Casseforti di LastPass sottratte nel recente data breach
oppure per fare ancora prima usate il cell soltanto per lavoro come faccio io e buonanotte
magick81 io non sincronizzo nulla a mano, KeePass accede al DB direttamente dall'hosting, quindi semplicemente lo apro, modifico o aggiungo voci e salvo, esattamente come farei con Lastpass.
Di bene in meglio insomma, evviva la sicurezza.
magick81 Non ricordo di aver mai letto di provider hosting hackerati, proprio perché di solito non c'è niente di importante da sottrarre, al massimo qualche attacco brute Force verso i login di WordPress
Non lo leggi perché chi li usa è solitamente un imbecille e si fa bucare prima ancora che venga bucato l'hosting.
Poi parliamo di roba gestita con pannelli di qualche millennio fa, tutto sicuro eh, mi raccomando continua a fidarti.
Marco25 lol, paradossalmente anche i Chromebook sono i computer piu' aperti, con addirittura il firmware dell'EC open source (fork di coreboot) e ricompilabile liberamente...
LucaTheHacker ma la smetti di sparare a zero a caso? La sua soluzione e' sicura. Chi buca l'hosting vede un file a caso che non puo' decifrare e magari non puo' manco collegare ad una persona fisica. Dovrebbero attaccare lui nello specifico, sapere che tiene le password salvate in questa specifica maniera, poi rubargli/bucargli un computer per ottenere il keyfile, e poi far cosi' per ottenere anche la password. Piuttosto, di sicuro con la sua soluzione e' protetto dalla pesca a strascico, il che di questi tempi e' senza dubbio un obiettivo sensato per i "comuni mortali" 
altra domanda a voi esperti: dimenticavo che ho anche l'autenticazione a due fattori attiva oltre alla master password...serve a qualcosa in questo tipo di data breach?
LucaTheHacker Di bene in meglio insomma, evviva la sicurezza.
Ti rinnovo l'invito a spiegare perché non sarebbe sicuro e cosa fa di diverso Lastpass quando accedi al database.
LucaTheHacker Poi parliamo di roba gestita con pannelli di qualche millennio fa, tutto sicuro eh, mi raccomando continua a fidarti.
Gestito con cPanel sempre aggiornato. Non mi sembrano che siano gli ultimi scappati di casa nei pannelli di gestione degli hosting.
Ti ripeto: l'obiettivo è evitare che il mio DB finisca in mezzo a migliaia di altri così da rendere sconveniente il rapporto costi/benefici impossessarsi di solo il mio database.
La realtà dei fatti è che mentre qui state a chiedervi se il vostro database su Lastpass rientra nel data breach, se la masterphrafse è abbastanza sicura, se il DB può essere bucato, se l'autenticazione a due fattori è utile in questi casi, io non ho di queste insicurezze.
ale_prince ho anche l'autenticazione a due fattori attiva oltre alla master password...serve a qualcosa in questo tipo di data breach?
No, l’autenticazione a due fattori protegge il login a LastPass ma in questo caso gli hacker hanno bypassato il tutto e copiato direttamente la cassaforte.
ale_prince no, visto che il secondo fattore proteggeva la porta di accesso, ma i ladri son passati dalla finestra
- Modificato
- Modificato
ale_prince quello si', uno dei problemi grossi cmq e' che gli account piu' vecchi erano cifrati in maniera abbastanza ridicola, ad esempio con AES in modo ECB, o con poche iterazioni dell'algoritmo di trasformazione della password nella master key... Quindi sono piu' vulnerabili a vari tipi di attacchi (soprattutto se la password e' relativamente facile da indovinare con un attacco bruteforce)
LATIITAY io sono dal 2019 con loro...
- Modificato
Cmq per chi diceva di fidarsi di Google ancora oggi... E' bello il tempismo con cui accadono certe cose 
Ecco un blog post fresco fresco (e relativi commenti su HN) di un account Google che "fa come gli pare" dal nulla, addirittura deconfigurando la 2FA U2F (YubiKey) in automatico...
https://news.ycombinator.com/item?id=34141497
https://lunnova.dev/articles/google-just-to-be-safe/
- Modificato
Secondo me c'è sia una cattiva che una buona notizia.
L'unica comunicazione di LastPass sull'incident è stata una e-mail (una) di poche righe, il 23/12, che rimanda ad un articolo (uno) sul loro blog del 22/12.
L'articolo del blog afferma che l'hacker ha copiato "una copia del backup dei dati delle vault/casseforti dei clienti". Questa frase mi fa capire che in quella copia c'erano tutti i clienti di LastPass, e non una frazione di essi. Il fatto che non l'abbiano specificato avvale il sospetto che sia proprio così. Quindi, notizia cattiva, riguarda tutti, davvero tutti i clienti.
L'articolo comunica in seguito che tale copia contiene sia dati criptati che non.
Non criptati = siti/url,
Criptati = user/password
quelli criptati - afferma l'articolo - restano sicuri - e possono essere decriptati solo con la masterpassword che non è salvata da LP. Ed è gestita solo lato client. Penso che questa sia una buona notizia.
Naturalmente LP prosegue l'articolo ipotizzando che certamente l'hacker avrebbe provato a forzare la password master, che se creata con le "best practices" di cui anche sul questo 3d si è parlato, è poco probabile che sia bucata. La parte simpatica dell'articolo - e onestamente la più rassicurante - è quando afferma che
it would take millions of years to guess your master password using generally-available password-cracking technology
L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
Sembrerebbe un algoritmo che ha l'obiettivo di rendere difficile indovinare la password, ma non lo capisco, dato che la difficoltà sta nella scelta della stessa. E non comprendo cosa sia il valore di iterazioni, settato per default a "100,100 rounds".
