• Off-topic

  • sondaggio password manager: 1password,bitwarden o altro?

Io non capisco (ma magari è un mio limite e davvero vorrei un chiarimento) perché si continui a raccomandare BitWarden o 1Password.

Stiamo parlando di password salvate su un cloud di terzi, assieme ad altre milioni di casseforti. Abbastanza appetibile per gruppi di criminali in cerca di falle.
Perché non raccomandare invece SafeInCloud, con database criptato e poi salvato su Google Drive, OneDrive, Dropbox o altro via WebDav? Magari dedicato e con MFA attiva.

Ok, BitWarden è open-source. E ok, puoi self-hostarlo (se sai cosa fai, altrimenti è peggio) ma, salvo essere skillati e usare quest'ultima opzione, credo sia più probabile un data breach in un server cumulativo che nel OneDrive dedicato del signor nessuno.

Cosa sbaglio? Hanno la crittografia zero-knowledge?

    A leggere tutti sti commenti, inizio a credere che il vecchio quaderno di carta che usano i miei genitori, magari gestito con criterio, sia molto meglio di tutte ste app.

    Spero che si muovano con le passkeys in modo da rendere obsoleto questo sistema così antico (ci saranno delle criticità anche lì ma almeno non bisognerà più litigare con anziani convinti di ricordarsi password vecchie, con caratteri che nemmeno sanno come si chiamino).

    Sheldon88 perfettamente d’accordo. Ogni servizio “funziona benissimo” finché non viene bucato.
    Personalmente uso KeepassXC su pc ed equivalenti su dispositivi mobili. Non vedo la necessità di avere il database delle password nel cloud, le volte che modifico o aggiungo una nuova voce copio a mano sui vari dispositivi perdendo ben due minuti ogni volta. 😂

        Sheldon88 Stiamo parlando di password salvate su un cloud di terzi, assieme ad altre milioni di casseforti. Abbastanza appetibile per gruppi di criminali in cerca di falle.

        1Password è credo l'unico password manager che usa una doppia chiave concatenata per cifrare i dati, una scelta dall'utente e l'altra generata casualmente (entrambe sono conservate solo dall'utente), rendendo infattibili gli attacchi brute force in caso di data breach. Quindi quel rischio di fatto non c'è.

        https://blog.1password.com/how-1password-protects-your-data/

        Aggiungiamoci i 7 audit indipendenti eseguiti sono nel 2022, SafeInCloud non ne ha nemmeno mezzo: https://support.1password.com/security-assessments/

        Per il resto, la qualità di 1Password direi che è indiscutibile. Se hai un problema con l'autofill su un sito fatto male basta che scrivi al supporto e aggiungeranno una regola personalizzata, con altri password manager buona fortuna.

            [cancellato] Quale dovrebbe essere allora la sicurezza di un database tutto in cloud fin dall'origine

            E che lo dice? Se il client è open source si può verificare che la cifratura sia fatta in locale.

            Se lo mettete su Google Drive o simili allora potete usare un bitwarden per esempio (selfhost o no non importa) che fa la stessa cosa e sa gestire i conflitti di sincronizzazione sicuramente meglio di Google Drive che si vede un singolo archivio tutto cifrato e non sa cosa farci.

            Se uno invece vuole tenersi tutto in locale o sincronizzarselo via LAN (Syncthing quando non fa bestemmiare funziona bene per questo) allora decisione rispettabilissima.

            Sheldon88 Perché non raccomandare invece SafeInCloud, con database criptato e poi salvato su Google Drive, OneDrive, Dropbox o altro via WebDav?

            E cosa cambia se il database è salvato su Bitwarden o Google Microsoft/Dropbox scusa?

            Sheldon88 se sai cosa fai, altrimenti è peggio

            E chi lo dice? A parte che sei un target di molto basso profilo, poi cos'è la cosa peggiore che potrebbe succedere? Che ti rubano il database. Ok, ma se tu lo hai già volotariamente dato in mano a Google/Microsoft l'hai già perso comunque...

            DottorG le volte che modifico o aggiungo una nuova voce copio a mano sui vari dispositivi perdendo ben due minuti ogni volta.

            Io non ce la farei mai, a iniziare con lo SPID che ogni 3 mesi vuole il cambio obbligatorio.

            matteocontrini Peccato che ora non ci sia nessun'altra possibilità se non si usare il loro cloud ad abbonamento mensile... stile adobe.

