• Off-topic

  • sondaggio password manager: 1password,bitwarden o altro?

nexus Ad ogni aggiornamento puoi esportati una copia da tenere in locale o se vuoi stare più sicuro ( data breach and co.) niente password manager in cloud ma un file cifrato da tenere in copia un po' ovunque, tuttavia poi saltano fuori i problemi sui dispositivi mobili per la decifratura.
I wallet desktop locali sono un'altra soluzione, ma sono appunto locali e utilizzabili solo da PC e non tutti hanno sempre con loro il notebook.

È certo che con tutti i servizi e account che utilizziamo il cloud è troppo comodo per poterci rinunciare.

    ale_prince il top del top è bitwarden self hosted a parer mio… se te lo hosti a casa spese 0.
    altrimenti bitwarden premium è un’ottima alternativa da tenere in considerazione a parer mio….

    gli altri boh, tanto marketing e poca sostanza….

      1Password, motivazione qui .

      Ti consiglierei Authenticator di Microsoft io la uso anche per l'accesso a due fattori e mi trovo molto bene.

      Personalmente uso da un paio di anni SafeInCloud , crea la tua cassaforte su un tuo cloud al posto di essere altrove , se usato su telefono costa una tantum 3,99

      Personalmente ormai è un paio di anni che ho Bitwarden (Vaultwarden) selfhost e non vedo alcun motivo di cambiare, ultimamente (grazie connessione 100 Mbps up) uso anche la funzione "Send" per quando devo mandare file ad amici, comoda.

      Capisco che se uno è proprio molto scrupoloso possa voler tenere il database in locale (KeePassXG & Co), però non venitemi a dire che poi lo mettete su Google Drive per "sincronizzarlo" 🤦

      matte_car nell'ultima versione senza abbonamento

      Che depressione, sentivo parlare benissimo di 1Password che se non mi ricordo male era tutto locale e si sincronizzava via LAN, tanta roba!

      Ora anche loro vogliono il pizzo mensile.

          • [cancellato]

          • Messaggio #17

          edofullo Capisco che se uno è proprio molto scrupoloso possa voler tenere il database in locale (KeePassXG & Co), però non venitemi a dire che poi lo mettete su Google Drive per "sincronizzarlo"

          Spiegati per favore, una volta che il database è criptato già in locale quale sarebbe il problema a sincronizzarlo poi su un cloud qualunque? 😕 Quale dovrebbe essere allora la sicurezza di un database tutto in cloud fin dall'origine (1pass, lastpass e altri spioni vari)...? 😲

              edofullo Che depressione, sentivo parlare benissimo di 1Password che se non mi ricordo male era tutto locale e si sincronizzava via LAN, tanta roba!

              Sì, potevi scegliere tra metodi locali, Dropbox ed iCloud, personalmente usavo l'ultimo.

              In teoria continua ad andare ancora: ad oggi uso l'ultima versione dell'app sul telefono e 1Password 6 su mac (che però non funziona più sugli M1, quando cambierò il fisso dovrò abbondonare 1Password) e continuano a sincronizzarsi via iCloud.
              La bastardata che hanno fatto è stata che il plugin di Safari (il mio browser di default) richiede un aggiornamento per continuare a funzionare sulle ultime versioni ma, Agilebits, ha deciso di aggiornare il plugin solo per le nuovi versioni di Safari quindi, chi si è fermato alla v6 (l'ultima funzionante anche solo in locale), ha perso il plugin ed ogni volta che cambia/crea/aggiorna un password, deve andare ad aggiornarsela manualmente, rendendo l'uso estremamente macchinoso e scomodo.

              Contando che Apple ha spinto molto verso un portachiavi più a misura d'uomo nelle ultime major release, credo tanto che dal prossimo aggiornamento, farò tutto con quello di sistema.

                Io uso bitwarden senza abbonamento premium e mi trovo molto bene, non posso che consigliarlo

                Io non capisco (ma magari è un mio limite e davvero vorrei un chiarimento) perché si continui a raccomandare BitWarden o 1Password.

                Stiamo parlando di password salvate su un cloud di terzi, assieme ad altre milioni di casseforti. Abbastanza appetibile per gruppi di criminali in cerca di falle.
                Perché non raccomandare invece SafeInCloud, con database criptato e poi salvato su Google Drive, OneDrive, Dropbox o altro via WebDav? Magari dedicato e con MFA attiva.

