Sicurezza 18 Nov
LastPass è un apprezzato password manager, dal 2015 di proprietà di LogMeIn, e nelle scorse ore è tornato agli onori della cronaca dopo la diffusione di diverse segnalazioni di suoi utenti informati di tentativi di accesso non autorizzati. Gli avvisi inviati agli utenti indicavano la possibile violazione della master password, quella che permette di accedere al database di password personali archiviate in LastPass. I gestori del servizio si sono però subito attivati per rassicurare la clientela sottolineando che non ci sono prove di una violazione dei sistemi di LastPass e che gli account degli utenti sono al sicuro.
Il problema di quelle segnalazioni però rimane. Per spiegarle LastPass ha dato due versioni, la prima tramite Nikolett Bacso-Albaum (senior director di LogMeIn Global PR) che ha sottolineato come gli avvisi ricevuti dagli utenti fossero correlati ad attività relative a bot abbastanza comuni. In sostanza i bot provano ad accedere all'account degli utenti utilizzando nome utente e password trapelate a seguito di precedenti violazioni di servizi di terze parti, quindi non direttamente di LastPass.
Windows 15 Set
È un'ipotesi plausibile anche considerato che la maggior parte delle segnalazioni proviene da utenti con account LastPass obsoleti, che non utilizzano il servizio e che non hanno cambiato la password da molto tempo, e quindi con password che potrebbero essere state riutilizzate in altre piattaforme (non di LastPass) e poi violate:
È importante notare che non abbiamo alcuna indicazione che l'accesso agli account sia riuscito o che il servizio LastPass sia stato compromesso da una parte non autorizzata. Monitoriamo regolarmente questo tipo di attività e continueremo ad adottare misure volte a garantire che LastPass, i suoi utenti e i loro dati rimangano protetti e al sicuro.
Dan DeMichele, vice presidente product management di LastPass ha aggiunto un ulteriore tassello, confermando che almeno alcuni degli avvisi di violazione sembrano essere stati inviati per errore:
alcuni di questi avvisi di sicurezza, che sono stati inviati ad un limitato gruppo di utenti LastPass, sono stati probabilmente attivati per errore. Di conseguenza, abbiamo adattato i nostri sistemi di avviso di sicurezza ed il problema è stato risolto.
Nel dubbio attivare il sistema di autenticazione a due fattori non costa nulla e aumenta il livello di protezione contro eventuali tentativi di violazione dell'account. LastPass consente di usare questo metodo ormai da anni (la funzione è stata presentata nel 2016) e non utilizzarlo non ha molto senso considerata la preziosa natura dei dati personali custoditi da LastPass.
Commenti
Qualunque password che non sia memorizzata su un pezzo di carta è sul cloud. Sicuramente è più sicuro farle tutte diverse e complesse con l’aiuto di questi software piuttosto che usarne una uguale dappertutto.
Meglio che tenerli sul browser in chiaro o peggio ancora nelle note
Provalo, non te ne pentirai
Uso da un po' Bitwarden. Ho le password sincronizzate ovunque, tutte le funzioni essenziali sono gratuite e non mi ha mai dato problemi
confermo con il sangue
con una masterpassword da circa 26 caratteri e NON usata in NESSUN altro sito stai tranquillo pure con Lastpass\Bitwarden...
a meno che qualcuno te la copi in altri modi.. ma a quel punto sarebbe lo stesso pure su Keepass...
idem per me
Da diverso tempo utilizzo safeincloud e devi dire che per quello che costa è veramente ottimo. Ho utilizzato anche altri me questo mi sembra il giusto compromesso, lastpass lo cancellai quasi subito
Come?
A ma non da remoto
La mia password del gestore password è talmente lunga che metà password è scritta tra i sms di whatsapp
mi trovo bene, c'è anche l'estensione per chrome
L’ azienda assicura :”Sì, ci hanno hackerato, ma tanto mica le teniamo li le ns psw”
Non è questione di bucare Google, alcuni signori riescono a copiare l'intera sessione di Chrome corrente!
Ma bene, dicono che è tutto a posto ma poi ti dicono che è meglio se la cambi.
Mi sentirei agitato al 50%!
Davvero?
Lo uso da quasi 2 anni, il miglior gestore di password in assoluto
Come ti trovi con BitWarden ? Volevo cominciarlo ad utilizzare anche io visto che ormai ho diversi account un pò sparsi per il Web e non mi ricordo mai che password ho messo e dove ... e poi in secondo luogo mi servirebbe un qualcosa che possa in qualche modo sincornizzarsi con più dispositivi :)
Sono salvate in locale, quindi non devono certo bucare Google. E l'autofilling di Chrome non è il massimo della sicurezza, specie se sei in un ambiente condiviso con altri.
Perché quando mai hanno bucato Google?
Credo che sia un criterio di sicurezza oramai indispensabile, io l'ho attivato anche su tutte le email e qualsiasi sito che lo permetta (tipo social, amazon, ecc).
Esattamente. Io lascio le password su Chrome solo per i servizi che sono oggettivamente inutili.
Keepass su pc e Android, con db criptato e masterpassword da circa 26 caratteri, sincronizzato via Google Drive.
La soluzione migliore.
Mi sono esportato le pass da account Google ed eliminate dal loro cloud, sebbene abbia autenticazione due fattori, ma la prudenza non è mai troppa.
Smesso di usare lastpass quando dopo l'attacco hacker del 2011 hanno deciso di attivare per tutti gli utenti l'autenticazione a 2 fattori, peccato la mia mail di registrazione apparteneva ad un servizio ormai chiuso e nonostante avessi mail, password, masterpassword e alcune delle credenziali salvate sul profilo, e svariati ticket aperti, ho perso i dati di login di decine di siti.
Dopo che hanno inserito abbonamenti e restrizioni per acco free sono passato a bitwarden, peccato perché non mi trovavo male.
Sono ancora più old style awallet solo in locale con possibilità di creare un backup criptato tutto con AES 256bit
keepass droid e file criptato sincronizzato in cloud
lo uso da anni, nessun avviso ricevuto...
incrociamo le dita! :)
non ho capito però come attivare il "sistema di autenticazione a due fattori".
ora vedo di indagare...
trad. "non lo sappiamo"
trad. "mi sa che ve l'hanno hackerato"
trad. "abbiamo tolto l'avviso così se ve lo hackerano non sembra colpa nostra"