L'altra cosa che non mi è chiara è se io riceva delle notifiche se qualcuno prova ad "indovinare" la mia master ?
Marco25 beh io l'anno scorso sono stato chiuso fuori da diversi account Google (sia Gmail che account amministratori di Google Apps), pur avendoli usati sempre e solo dallo stesso IP statico e computer, ad una certa si rifiutava di farmi entrare perche' non riconosceva piu' la "posizione" di accesso, poi dopo qualche tentativo ha cominciato a chiedere di configurare un numero di telefono, cosa che alla fine ho fatto procurandomi una nuova SIM iliad con nuovo numero (quindi con numero sicuramente non riciclato), ma non gli e' piaciuto lo stesso, dice sempre che al momento non vogliono farmi accedere per motivi di "sicurezza".
Evidentemente non gli piace che un account venga usato senza alcun dispositivo o software "spione" collegato, con accesso una volta ogni tanto... Un amico che lavorava per loro mi disse che per "risolvere" avrei dovuto provare ad accedere da un telefono Google Android con i Play Services e senza root. Col cavolo, piuttosto perdo gli account, tanto erano anni che non li usavo, e non c'era nulla di importante dentro. 
- Modificato
RanieroFas L'unica cosa che non mi è chiara - spero che qualcuno di voi possa spiegarmelo - è il concetto di iterazioni.
LastPass non salva la master password in chiaro, e neanche criptata in maniera reversibile. Piuttosto applica una funzione non invertibile che converte la password in una stringa chiamata hash. Non è possibile ottenere una password dall'hash ma puoi provare a applicare la stessa funzione di hash alla password finché non ottieni l'hash salvato.
Per rendere questa operazione più difficoltosa piuttosto che salvare hash(password), salvi hash(hash(hash(hash(hash(password))))), "nidificato" 5 volte. In questo modo per scoprire la password devi calcolare l'hash 5 volte, aumentando il costo in termini di risorse computazionali. Il numero di nidificazioni è detto iterazioni.
Se le iterazioni sono troppo poche, il numero di password al secondo è molto alto, se troppe lo sblocco della cassaforte da parte dell'utente sarebbe troppo lento.
LATIITAY Un amico che lavorava per loro mi disse che per "risolvere" avrei dovuto provare ad accedere da un telefono Google Android con i Play Services e senza root.
Sì perché in questo caso hai una minima attestazione che davanti c'è un utente reale e non un bot che ha modificato il sistema per tentare accessi fraudolenti.
- Modificato
Marco25 Sì perché in questo caso hai una minima attestazione che davanti c'è un utente reale e non un bot che ha modificato il sistema per tentare accessi fraudolenti.
Eh mica tanto nel mio caso, l'accesso fraudolento sarebbe quello da un dispositivo "spione" mai usato prima (l'amico mi diceva anche di accedere con la rete dati mobile, per cui, proprio con ambiente totalmente diverso dal solito), mentre sarebbe autentico un accesso dallo stesso IP statico di sempre, che pero' ovviamente non gli sta bene perche' con tutte le protezioni del caso non ci guadagnano mezza virgola di dati cosi'...
Ma vabeh, meglio cosi'. Non gli avrei mai pagato gli abbonamenti a Google Apps, figuriamoci un telefono nuovo che avrei dovuto usare solo per poter sbloccare degli account che avevo cmq sostituito da tanti anni. Chissa' piuttosto quando sara' che cancelleranno tutti i dati in automatico...
LATIITAY
Non ho capito molto il discorso ma
Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici
I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo
I dati Google li cancella in automatico solo se hai dato il consenso, c'è anche il trattamento di dati in caso di decesso del utente, in modo da consentire ad un utente certificato di estrarre dei dati se necessario
Se non effettui l'accesso per tot. Tempo, si avvia la procedura
- Modificato
bortolotti80 Se l'IP è sempre lo stesso, le richieste sono sempre uguali e anonimizzate, allora vengono trattate come spam/bot da qualsiasi servizio, perché si comportano in questo modo i bot più generici
??? Io parlo di un IP statico che e' sempre e solo stato utilizzato per accedere a degli account Google. E ora da un anno magicamente Gogole riconosce la posizione di accesso in base all'IP come "insolita" e quindi non mi fa piu' accedere, neanche dopo verifica di numero di telefono preso nuovo apposta. La soluzione propostami sarebbe di accedere da altro IP, ma utilizzando device Google "spione". Che non ha senso, non e' certo a tutela mia ma solo dei loro interessi. Ma non intendo ne' spendere altri soldi (gia' ci ho perso una SIM, figuriamoci un telefono solo per questo!) ne' tantomeno legare dati di telemetria cosi' invasivi a quegli account, piuttosto perdo gli account, visto che sono oltre 10 anni che non li usavo piu' regolarmente.
bortolotti80 Se non effettui l'accesso per tot. Tempo, si avvia la procedura
Ottimo. Visto che mi e' impedito l'accesso per motivi di """sicurezza""", allora verranno cancellati. Chissa' quanto ci metteranno.
bortolotti80 I bot di Google o Microsoft hanno dei riconoscimenti (per esempio con challenge JavaScript) per non essere bloccati dagli amministratori di rete volendo
Questa frase non ha senso cosi' come esposta. Sono io l'amministratore di rete, e non vedo in che maniera dovrei applicare "challenge JavaScript" (? che c'entrano?) sulla mia rete per non farmi bloccare da Google (che ha bloccato quegli account, non la rete, non e' mica Akamai)... E sono anni che non vedo captcha di Google, la mia rete e' "pulita" sotto questo aspetto.
/OT 