                        matteocontrini Da sempre io ho usato Bitwarden, un ottimo servizio che continuo a consigliare a tutti, essendo open source. Ma personalmente dopo l'attacco a LastPass di dicembre scorso ho sondato il mercato in cerca di alternative più sicure e mi sono imbattuto in 1Password. Sicuramente la doppia chiave concatenata è un bel passo in avanti in termini di protezione, poiché la Secret Key non è mai salvata nel Cloud ma ugualmente necessaria per decrittare i dati, perciò una bella cosa in caso di data breach. Inoltre, la UI certamente è più curata rispetto a Bitwarden, ma per un servizio che si fa pagare 30 euro all'anno me lo aspetto, ma personalmente vale la pena. Non penso tornerò più indietro.

                        edofullo Peccato che ora non ci sia nessun'altra possibilità se non si usare il loro cloud ad abbonamento mensile... stile adobe.

                        Personalmente, per 30 euro annuali vale la pena, capisco la frustrazione del passaggio da un pagamento una tantum ad un abbonamento, ma comunque il gioco vale la candela.

                            Io di recente sono passato da keepassxc sincronizzato tramite samba (dietro vpn) a vaultwarden* (dietro vpn).

                            Lato sincronizzazione tra più dispositivi l'esperienza è migliorata molto, per dirne una ora il tutto funziona anche offline. Anche su mobile l'integrazione è ben fatta. Però su desktop mi trovavo meglio prima.

                            L'integrazione con Windows hello mi sembra più macchinosa. Su desktop per avere un minimo di autocompletamento devo installare le estensioni in tutti i browser, devo associare le credenziali a un sito web (cosa che non mi piace come idea), ma anche così a volte fallisce. Inoltre la scorciatoia di autocompletamento non è applicabile a tutti i casi (esempio se si ha un multiaccount, bisogna per forza aprire l'estensione) e se la cassaforte non è già sbloccata ti apre una nuova scheda (lo trovo fastidioso). Per non parlare delle normali applicazioni, dove bisogna affidarsi alla sicurezza della clipboard...
                            Invece con keepassxc avevo un'unica app, che chiedeva l'impronta immediatamente, con un'unica scorciatoia di auto-type che funzionava ovunque, senza schede o popup che si aprivano nel browser.

                            * vualtwarden è un'implementazione alternativa del server di bitwarden, quindi compatibile con i client di bitwarden

                            matteocontrini
                            Grazie per la risposta.
                            Per la chiave scelta dall'utente, ok; per quella "casuale", avrei sempre il timore che venisse fuori che tanto casuale non è. Magari saranno superpippe, eh, ma giacché valutiamo il tema nel suo complesso e nella sua complessità...
                            Per quanto riguarda gli audit, spero non siano come quelli che riceviamo in azienda, dove gli auditor guardano ciò che fa piacere a te, per non perdere il cliente, segnalando giusto un paio di non conformità minori.

                            Con questo non voglio sminuire 1Password, sia chiaro. Non escludo che possa effettivamente essere una soluzione migliore.

                            edofullo E cosa cambia se il database è salvato su Bitwarden o Google Microsoft/Dropbox scusa?

                            Come dicevo, suppongo sia più probabile che dei criminali informatici puntino al server di BitWarden, contenente milioni di password, che al mio Drive, no?
                            Poi siamo d'accordo che, come spiegava Matteo, nel caso di 1Password ci sia la doppia cifratura. Con BitWarden non so; mi sai dire?
                            Ah, altra domanda: quindi il database BitWarden si potrebbe salvare sul mio OneDrive, per dire?

                                  Bitwarden in locale

                                  Sheldon88 Per la chiave scelta dall'utente, ok; per quella "casuale", avrei sempre il timore che venisse fuori che tanto casuale non è

                                  Considera che è una chiave di 26 caratteri randomici con 128 bits di entropia, perciò direi che sia abbastanza sicura. Inoltre, non serve solo quella per decrittare i dati. C'è anche la master password che scegli tu. Se ne scegli una sufficientemente difficile, le cose direi che cambiano notevolmente. Essendo necessarie entrambe, in caso di bruteforce l'attaccante non saprà mai che una delle due sia corretta, perciò questo rende quasi impossibile trovare la giusta combinazione.

                                    Mi sta sfuggendo qualcosa a me, oppure 1Password sta venendo glorificato per una funzionalità che si può ottenere anche con qualunque altro gestore?

                                    Mi spiego meglio: se genero io i miei 34 caratteri casuali, e li aggiungo in testa/coda alla mia passphrase su qualsiasi password manager, non sto ottenendo lo stesso risultato?

                                    E comunque, con una master password sufficientemente difficile, secondo me decade anche tutto il discorso della "Secret Key".

