1Password punta al cloud e gli esperti di sicurezza mettono in guardia

12 Luglio 2017 87

1Password offre un apprezzato servizio di archiviazione delle password personali, tornato di recente agli onori della cronaca a seguito di un allarme lanciato dagli esperti di sicurezza. Oggetto di discussione è la scelta dei gestori del servizio di passare da una modalità di funzionamento off-line ad una principalmente basata sui servizi cloud.

Agilebits, si evidenzia, sta progressivamente predisponendo un meccanismo di accesso al servizio basato su una sottoscrizione mensile, che prevede l'archiviazione delle password tramite il sito 1Password.com. In precedenza l'app e il servizio erano venduti tramite licenza one-time - ovvero senza obbligo di corrispondere un canone periodico - che prevedeva la memorizzazione della password in locale.

L'aspetto che non convince gli esperti è proprio il luogo in cui vengono archiviati dati così sensibili come le password: l'archiviazione in locale è ritenuta più sicura rispetto a quella nei server remoti, maggiormente esposti a rischi di attacchi hacker.

Vero è che l'archiviazione cloud delle password presenta degli indubbi benefici, primo tra tutti la possibilità di accedere ai dati da qualsiasi dispositivo. Inoltre, in caso di smarrimento o furto dello smartphone, è possibile procedere alla cancellazione dei dati personali da remoto.

Connor Hicks, del team di sviluppo di 1Password conferma che, nell'immediato futuro:

AgileBits non rimuoverà dal software il supporto per i vault (la cassaforte in cui si memorizzano le password ndr.) locale/Dropbox/iCloud

Al tempo stesso, si sottolinea che per la maggior parte degli utenti la soluzione cloud è la più indicata:

Per il 99,9 per cento degli utenti, 1Password.com è la strada da seguire

Chi rientra in quella che per i gestori del servizio rappresenta una ristretta cerchia di utenti, può contattare via email AgileBits che

li aiuterà a determinare se una licenza è realmente la soluzione migliore per loro

In altri termini, la decisione sulla strada da seguire sembra ormai scontata. Per quanto riguarda i rischi evidenziati dagli esperti, vi è da dire che Agilebits si sta muovendo in maniera decisa per rafforzare gli strumenti per la tutela dei dati personali dei propri utenti. Si ricorda, ad esempio, che a marzo scorso l'azienda ha indetto un programma bug bounty con premi in denaro sino a 100.000 dollari per fosse stato in grado di trovare falle nei sistemi di sicurezza del servizio.

Top gamma Sony al gusto prezzo? Sony Xperia Z5, compralo al miglior prezzo da Amazon a 318 euro.

87

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
thenoobroxas

La password la salvi sul programma, poi viene criptata e condivisa in cloud. Quello che hai detto tu può avvenire con qualsiasi password manager. Inoltre, come dice l'articolo, per il 99% degli utenti va benissimo

al404

si è ben fatto e ha un bottone che ti aiuta a capire il processo che stava tentando di effettuare la connessione di chi è e a cosa dovrebbe servire, puoi anche abilitare la connessione solo fino a chiusura dell'app che stai usando, limitarla a un determinato dominio o dominio:porta

NicoRoma90

ah non sapevo cosa fosse Little Snitch e davo per scontato fosse un antivirus o una cosa simile... allora ottimo!!

Oliver Cervera

- Non puoi sincronizzare delle note, ma puoi scrivere nel campo di testo di una voce.
- La sincronizzazione è un bel casino su Keepass, praticamente non esiste nel client Windows, devi usare un plugin esterno. Su Android c'è ed è fatta bene, perchè è fatta da quello sviluppatore.
- macOS non so dirti, lo evito come la peste. Il sito ufficiale suggerisce "MacPass". È probabile che neanche questo client abbia la sincronizzazione del database.

al404

ne approfitto per farti un altro paio di domande :-)
Può sincronizzare delle note?
Keepass su macOs cosa consigli?

Oliver Cervera

Hai trovato una versione lezza. Inoltre Keepass è ufficiale solo su Windows, tutte le altre versioni sono fork non ufficiali. Su Android usa Keepass2Android è molto meglio

al404

certo che keepass è brutta forte, almeno le foto della versione android sul playstore

https://uploads.disquscdn.c...

Oliver Cervera

lol no

Oliver Cervera

No.
Lastpass ad esempio equivale esattamente ad usare Dropbox/Google Drive per la sincronizzazione di Keepass/1Password. Lastpass, come Keepass, effettua la decrittazione del file OFFLINE. Un attacco hacker non esporrà mai le chiavi di decrittazione, perché semplicemente non le hanno.
Per quanto riguarda 1Password, non sono a conoscenza del sistema utilizzato

al404

infatti ho scritto "Ho il firewall attivato e Little Snitch" :-)

NicoRoma90

Il firewall di solito di default è configurato per bloccare le connessioni in ingresso, non per quelle in uscita che è la cosa principale che sfruttano le backdoor col reverse TCP (guarda "metasploit reverse TCP" se ti interessa)... alla fine sì, hai ragione, se ti prendono di mira, è praticamente impossibile salvarsi

al404

Ho il firewall attivato e Little Snitch e non installo app di dubbia provenienza, se qualcuno può accedere al mio PC da remoto o mi ha installato un keylogger a quel punto loggano tutto comunque password comprese.

NicoRoma90

"per accedere al mio PC devi essere a casa mia e conoscere la mia password di login"
Purtroppo ci sono dei modi per accedere al PC pur non essendo davanti al PC (per carità, sarà difficile magari che capiti a te, ma ce ne sono, te lo assicuro).
Il principio rimane valido, meno luoghi in cui salvi una tua password, più difficile sarà trovarla.

"se te le ricordi vuol dire che non sono molto complicate oppure che sei
un genio o ancora peggio che usi sempre la stessa password"
"se usi password alfanumeriche lunghe e sempre differenti direi che sia impossibile a memoria"
Uso frasi senza senso ma lunghe, con alcune lettere sostiutuite da simboli, del tipo: "La m1a sc1mm1a eleva al Quadrat0 con la Sirenetta" non difficilissima da ricordare, lunga abbastanza per non cadere in bruteforce, e praticamente impossibile per un attacco dizionario.

Per carità alla fine magari salvare le password su browser non ti porterà mai problemi, però io eviterei, come ho sempre detto, NON SI SA MAI

al404

per accedere al mio PC devi essere a casa mia e conoscere la mia password di login

se te le ricordi vuol dire che non sono molto complicate oppure che sei un genio o ancora peggio che usi sempre la stessa password

se usi password alfanumeriche lunghe e sempre differenti direi che sia impossibile a memoria

NicoRoma90

ma rimangono comunque salvate e chiunque riesca avere accesso al tuo PC può loggarsi e anche rubartele... io non le salvo mai le password su browser, in quanto:

1) essendo obbligato a metterle ogni volta, mi rimangono in testa (lo so è na rottura, ma se per caso devo loggarmi da un altro PC, la so)

2) basta semplicemente cambiare l'attributo "type" del tag HTML "input" per rendere visibile la password salvata.

NicoRoma90

sì d'accordo, ma non si sa mai appunto chi riesce ad avere accesso al PC

zampemo

In che modo se le password sono salvate su file crittrografato con il più elevato grado di sicurezza?
E se è per quello non uso nemmeno quella funzionalità integrata di 1Password per cui andrebbe a compilare in automatico i form. Uso il semplice copia/incolla manuale delle password e penso sia un attimo "difficile" da captare a meno che non si abbia già un keylogger o altre schifezze installate su PC (in questo caso parlo da utente Mac).

zampemo

Sono totalmente d'accordo con te su quello, infatti io ho pagato una-tantum solo per l'applicazione su iOS anni fa e continuo ad usare la sincronizzazione tramite iCloud.

Non ho intenzione di fare un abbonamento mensile e passare al cloud web, oltre che per una questione di soldi anche per un fattore di minore sicurezza quantomeno percepita.

Ricky

Le carte di credito le salvo anche io sempre tramite icloud, 1password sicuramente è più completo e migliore ma per il mio uso non trovo motivi per pagare un canone mensile per qualche funzione in più.

zampemo

Esatto, è proprio per quello che uso anche 1Password, molto più comodo nel salvare carte di credito, bancomat, tutte le relative informazioni e contatti rapidi legati a quelle carte.
Senza contare la possibilità di creare password davvero complesse con l'algoritmo integrato.

Alex

Si ma é più sicuro ogni cosa su internet può essere sniffata pure se usa un protocollo htpps:// questo può diventare http:// con alcuni programmi e a quel punto ti sniffano la password con cui puoi accedere al sito o al cloud meglio offline é più sicuro

Giulk since 71'

Mah se devo usare un servizio a pagamento uso EnPass che alla fine lo paghi una volta ( per piattaforma ) e può salvare i tuoi dati su un tuo cloud a tua scelta ( OneDrive, Google Drive etc etc ), poi volendo ci sono soluzioni free e gratis

Massimo

keepass e un bel archivio criptato su dropbox o dove vi pare è decisamente più sicuro, utilizzare questi servizi cloud equivale a mettere un cartello "prova a rubarmi" sulle vostre password.

Rick Deckard®

Ci sono tante alternative gratuite e sincronizzate che non vedo perché dover pagare un abbonamento.

Rick Deckard®

C'è la password al pc

Rick Deckard®

Prato tutti se utilizzi browser

Sagitt

Nah..

Roxas3458

Perde la funzione cloud però

Roxas3458

Ma che cavolo HAHAHAHAHA

Ricky

Fa una cosa simile ma più limitata

Aster

Per la sicurezza questo e altro,se sono in giro non mi servono le password

ROOT

Avendo più di una trentina di dati da memorizzare non mi sembra abbia un prezzo spropositato.

ROOT

Usa alternative gratuite e open source allora.

ROOT

Keepass2Android e passa la paura, open source (ti sbatti a cercare ik codice se non ti fidi di esperti di sicurezza e puoi memorizzare tutto in locale.

ROOT

Keepass2Android e passa la paura, open source (ti sbatti a cercare ik codice se non ti fidi di esperti di sicurezza e puoi memorizzare tutto in locale :-)

PassPar2

E che fai ti porti appresso il rotolo? Meglio una trasposizione facile da ricordare ma altrettanto incomprensibile per chi dovesse trovare il foglio.

PassPar2

Mi sembra molto scomodo quando hanno inventato carta e penna

PassPar2

Nota di testo è sempre digitale perché dovrei preferirla ai programmi sopracitati

Aster

Meglio la scitala spartana

Giova91

Soltanto con "sotto iscrizioni" hai vinto

al404

ad esempio può servire per salvare il PIN del bancomat

al404

nel portachiavi puoi creare delle note, ma mi sa che al momento non c'è modo di accedi da iOS non so in iOS11

al404

su macOS le password salvate da Safari finiscono nel portachiavi, se invece usi Firefox... le trovi in chiaro dentro Firefox

al404

scolpirle su una tavola di marmo?

al404

spero ci sia un modo per migrare tutto sul portachiavi, già avevo una mezza idea di tornare a iPhone anche per la questione del portachiavi

questa storia di migrare servizi nel cloud solo per spennare gli utenti ha rotto, stavo guardando le IP cam: logitech e nest hanno cam da 200€ senza SD che però fanno sync in cloud e se vuoi vedere quello che hai registrato con una cam pagata cara devi fare un abbonamento, e se il gestore del cloud decide di aumentare il prezzo devi pagare.

personalmente mi sa che mi faccio una maglietta "cloud, no grazie"

al404

ma chrome le salva in chiaro?

al404

se decidono di spostare su cloud e con sottoscrizione mensile spero solo che tutto continuerò a funzionare fino all'arrivo di iPhone 8, a quel punto uso solo il portachiavi e si possono attaccare al cloud... le sotto iscrizioni mensili hanno rotto e se sevo proprio affidare le password in cloud scelgo Apple

NicoRoma90

vero, se c'è la backdoor c'è poco da fare

NicoRoma90

salvare le password su browser io non lo farei mai... non si sa mai chi riesce ad avere accesso al tuo pc

NicoRoma90

e perché su un foglio? andrebbe bene anche una semplice nota di testo a quel punto... cifrario di cesare non lo userei comunque

Android

Asus Zenfone 4 e Zenfone 4 Pro nella nostra anteprima

Android

Asus Zenfone 4 Selfie, Selfie Pro e Max: la nostra anteprima

Alta definizione

Zhiyun Smooth 3 è un piccolo gimbal con gran autonomia | Recensione

Android

Xiaomi Mi A1: live batteria | Finito ore 20.30