                Ok, BitWarden è open-source. E ok, puoi self-hostarlo (se sai cosa fai, altrimenti è peggio) ma, salvo essere skillati e usare quest'ultima opzione, credo sia più probabile un data breach in un server cumulativo che nel OneDrive dedicato del signor nessuno.

                Cosa sbaglio? Hanno la crittografia zero-knowledge?

                  A leggere tutti sti commenti, inizio a credere che il vecchio quaderno di carta che usano i miei genitori, magari gestito con criterio, sia molto meglio di tutte ste app.

                  Spero che si muovano con le passkeys in modo da rendere obsoleto questo sistema così antico (ci saranno delle criticità anche lì ma almeno non bisognerà più litigare con anziani convinti di ricordarsi password vecchie, con caratteri che nemmeno sanno come si chiamino).

                  Sheldon88 perfettamente d’accordo. Ogni servizio “funziona benissimo” finché non viene bucato.
                  Personalmente uso KeepassXC su pc ed equivalenti su dispositivi mobili. Non vedo la necessità di avere il database delle password nel cloud, le volte che modifico o aggiungo una nuova voce copio a mano sui vari dispositivi perdendo ben due minuti ogni volta. 😂

                      Sheldon88 Stiamo parlando di password salvate su un cloud di terzi, assieme ad altre milioni di casseforti. Abbastanza appetibile per gruppi di criminali in cerca di falle.

                      1Password è credo l'unico password manager che usa una doppia chiave concatenata per cifrare i dati, una scelta dall'utente e l'altra generata casualmente (entrambe sono conservate solo dall'utente), rendendo infattibili gli attacchi brute force in caso di data breach. Quindi quel rischio di fatto non c'è.

                      https://blog.1password.com/how-1password-protects-your-data/

                      Aggiungiamoci i 7 audit indipendenti eseguiti sono nel 2022, SafeInCloud non ne ha nemmeno mezzo: https://support.1password.com/security-assessments/

                      Per il resto, la qualità di 1Password direi che è indiscutibile. Se hai un problema con l'autofill su un sito fatto male basta che scrivi al supporto e aggiungeranno una regola personalizzata, con altri password manager buona fortuna.

                          [cancellato] Quale dovrebbe essere allora la sicurezza di un database tutto in cloud fin dall'origine

                          E che lo dice? Se il client è open source si può verificare che la cifratura sia fatta in locale.

                          Se lo mettete su Google Drive o simili allora potete usare un bitwarden per esempio (selfhost o no non importa) che fa la stessa cosa e sa gestire i conflitti di sincronizzazione sicuramente meglio di Google Drive che si vede un singolo archivio tutto cifrato e non sa cosa farci.

                          Se uno invece vuole tenersi tutto in locale o sincronizzarselo via LAN (Syncthing quando non fa bestemmiare funziona bene per questo) allora decisione rispettabilissima.

                          Sheldon88 Perché non raccomandare invece SafeInCloud, con database criptato e poi salvato su Google Drive, OneDrive, Dropbox o altro via WebDav?

                          E cosa cambia se il database è salvato su Bitwarden o Google Microsoft/Dropbox scusa?

                          Sheldon88 se sai cosa fai, altrimenti è peggio

                          E chi lo dice? A parte che sei un target di molto basso profilo, poi cos'è la cosa peggiore che potrebbe succedere? Che ti rubano il database. Ok, ma se tu lo hai già volotariamente dato in mano a Google/Microsoft l'hai già perso comunque...

                          DottorG le volte che modifico o aggiungo una nuova voce copio a mano sui vari dispositivi perdendo ben due minuti ogni volta.

                          Io non ce la farei mai, a iniziare con lo SPID che ogni 3 mesi vuole il cambio obbligatorio.

                          matteocontrini Peccato che ora non ci sia nessun'altra possibilità se non si usare il loro cloud ad abbonamento mensile... stile adobe.