                                      cristianlivella Mi spiego meglio, così magari si capisce meglio il suo funzionamento. Per criptare i dati, viene generata una chiave privata salvata sui server che può essere indovinata solamente con la giusta combinazione di password e chiave segreta, che NON sono salvati sul cloud. E fin qui ci siamo. Ora, se un attaccante riuscisse ad accedere ai server di 1Password, cosa ovviamente non impossibile, si troverebbe davanti dei dati crittati da questa chiave privata. Per decrittarla, deve indovinare la giusta combinazione di chiave segreta e password, perciò per OGNI singola password possibile, l'attaccante dovrebbe provare 2 alla 128 chiavi segrete. E, dato che ovviamente la chiave viene decrittata solamente con la giusta combinazione di entrambe, anche se l'attaccante provasse una combinazione con la giusta password o con la giusta chiave segreta, ugualmente non lo saprebbe, perché i dati sarebbero ugualmente protetti dall'altro elemento, dunque deve provare ogni singola chiave segreta (2 alla 128) per ogni singola password possibile, le cui combinazioni sono altrettanto elevatissime, fino a quando non trova ENTRAMBE corrette contemporaneamente. Perciò, la chiave segreta fa da ulteriore scudo per rallentare notevolmente un attacco fino a renderlo QUASI impossibile. Se per una singola password servono 2 alla 128 tentativi e ovviamente si provano prima le password più comuni tipo "1234", anche in questo caso il tempo per trovare la combinazione è enorme, immagina con una password altrettanto sicura. Spero di essere stato chiaro.

                                        domanda : avendo iPhone e Macbook,se utilizzassi il portachiavi di apple?che mi permetterebbe di utilizzare anche le passkey e sincronizzarle su icloud...potrebbe essere una buona soluzione?

                                          ale_prince Certo, hai anche le note sicure. Sicuramente è quella più integrata in ambiente Apple (a patto di usare Safari, non so come si comporti con gli altri browser) e probabilmente anche la più sicura.
                                          Di contro hai una interfaccia e funzionalità basic anche se ci stanno lavorando su negli ultimi anni.

                                              cristianlivella la questione era se evitare o meno i password manager cloud per il rischio di data breach, e il modello di 1Password abbatte i rischi proprio perché a prescindere dalla password che scegli c'è sempre una "seconda password" generata con criterio a proteggere i dati cifrati.

                                              Puoi certamente fare password lunghe un chilometro e fare attenzione all'entropia ecc. con qualsiasi sistema, ma il punto è che un modello come quello di 1Password rende la soluzione sicura by design, per cui il fattore cloud diventa in questo caso meno rilevante nella scelta, secondo me.

                                                matte_car Certo, hai anche le note sicure. Sicuramente è quella più integrata in ambiente Apple (a patto di usare Safari, non so come si comporti con gli altri browser) e probabilmente anche la più sicura.
                                                Di contro hai una interfaccia e funzionalità basic anche se ci stanno lavorando su negli ultimi anni

                                                sull M1 utilizzo chrome perchè va meglio di safari🙂 c'è comunque l'estensione per chrome del portachiavi di icloud da più di un anno🙂

                                                  ale_prince 1Password ha intenzione di integrarle, ha già annunciato che verranno rilasciate "early 2023" e c'è già un mockup sul loro sito che funziona con le attuali versioni. Anche Bitwarden ha affermato che ci stanno lavorando, però non hanno ancora una finestra di lancio precisa. A mio parere, utilizzare iCloud Keychain non è il massimo, poiché oltre ad essere limitato unicamente all'ecosistema Apple non c'è moltissima apertura sull'esatto funzionamento dello stesso, che non è da sottovalutare. Sempre meglio avere tutto separato, secondo me, solo su un password manager.

                                                      Io utilizzo da sempre Keepass su Windows, un client compatibile su Linux (ora non ricordo il nome) e KeePass2android sugli smartphone. Gli archivi crittografati ce li ho in una cartella di Google Drive condivisa con i membri della famiglia, ognuno utilizza il suo ma eventualmente io, conoscendo le Pass phrase, posso utilizzare anche i loro.
                                                      Che vantaggi otterrei utilizzando KeePassXC che avete menzionato prima?
                                                      Nom utilizzo nessuna estensione web su PC e anche su smartphone faccio copia-incolla, non comodissimo ma ci sono abituato

                                                      Sheldon88 io ho scelto SafeInCloud proprio per questo motivo, cassaforte sul mio cloud e non in giro, alla quale posso accedere sia da telefono che pc

                                                        Michele144 il problema è che 1password 8,che è l'ultima versione dell'app,su iOS non gira bene

                                                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                          P.I. IT16712091004 - info@fibraclick.it

                                                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile