Casseforti di LastPass sottratte nel recente data breach

ag23900 · 24 dic 2022

matteocontrini Ci sono tante aziende che dicono solo che c'è stato un breach e finisce lì, senza aggiungere alcun dettaglio o nulla. Avranno anche cambiato versione tre volte in tre mesi, però almeno sono un minimo trasparenti.

matteocontrini Non è la prima volta che hanno problemi di sicurezza tra l'altro, ne combinano una all'anno praticamente

Infatti io mi ricordo che cambiai password manager proprio perché avevo letto di problemi di sicurezza precedenti al mio arrivo.

matteocontrini mi sfugge come abbiano ancora clienti.

Probabilmente chi li usa pensa che cambiare password manager sia un casino e che dovrebbero importare a mano tutte le password, quindi resta con loro.
Io sono durato forse 3 mesi con LastPass, ho esportato i miei dati, cancellato tutto e reimportato su BitWarden in forse 10 minuti..

ale_prince · 24 dic 2022

ag23900 ho esportato i miei dati, cancellato tutto e reimportato su BitWarden in forse 10 minuti..

si è un attimo,avevo provato tempo fa dashlane...

ale_prince · 25 dic 2022

domanda a voi esperti: ma con un data breach,serve avere una password forte,con caratteri speciali,minuscole,maiuscole?non viene decriptata?o dipende di che data breach si tratta?

ps.: 1 password su iOS la nuova versione 8 sta riscontrando problemi(non funziona face id)con la precedente 7 invece era tutto ok

MMarco25 · 25 dic 2022

ale_prince domanda a voi esperti: ma con un data breach,serve avere una password forte,con caratteri speciali,minuscole,maiuscole?non viene decriptata?

Si presuppone che la cassaforte di LastPass sia criptata con la password scelta dall'utente, e questa password non viene mai trasmessa né tanto meno salvata dal servizio. In questo modo in caso di data breach l'hacker deve necessariamente provare tutte le possibili password (o usare un dizionario) per decriptare la cassaforte. Avere una password forte rende questo processo infattibile.

ale_prince · 25 dic 2022

Marco25 bon,allora mi sento abbastanza sicuro...abbastanza

MMarco25 · 25 dic 2022

ale_prince Attenzione al phishing. Gli URL sono in chiaro nel data breach, insieme ai dati di fatturazione e email. Questi potrebbero essere usati per inviare email di phishing particolarmente convincenti.

ale_prince · 25 dic 2022

Marco25 Attenzione al phishing. Gli URL sono in chiaro nel data breach, insieme ai dati di fatturazione e email. Questi potrebbero essere usati per inviare email di phishing particolarmente convincenti.

ok grazie!

nexus · 25 dic 2022

e su dashlane e roboform che pareri ci sono in merito alla qualità del processo di gestione?

Mmagick81 · 25 dic 2022

Non sono un esperto di sicurezza informatica e quello che sto per scrivere farà storcere il naso a molti, ma non ho mai capito perché usare un gestore di password in cloud. Io uso KeePass in locale con una master key di 17 caratteri alfanumerici e caratteri speciali, un file key salvato su ogni pc che uso e il DB caricato su un hosting di quelli usati per siti web. Ho la stessa comodità di servizi come Lastpass senza dovermi preoccupare di eventuali data breach.
Sicuramente non sarà il server più protetto del mondo, ma ritengo che uno dei problemi del cloud sia l'aggregazione di migliaia di dati presso un unico provider, e questo è il motivo per cui non ho messo il database su Google Drive. Nel mio caso un malintenzionato dovrebbe sapere dove sta il mio database, hackerare il server, provare a decriptare la master key senza comunque avere il file chiave, tutto per recuperare bene che vada una quarantina di mie password. E dentro KeePass non tengo comunque dati bancari, quelli sono su un file di testo in una cartella dello smartphone protetta dall'impronta, senza riferimenti alle banche e in mezzo ad altri numeri e lettere fittizzi scritti casualmente e non riferiti a nessun servizio.
Non avrò mai la sicurezza al 100% ma in questo modo mi sento sicuro perché tutti i miei dati non passano per soggetti terzi.