                                      matteocontrini Da sempre io ho usato Bitwarden, un ottimo servizio che continuo a consigliare a tutti, essendo open source. Ma personalmente dopo l'attacco a LastPass di dicembre scorso ho sondato il mercato in cerca di alternative più sicure e mi sono imbattuto in 1Password. Sicuramente la doppia chiave concatenata è un bel passo in avanti in termini di protezione, poiché la Secret Key non è mai salvata nel Cloud ma ugualmente necessaria per decrittare i dati, perciò una bella cosa in caso di data breach. Inoltre, la UI certamente è più curata rispetto a Bitwarden, ma per un servizio che si fa pagare 30 euro all'anno me lo aspetto, ma personalmente vale la pena. Non penso tornerò più indietro.

                                      edofullo Peccato che ora non ci sia nessun'altra possibilità se non si usare il loro cloud ad abbonamento mensile... stile adobe.

                                      Personalmente, per 30 euro annuali vale la pena, capisco la frustrazione del passaggio da un pagamento una tantum ad un abbonamento, ma comunque il gioco vale la candela.

                                          Io di recente sono passato da keepassxc sincronizzato tramite samba (dietro vpn) a vaultwarden* (dietro vpn).

                                          Lato sincronizzazione tra più dispositivi l'esperienza è migliorata molto, per dirne una ora il tutto funziona anche offline. Anche su mobile l'integrazione è ben fatta. Però su desktop mi trovavo meglio prima.

                                          L'integrazione con Windows hello mi sembra più macchinosa. Su desktop per avere un minimo di autocompletamento devo installare le estensioni in tutti i browser, devo associare le credenziali a un sito web (cosa che non mi piace come idea), ma anche così a volte fallisce. Inoltre la scorciatoia di autocompletamento non è applicabile a tutti i casi (esempio se si ha un multiaccount, bisogna per forza aprire l'estensione) e se la cassaforte non è già sbloccata ti apre una nuova scheda (lo trovo fastidioso). Per non parlare delle normali applicazioni, dove bisogna affidarsi alla sicurezza della clipboard...
                                          Invece con keepassxc avevo un'unica app, che chiedeva l'impronta immediatamente, con un'unica scorciatoia di auto-type che funzionava ovunque, senza schede o popup che si aprivano nel browser.

                                          * vualtwarden è un'implementazione alternativa del server di bitwarden, quindi compatibile con i client di bitwarden

                                          matteocontrini
                                          Grazie per la risposta.
                                          Per la chiave scelta dall'utente, ok; per quella "casuale", avrei sempre il timore che venisse fuori che tanto casuale non è. Magari saranno superpippe, eh, ma giacché valutiamo il tema nel suo complesso e nella sua complessità...
                                          Per quanto riguarda gli audit, spero non siano come quelli che riceviamo in azienda, dove gli auditor guardano ciò che fa piacere a te, per non perdere il cliente, segnalando giusto un paio di non conformità minori.

                                          Con questo non voglio sminuire 1Password, sia chiaro. Non escludo che possa effettivamente essere una soluzione migliore.

                                          edofullo E cosa cambia se il database è salvato su Bitwarden o Google Microsoft/Dropbox scusa?

                                          Come dicevo, suppongo sia più probabile che dei criminali informatici puntino al server di BitWarden, contenente milioni di password, che al mio Drive, no?
                                          Poi siamo d'accordo che, come spiegava Matteo, nel caso di 1Password ci sia la doppia cifratura. Con BitWarden non so; mi sai dire?
                                          Ah, altra domanda: quindi il database BitWarden si potrebbe salvare sul mio OneDrive, per dire?

                                                Bitwarden in locale

                                                Sheldon88 Per la chiave scelta dall'utente, ok; per quella "casuale", avrei sempre il timore che venisse fuori che tanto casuale non è

                                                Considera che è una chiave di 26 caratteri randomici con 128 bits di entropia, perciò direi che sia abbastanza sicura. Inoltre, non serve solo quella per decrittare i dati. C'è anche la master password che scegli tu. Se ne scegli una sufficientemente difficile, le cose direi che cambiano notevolmente. Essendo necessarie entrambe, in caso di bruteforce l'attaccante non saprà mai che una delle due sia corretta, perciò questo rende quasi impossibile trovare la giusta combinazione.

                                                  Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                  P.I. IT16712091004 - info@fibraclick.it

                                                  ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile