Italiano

Abbiamo una tecnologia professionale per afferrare la qualità e creare classici

Guarda tutti i prodotti

Avere una forte forza tecnica nel team di ricerca, sviluppo e produzione

Guarda tutti i prodotti

Servizio professionale, tecnologia di produzione avanzata, eccellente qualità del prodotto e buona reputazione.

Guarda tutti i prodotti

LastPass subisce una nuova violazione. I dati dei clienti sono a rischio - HDblog.it

2023-02-22 18:37:39 By : Mr. Jay Zhai

Ennesimo problema per LastPass, che non sta vivendo l'anno migliore per quanto riguarda la sicurezza dei propri sistemi, ancora una volta vittima di un attacco hacker. Solamente ad agosto la società di gestione delle password aveva confermato di aver subito un attacco informatico che ebbe l'effetto di compromettere il suo ambiente di sviluppo con l'accesso da parte di malintenzionati. In quella situazione i dati dei clienti rimasero al sicuro, ma si verificò il furto di alcuni frammenti del suo codice e della documentazione tecnica proprietaria.

Purtroppo per l'azienda si è verificata una nuova minaccia informatica che ha portato a un'inedita violazione della sicurezza, ma questa volta i dati dei clienti non sono rimasti del tutto esenti dagli effetti. Lo si scopre grazie al recente aggiornamento pubblicato sul blog ufficiale, al suo interno il CEO di LastPass, Karim Toubba, ha rivelato pubblicamente che la società ha notato attività insolite provenienti da un fornitore di servizi di archiviazione cloud di terze parti, utilizzato sia da LastPass che dalla sua affiliata GoTo.

Ecco un estratto della comunicazione pubblicata dal CEO.

Come specificato nel messaggio l'azienda ha deciso di avviare un'indagine sulla questione assieme alla società di sicurezza informatica Mandiant e denunciando l'accaduto alle forze dell'ordine. Detto questo, si tratta di un'indagine in corso poiché LastPass sta attualmente valutando l'impatto della violazione e il quantitativo di dati trafugati. Per ora prodotti e i servizi LastPass restano funzionanti, ma ai clienti è stato consigliato di seguire nel dettaglio le istruzioni indicate per la configurazione di un nuovo account (in VIA).

I crimini informatici sono in costante aumento e proprio di recente vi abbiamo raccontato che l'Interpol ha portato a termine un'operazione di portata globale, che ha permesso di recuperare denaro e beni virtuali per oltre 130 milioni di dollari. Maggiori dettagli nella notizia originale.

Lo devi fare una tantum, poi chi è che ha 3 telefoni e 3 computer??

Invii la copia del database keepass a cryptomator. Oppure usando keepass sul PC o su un altro dispositivo inviando la copia del database (file di 7kb appena)

E come sincronizzi se hai più dispositivi?

Ma guarda che keepass funge esattamente come 1password, tutto autofillato, ma salva offline per avere il 99% della sicurezza :-)

Scriviteli su carta e penna e mettilo in cassaforte così sei ancora più sicuro!

Non lo dico io, keepass è nettamente meglio essendo offline, 1password farà la stessa fine di lastpass e pagate pure ahahah

Pagate voi, keepass e botwarden sono gratis e funzionano meglio

Talmente semplice che ci impieghi 20 minuti per accedere a un sito

Dando per scontato che siano sicuri uguali (sei davvero convinto che una persona non pagata faccia un lavoro migliore e con più costanza di una pagata?), nessun software free è funzionale come quelli a pagamento

Solo nella tua visione del mondo. Gli altri non pagano e stanno sicuri.

Aegis, Bitwarden, Cryptomator 10 euro una tantum, ringraziatemi dopo

Bravo! Sai che sbatti decriptarle e copiarle a mano ogni volta che ti servono

Oerché Maps è fatto meglio della segnaletica stradale, con Maps sai prima dove girare, i cartelli li vedi a distanza ravvicinata

Se stai in giro devo portarti i fogli appresso, col rischio di perderli

non esistono servizi non a pagamento che siano sia affidabili che funzionali, quindi il problema permane

infatti la prima cosa che bisogna fare quando bucano un sito è cambiare la password. ma te dici che è controproducente e non serve . no perché da quando si accorgono del furto di dati chissà quanto tempo passa. ed è normale di tanto in tanto cambiare la password per sicurezza . infatti poste fa cambiare password, altri siti ti consigliano di cambiare password. certo farsi un server locale dove salvare le password in locale .... cho non è in grado di farlo ..alla portata di tutti ... ma dai suvvia.

te non capisci una fava, sei igno rante in materia e pretendi pure di fare il gradasso. Ma l’umiltà da piccoli non ve l’hanno insegnata perché troppo cocchi di mamma?

si si. certo . perché scrivere una password in foglietto in casa.... i ladri vengono lasciano lì oro e soldi... ma rubano la password di Facebook e google.... è risaputo . poi magari scrivi le tue macchiavelliche super sicure e quando esci dal browser le lasci salvate. poi lasciare la stessa password e non cambiarla ...molto sicuro ovvio. perché poste mi obbliga a cambiarla? come lei anche altri siti lo fa.

" corso di cybersicurezza"... vai ripeterlo perché mi sa che ti è sfuggito qualcosa. un conto è ascolate un altro è capire... è inutile che mandi emoticon con l'occhiolino da ganzo

la password va cambiata di tanto in tanto. non a caso le poste ti obbliga a farlo. per altri siti ti ricorda che ormai è vecchi . mi sa che ti mancano le basi per proseguire e fare un discorso serio.

Hackerabile a distanza? no, se per accedere a casa hai bisogno della vpn vuol dire che da fuori non ci arrivi.

Dimenticare un taccuino in giro è molto più semplice e probabile..

Non esistono servizi di memorizzazione password “affidabili” a pagamento.

La pratica di cambiare spesso le password è controproducente. La password va cambiata quando ce n’è bisogno, non a caso.

Ps: se puoi ricordare la password vuol dire che è hackerabile più facilmente con attacco basato su dizionario. L’unica è password prive di significato, che idealmente nemmeno tu conosci. Salvate in un server casalingo su cui c’è una policy attiva di backup su un secondo computer. Io da quando ho fatto così mi sento decisamente più al sicuro. E ho guadagnato intanto uno storage condiviso per tutta la famiglia a costo zero, sicuro e velocissimo.

Dipende, se si hanno queste necessità si può caricare il file su un cloud anch' esso protetto. Diventa meno sicuro in senso assoluto ma è un buon compromesso tra sicurezza e accessibilità

È vero che la Master Password (come la chiamano loro per darsi un tono e attirare i polli) non viene mai inviata (anche se in realtà la lunghezza viene inviata e questo è già un indizio), ma viene inviato un hash SHA-256 derivato da quella con PBKDF2 utilizzando una conversione char->dec per generare il salt. Al servizio non serve conoscere la tua password per leggere le tue password, gli basta questo hash (che viene inviato al momento della creazione dell'account). L'unico modo che ci sarebbe per poter avere un servizio di password che non riesca ad accedere alle password sarebbe quello di utilizzare le chiavi asimmetriche (come succede nella negoziazione https e i certificati); con questo metodo potresti avere una chiave pubblica che cripta e una chiave privata che decripta. Al server basta avere la chiave pubblica per criptere i DB delle password. Ma al di là di tutti questi ragionamenti abbastanza contorti, come fa lastpass a non avere accesso alle vostre password? Quando modificate o aggiungete al vostro DB delle password, come fa senza la master password o l'hash generato da quella?

Sicuramente una soluzione molto sicura, ma hackerabile a distanza, mentre per il taccuino devono venire a prendertelo dalle mani.

La passi con nfc, che attivi solo contestualmente.

Certo, intanto non m'hanno nai leakato niente. Poi scomodo, accendi il cellulare e copi la password, mica vai in banca a chiedere l'accesso alla cassetta di sicurezza.

si. ma ormai siamo nell'epoca che è più "semplice" figo accendere la luce del bagno con l'assistenza vocale.. quindi se parli di salvare un password a mente...o su un foglio automaticamente sei pirl@.

salvare le password online è solo per comodità non sicurezza assoluta .

la cosa importante è non lasciare salvate le password nel browser, cambiarla spesso e complesse. e mettere come opzione che quando si accede a un sito e applicazione un SMS o email o quello che vuoi che ti avverte che qualcuno sta accedendo e confermare l'identità.

ovvio che sono più sicuri. ma i fenomeni devo dire che è una stupidata.

tra le altre cose, cambiare spesso password, e cercare nelle impostazioni del sito e applicazione una avviso appena si prova a accedere, un po come succede su amazon.

rileggi i tuoi messaggi, poi fai mente locale. non sa cos'e' una zero-knowledge, la differenza tra password in chiaro e criptata, e parla di acher russi che fanno danni immensi rubando le password mentre lui le ha al sicuro scritte SU UN BIGLIETTO. sinceramente, ti stai facendo una figura di lerda.

Capitan ovvio! (lo dico scherzoso, hai detto cose giustissime).

Dove ho scritto che ti leggono la password in chiaro?

Hai scritto tutta una pappardella in risposta a qualcosa che NON HO SCRITTO.

Meno tavernello, prima di scrivere.LOL!