LLATIITAY · 25 dic 2022

magick81 fai molto bene invece a usare KeePass. Non sara' il massimo il modo in cui lo tieni sincronizzato (forse sarebbe meglio un qualcosa tipo una Storage Box di Hetzner ad esempio, fatte apposta per salvare file), ma non essendo cmq un modo "convenzionale" almeno ti eviti lo stesso la pesca a strascico come nel caso di Lastpass... E la doppia chiave passphrase + keyfile non e' certo banale da reversare. Molto meglio cosi' che le classiche alternative precotte in "cloud", quelle si' che mi fanno sempre storcere il naso.

magick81 file di testo in una cartella dello smartphone protetta dall'impronta

Cosi' pero' ti stai cmq fidando del produttore del tuo smartphone e relativi "cloud" sempre presenti, e lo fai proprio per la banca... Io userei cmq KeePassXC, tanto mica devi metterci per forza riferimenti reali li' dentro... Ma vabeh io uso anche token fisici per gli OTP delle banche

Mmatteocontrini · 25 dic 2022

magick81 ma non ho mai capito perché usare un gestore di password in cloud

Perché funzionano oggettivamente meglio, basta provarli per vedere che KeePass non è paragonabile come qualità e comodità (e senza considerare che un setup come il tuo è da utente esperto, quindi non per tutti). I rischi restano comunque estremamente limitati, basta fare un po' di attenzione al servizio che si sceglie e si può dormire tranquilli. Come via di mezzo c'è anche Bitwarden self hosted, in caso.

Meanwhile LastPass sta bloccando la possibilità di cancellare l'account, se qualcuno aveva ancora dubbi sul servizio: https://infosec.exchange/@chiesennegs/109570145849933257 (notare il delete_account.php...)

LucaTheHacker · 25 dic 2022

magick81 ma non ho mai capito perché usare un gestore di password in cloud

Perché non tutti hanno poche password, io sono sulle 500 circa e spesse volte devo aggiornare roba, o aggiungere una nuova password al volo per usarla da un'altra parte, sai che rogna dover ogni volta sincronizzare a mano?

magick81 un file key salvato su ogni pc che uso

Così se ti serve di accedere da un altro PC sei fregato, oltre che se ti fottono il disco hanno il tuo bel DB

magick81 il DB caricato su un hosting di quelli usati per siti web

Ottima sicurezza, io considererei di tornare al cloud gestito da qualcuno di forse più competente.

magick81 Ho la stessa comodità di servizi come Lastpass senza dovermi preoccupare di eventuali data breach

HAHAHAHHAHAHAHHAHAHAHHAHA

magick81 quelli sono su un file di testo in una cartella dello smartphone protetta dall'impronta

Spero tu abbia un telefono dotato di qualche sistema serio di sicurezza

matteocontrini Meanwhile LastPass sta bloccando la possibilità di cancellare l'account, se qualcuno aveva ancora dubbi sul servizio: https://infosec.exchange/@chiesennegs/109570145849933257 (notare il delete_account.php...)

Madonna che clownata

edofullo · 25 dic 2022

matteocontrini Come via di mezzo c'è anche Bitwarden self hosted, in caso.

Che alla fine è quello che faccio io.

È vero che probabilmente è "meno sicuro" rispetto ad affidarsi a qualcuno di questi servizi che lo fa per lavoro, però la superficie di attacco è molto più limitata.
Se qualcuno prova seriamente ad entrare e riesce a bypassare fail2ban, 2FA yubikey, traefik "ben configurato" e master password vuol dire che sono stato specificatamente preso di mira e forse a quel punto ho problemi maggiori (a meno di grossissime falle di sicurezza nel software ma lo tengo comunque aggiornato).

Invece affidandosi "al cloud" i tuoi dati sono insieme a tutti quelli di altri quindi in caso l'attacco riesca ruba decine di migliaia di account e non solo uno o due, quindi è molto più remunerativo.

LLATIITAY · 25 dic 2022

LucaTheHacker cloud gestito da qualcuno di forse più competente

Certo, come no, mi raccomando fidati del primo che passa solo perche' ha dei bravi markettari che sanno vendere bene...

LucaTheHacker se ti fottono il disco hanno il tuo bel DB

Evidentemente se dici cosi' significa che non hai mai usato KeePass. Per sbloccare va usata sia il keyfile che la passphrase. Non basta solo il keyfile e non basta solo la passphrase (e ovviamente non basta solo il DB), servono tutti e tre insieme.

LucaTheHacker Madonna che clownata

Lastpass usava AES-ECB. ECB. Altro che IGE...

edofullo È vero che probabilmente è "meno sicuro" rispetto ad affidarsi a qualcuno di questi servizi che lo fa per lavoro

Io non credo, e sinceramente, non capisco perche' tutti debbano sempre sottovalutarsi e allo stesso tempo sopravvalutare cosi' tanto l'operato e le competenze dei terzi...

edofullo Se qualcuno prova seriamente ad entrare e riesce a bypassare fail2ban, 2FA yubikey, traefik "ben configurato" e master password vuol dire che sono stato specificatamente preso di mira e forse a quel punto ho problemi maggiori

edofullo Invece affidandosi "al cloud" i tuoi dati sono insieme a tutti quelli di altri quindi in caso l'attacco riesca ruba decine di migliaia di account e non solo uno o due, quindi è molto più remunerativo.

Appunto. Farsi le cose in casa innanzitutto evita la pesca a strascico. E poi, se qualcuno vuole prenderti di mira specificatamente, pur sempre gli stai rendendo la vita piu' complicata, visto che non basta corrompere l'amico dell'amico/mostrare un mandato non necessariamente legittimo/fare la pesca a strascico nel punto in cui il "cloud" e' in chiaro/etc, ma devono venire a bucare esplicitamente la tua infrastruttura usata solo da te...

MMarco25 · 25 dic 2022

Alla luce di tutti i commenti riassumo questo setup per il "password manager in cloud fai da te"

Database KeePass salvato su Google Drive
Account Google protetto con 2FA unicamente tramite token di sicurezza USB.
Cifratura database tramite keyfile pieno di dati casuali + password. Keyfile salvato il chiaro sul PC per comodità.

Razionale delle scelte:

Ritengo Google l'azienda più difficile da hackerare in assoluto, per cui ottima protezione dai data breach.
I token di sicurezza sono vincolati al dominio offrendo una protezione eccellente contro il phishing.
L'apporto del keyfile alla cifratura protegge contro attacchi forza bruta in caso di data breach dei server Google.

simonebortolin · 25 dic 2022

Marco25 Mi sembrano tanto quei post da social blu in stile pulisci le zampe del gatto con la candeggina prima di farlo entrare, sia mai che abbia pestato il covid...

LLATIITAY · 25 dic 2022

simonebortolin e invece e' una cosa che ha molto senso, se si considera Google Drive una soluzione accettabile (quindi se sta bene usare un account Google con tutte le conseguenze del caso)

Filippo94 · 25 dic 2022

Attualmente sto usando BitWarden, in precedenza 1Password.

Mmagick81 · 25 dic 2022

LATIITAY sullo smartphone non ho fatto l'accesso al cloud del produttore, solo all'account Google e ho comunque impostato di non sincronizzare nulla, solo le email con l'app Gmail. La cartella protetta è una sezione dello storage che comunque non verrebbe sincronizzata. Però in effetti potrei creare una voce su KeePass con nome fittizio e tutto salvato nelle note in mezzo ad altri dati non reali.
matteocontrini ho provato a usare Lastpass e sinceramente la comodità in più rispetto a KeePass non l'ho vista. Certo non posso accedere se non ho il mio pc con me, ma non ne ho mai sentito l'esigenza. In realtà potrei anche portarmi dietro il key file, un po' più scomodo ma penso che la sicurezza sia principale.

LucaTheHacker io non sincronizzo nulla a mano, KeePass accede al DB direttamente dall'hosting, quindi semplicemente lo apro, modifico o aggiungo voci e salvo, esattamente come farei con Lastpass.
Per il resto invece di ridere argomenta. Non ricordo di aver mai letto di provider hosting hackerati, proprio perché di solito non c'è niente di importante da sottrarre, al massimo qualche attacco brute Force verso i login di WordPress. Il senso della sicurezza nelle mie impostazioni è non affidarsi a sistemi informatici di terzi che possono sempre essere hackerati, ma rendere sconveniente il rapporto costi benefici dell'operazione. Almeno come dice Edofullo qualcuno non abbia preso di mira proprio me, ma in quel caso le rogne per me sarebbero maggiori di un DB sottratto a cui comunque non si potrebbe accedere senza password principale e key file.

P.S. Scusate ma non so come si quota, per cui ho citato solo i nickname.

LLATIITAY · 25 dic 2022

magick81 sullo smartphone non ho fatto l'accesso al cloud del produttore, solo all'account Google e ho comunque impostato di non sincronizzare nulla, solo le email con l'app Gmail

Eh, magari fosse cosi' semplice. Google ha cmq pieno accesso allo smartphone, pari a cio' che avrebbe l'utente con l'accesso di root. Che poi ci si voglia fidare di Google, che non faccia cose che non gli vengano dette, che non venga bucato, e anche che non venga mai bucato il proprio account Google collegato al telefono, ok... Io non mi fiderei mai cosi', ma d'altronde da parecchi anni e' impossibile utilizzare un telefono con Google Android nuovo senza procedere cosi' (e senza invalidare la garanzia). Ma cmq io preferirei lo stesso KeePass

In particolare per Gmail pero', mi ricordo che su Google Android relativamente recente (era l'anno scorso su un telefono nuovo di fascia media uscito da poco) per attivare la sincronizzazione automatica dell'email Gmail (e quindi poter ricevere le notifiche delle mail in arrivo) bisognava attivare la sincronizzazione dell'intero telefono, o perlomeno questo era cio' che un prompt chiedeva con insistenza di fare... Poi non saprei se si riesca effettivamente ancora a disattivare la sincronizzazione di tutto tranne Gmail...

magick81 P.S. Scusate ma non so come si quota, per cui ho citato solo i nickname.

Dopo aver selezionato il testo, compare l'opzione "Cita"