installati sulla macchina...

Personalmente, ritengo che si stia solo spostando il problema, invece che basarsi su "ciò che sai" chiedono "ciò che hai", e a quel punto è fondamentale l'implementazione hardware e soprattutto la protezione dei dispositivi fisici (se ti fregano il PC o la chiavetta fido sei fregato). Vedremo come si evolverà la cosa nei prossimi anni, ma credo che la cara e vecchia password resterà con noi per tanto tanto tempo

[cancellato] intendevo il sistema che usa Microsoft con solo l'autenticazione a due fattori tramite SMS o codice fornito dall'authenticator ..dicono che è più sicuro in quanto non ci sono password da craccare o da rubare....

Avevo letto questo articolo....https://www.dday.it/redazione/40586/accesso-account-microsoft-senza-password

LucaTheHacker se l'utente è scemo, non c'è sicurezza che tenga

Concordo, un po' lo stesso discorso che si fa anche per gli AV: se vuoi che funzionino, devi essere te il primo a fare attenzione a dove e come navighi

LucaTheHacker Verissimo, ma ciò non toglie la serietà pari a zero di un gestore di password che ha di default una sola iterazione e campi email e URL non crittografati, mi auguro che più gente possibile scappi da LastPass e vada verso 1Password oppure Bitwarden.

Io ho già fatto lo switch, e ho approfittato dell'offerta in corso, ottenendo uno sconto quasi totale sul canone annuale, dietro presentazione della ricevuta del rinnovo dell'abbonamento LastPass fatta a fine Novembre.

https://1password.com/it/switch/

Mugna Anche io sono passato recentemente a 1Password ma purtroppo avevo Bitwarden versione free, è valido solo per il primo anno giusto?

Michele144 A quanto mi risulta sì, è uno sconto che si applica al primo anno.

ale_prince io sono corso ai ripari passando a 1Password + YubiKey.
Se presenti l'ultima fattura LastPass ti applicano il 50% di sconto per 12 mesi.

Cr4z33 Lo sconto è proporzionale a quanto è recente la sottoscrizione di LastPass, la mia era di fine Novembre, abbonamento fatto a 1Password due settimane fa con sconto del 90% circa.

La cosa triste è che io sono passato da 1Passord a LastPass qualche anno fa, malvoluto non è mai troppo.....

Quale modello di Yubikey usi?