Prima regola: prima si legge, poi si commenta. Non hanno rubato le password, perche' le password NON vengono memorizzate in chiaro, e se anche ci fosse un acher cosi' cogl10ne da rubare delle password _criptate_ mi dite cosa se ne fa, visto che per scardinarne UNA servono milioni di anni, se la password non e' 1234?

dire che "vedi, i siti delle password sono insicuri! io le password me le tengo nelle mutande scritte su una corteccia!", equivale a dire "non ho capito MINIMAMENTE come funziona lastpass, come funzionano praticamente tutti i siti di conservazione password, e avere una concezione di sicurezza che poteva andare bene nel 1992".

si? e mi dici cosa se ne fanno gli "acher russi" di una password criptata? bello, io sto per mesi, forse anni, a fare tentativi di rubare password _criptate_. mi sa che non hai idea di come funzionino i "siti delle password".

Un altro fenomeno che passa da un estremo all'altro. Da una cosa stupida a una cretina.

Tra i metodi più scomodi di gestire la password questo è in seconda posizione subito dopo l'archiviazione di una tavoletta di ferro in braille dentro una cassaforte.

In realtà avendo la potenza di calcolo si potrebbe fare tranquillamente. Senza potenza ci vuole uno studio su quali tecnologie usano, quali falle si conoscono o se analizzando il codice si riescono a trovare falle non conosciute (zero day). Un lavoro che richiede un monte di tempo e risorse, che se non possiedi e non hai nemmeno particolari motivazioni nel farlo semplicemente non lo fai. Questa è la ragione per cui gli hacker puntano servizi con alle spalle infrastrutture meno grandi e con meno risorse: meno fatica e più risultati. Una delle ragioni per cui sempre più servizi vanno su infrastrutture grandi, come AWS o Azure. Se ti guardi un report di che mastodontici attacchi DDoS è in grado di assorbire l'infrastruttura di Azure, capisci perché sempre più aziende portano la propria roba là.

Che poi l'identificazione delle login form di Chrome fa pena. Su servizi e siti meno diffusi non capisce cosa deve salvare, mentre Firefox in questo lo surclassa, riuscendo ad identificare praticamente tutti gli accessi.

Non basterebbe. Come insegnano alla prima lezione di sicurezza informatica: non puoi dirti sicuro al 100% nemmeno se metti la tua chiave di cifratura dentro un hard disk incapsulato nel piombo sotto 10 metri di cemento armato. Nel momento in cui rendi fisico o digitale una chiave di accesso, ti stai esponendo a potenziali attacchi. Ovviamente la natura e la gravità di tali attacchi dipende dalla tua esposizione (se sei un soggetto a rischio e quanto). Però tutti nella vita possono essere esposti ad attacchi informatici, anche se non diretti esclusivamente a noi.

Le password sono un sistema di sicurezza che prima o poi andrà superato, anche perché ormai non basta più la pass: metti il 2FA e le chiavi di backup del 2FA, l'email e l'email di recupero, il numero di telefono e chi più ne ha più ne metta. E' impossibile tenere password sicure, tutte diverse, e ricordarsele tutte a me, anche moria (l'unico vero sistema sicuro, qualsiasi altro è intrinsecamente violabile e potenzialmente insicuro). Una password, ad oggi, per essere sicura deve essere lunga almeno 12/13 caratteri, composta di simboli, numeri, maiuscole e minuscole. Una password più corta sarebbe troppo facile da scovare per un vero malintenzionato.

Accidenti, non ci avevo pensato!

Speriamo che nessun acaro russo si infili nella mia stanza di nascosto come ha fatto con i server di lastpass!

magari metto un cane da guardia. A pensarci bene dovrebbero farlo anche quelli di lastpass!

Tanto vale usare carta e penna..almeno non si scarica.

le mie password salvate sono difficili e complesse, lettere grandi, piccole , speciali ecc ecc , l'importante è cambiarle spesso in tutti i casi , di certo non 12345ciao la password "semplice" è pur sempre complessa ma che posso ricordare visto. poi non mi fido a salavare password da nessuna parte online

Scegli il tuo cloud di riferimento dove caricare il database

e come la copi una password alfanumerica da 20 caratteri da un dispositivo all'altro? leggendola e scrivendola? e sbagliando due volte sì e una no?

Recensione Oppo Find N2 Flip, mi ha già convinto!

Avatar affonda il Titanic: La Via dell'Acqua è il terzo film di sempre per incassi

Oppo siede coi grandi, Musk ne fa un'altra: idee per il futuro di Twitter? | HDrewind 7

Risparmio in Bolletta Luce: i consigli, le buone pratiche e i falsi miti

HDnetwork s.r.l© - P.Iva 06183350484 L'informazione in Alta Definizione. Copyright 2020.

prodotti sponsorizzati

Notizia & Blog