skip to main | skip to sidebar
33 commenti

LastPass attaccata, meglio cambiare le proprie password

Conservare le proprie password in un'unica applicazione che le gestisca e le ricordi per noi sembra una buona idea, ed è sicuramente meno pericoloso che usare la stessa password dappertutto come fanno in tanti, ma ha dei limiti. Lo hanno scoperto gli utenti di LastPass, un servizio di custodia password basato su tecnologia cloud, che è stato violato pochi giorni fa.

LastPass ha annunciato infatti che sono stati trafugati indirizzi di mail, promemoria di password, codici di autenticazione e altri dati degli utenti, ma gli archivi cifrati dei clienti non sembrano essere stati aperti.

Non c'è da farsi prendere dal panico se si usa LastPass, ma c'è un possibile rischio se la propria master password è debole (è costituita da una sola parola o da una sequenza di caratteri usata altrove come password); comunque è opportuno cambiarla e cambiare anche le password presso gli altri siti gestiti tramite LastPass.

Il problema principale, in questo momento, è che il sito di LastPass è sovraccarico di richieste di accesso proprio per aggiornare questi dati. In attesa di riuscirci, vale la pena di porsi una domanda: è davvero una buona idea dipendere dai computer di qualcun altro per la propria sicurezza? Ben vengano le applicazioni di gestione delle password, ma è meglio usarne una che consenta la gestione locale, magari su una penna USB chiusa dentro un cassetto e comunque protetta dalla master password.


Fonti aggiuntive: ZDNet.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (33)
Consiglio: http://keepass.info/

Gratuito, open source e multipiattaforma. Il database è un file che si può mettere dove si vuole (sì, anche su un qualunque servizio cloud).
L'update di Lastpass sulla questione sul loro blog, comunque, ridimensiona il problema.
Se, come ampiamente e caldamente suggerito da Lastpass, si usa una master password originale e complessa, le chance per gli attaccanti di accedere ai dati rimane sostanzialmente impossibile.
Dati che non sono nemmeno stati scaricati dagli attaccanti.
C'è soprattutto un rischio phishing, visto che gli attaccanti hanno le email, possono inviare una classica richiesta di cambio password mascherati come fossero Lastpass. Chi abbocca, darebbe loro in mano la master password con ovvie conseguenze.. però Lastpass ha per il momento chiuso la possibilità di accedere ai dati da dispositivi utente non già precedentemente autorizzati.
Io sono utente Lastpass e rimango fiducioso.. e mi rendo conto che la trasparenza completa nel raccontare i dettagli di ciò che è successo potrebbe rivelare informazioni sensibili su algoritmi, server, etc, che è chiaramente meglio evitare.
La fiducia su internet è un mito, così come la sicurezza assoluta.. c'è poco da fare.. il rischio c'è sempre, si può solo minimizzarlo e comunque ritengo ancora che al momento sia la soluzione più efficace, non dico Lastpass in particolare ma il tipo di servizio di gestione password in cloud che anche altri offrono.
Passato a Keepass con master password da 14 caratteri alfanumerici e speciali conservato su Dropbox: accessibile da PC e da Android. Consiglio a tutti. Avevo anche un account LastPass che ho provveduto a cancellare proprio ieri.
Il mio file escel zippato con cifratura vince ancora.
Non mi sono mai fidato di software che custodirebbero le password, men che meno nel cloud.

Gestire le password in questo modo ha i suoi lati negativi; per esempio, è più scomodo da gestire ma è sicuramente migliore del foglietto volante (magari lasciato sotto la tastiera) e, fatta un po' d'abitudine, il miglior equilibrio tra sicurezza e praticità. In fondo non devo consultarlo sempre ma solo per quei servizi a cui accedo più di rado e ogni volta che aggiorno le password, quindi perché utilizzare software e cloud?
Uno sticker che ho visto recita "Il cloud non esiste, è solo il computer di qualcun altro!"

In locale le password, in locale.. Io uso l'ottimo keepass (http://keepass.info/) open source e gratuito, c'è anche per Android.
Oh, l'hanno consigliato già in due. Scusate, non avevo visto i commenti. Aggiungo che la versione Android permette di prelevare direttametne da dropbox o gdrive il file criptato con le password, e che si può aggiungere un ulteriore livello di sicurezza con uno di quei programmi di criptazione dei dati sul cloud. Volendo.
Confermo che KeePass è insuperabile. E' sufficiente conservare il database criptato sul cloud (Dropbox o simili) per averlo sempre disponibile e aggiornato all'ultima modifica, e proteggerlo con master password robusta più file chiave da conservare invece altrove (in locale su tutte le proprie postazioni, tablet, cellulare, PC, ad esempio): senza il file chiave, anche conoscendo la password il database è inutilizzabile. Fra l'altro, KeePass è multipiattaforma.
scusate ma non capisco, KeePass + DB sul cloud non sono uguali, in termini di sicurezza, a Passpack ? Ovvero non si rischia che qualcuno possa entrare nell'account di Drive/Dropbox e rubare il DB (e poi con calma aprirlo con un brute force)? Stesso discorso per il file + zip (con password).

no?

una tabella di passwords in un server?
Non dico che non possa funzionare, ma suona come permettere ad un prestigiatore di passare dietro al bancone così gli avventori possono vedere meglio i suoi trucchi con carte, bicchieri e cannucce.
Io volevo suggerire un programma, ma noto che è già conosciuto. Keepass sempre e comunque.

P.S. Per chi non l'avesse visto segnalo che c'è un plugin che permette di usare twofish come algoritmo di criptazione. (e twofish è considerato superiore ad AES che è stato preferito per una maggiore velocità con blocchi di minor dimensioni)
http://keepass.info/plugins.html#twofishcipher
Ma questi servizi come 1password, LastPass e Passpack come funzionano esattamente? Quando uso la master password la sto trasmettendo al loro server? Lo chiedo perché finora li ho sempre evitati in favore di Password keeper, proprio perché non voglio che la master password sia intercettabile. Ora leggendo un po' sui vari siti dei fornitori di questi servizi mi sembra che forse adottano uno schema un po' più furbo, che si avvicina molto alla soluzione del tipo Password Keeper + servizio cloud.

Nel passato ho usato appunto questa ultima soluzione, di recente ho comprato un server nas che mi permette di creare il mio cloud privato e ne ho subito approfittato per spostare lì il database di KeePass. Certo, in teoria anche così non sono sicuro al 100%, ad esempio il fabbricante del server NAS potrebbe aver installato una routine che gli permette di spiare nel mio cloud... però è sempre un pelo meglio di un servizio cloud esterno, dove siamo noi stessi a caricare i nostri dati sui server di Google, Dropbox, Microsoft eccetera.
Anch'io sono utente Passpack, e la comodità di avere le mie password a portata di mano in qualunque momento è veramente tanta... ad esempio pochi giorni fa ero dal commercialista e volevamo controllare al volo una cosa sul sito dell'INPS, senza Passpack questo non sarebbe stato possibile.

Onestamente credo sia molto più probabile che il pacchetto delle password venga trafugato se lo porto in una pennina, o se lo gestisco io su un mio cloud con Keepass (basta avere accesso al mio telefono, o se non è https anche solo sniffarmi quando lo scarico da una wifi, ci riuscirebbe anche un bambino), piuttosto che se lo tiene Lastpass, Passpack o chi per loro... da cui finora non è mai stato trafugato nessun pacchetto, e non credo che non ci sia nessuno che abbia provato ad attaccarli...

L'unico potenziale problema che si aggiunge usando questi servizi è che se la chiave la memorizzano anche sotto forma di hash (in realtà non sarebbe neanche necessario che lo facciano) potrebbe bastare fare un bruteforce contro l'hash invece che contro la chiave del pacchetto... ma anche lì, basta usare un algoritmo di hash abbastanza complesso, e la convenienza diminuisce di molto.

Alla fine di tutto la cosa più importante è la sicurezza della chiave... se la mia è composta da una ventina tra caratteri maiuscoli, minuscoli, cifre e caratteri speciali, posso anche regalare a chiunque il pacchetto e pure l'md5 della chiave, e tanti auguri ad aprirmelo;)
@Gwilbor:
Diciamo che la cosa più semplice che possano fare è farti fare il login con una password, farti scaricare il pacchetto e decriptarlo con un'altra password in locale in javascript. E questo, se fatto bene, non può essere meno sicuro che tenerla su un cloud e decriptarla con un client locale.

In realtà credo che nessuno funzioni in maniera così semplice, non so gli altri ma Passpack è un po' più complesso (l'autore l'aveva spiegato in un lungo post, e nei relativi commenti, proprio su un precedente attacco a Lastpass).
Per loro scelta, la chiave di critpazione non rimane solo sul pc dell'utente, ma comunque viene sempre trasmessa criptata, come funzione di entrambe le password.
Per cui resta sempre valido il fatto che la sicurezza del tutto dipende principalmente dalla sicurezza delle due password. Se sono entrambe sicure, il sistema non può essere meno sicuro di qualunque soluzione "personalizzata".
Usare un programma e salvare il file criptato in remoto è più sicuro che lasciare tutto su server per il semplice motivo che la decrittazione avviene in locale, sul mio computer. I dati dal server al client vengono inviati criptati e la password non è memorizzata da nessuna parte sul server.
Che poi si possa applicare la brute force per decrittare il file remoto è un'altra questione.
"Il mio file excel zippato con cifratura vince ancora." Mica tanto, la cifratura degli zip non è tutta 'sta sicurezza. Anzi. L'ideale sarebbe un foglio di carta in tasca, ma è scomodo.
@agb
Stesso discorso per il file + zip (con password).

Chi ti dice che il file excel zippato con cifratura sia nel cloud?
Cosa ti fa pensare che abbia un nome, tipo, "password.xls"?
Cosa ti fa credere che si trovi nella cartella documenti o in bella mostra sul desktop?
Cosa ti fa ritenere che lo conservi sul pc?
:-)

Non è che sia contrario a priori a keepass o chi per lui ma se hai, tra le altre cose, le password di accesso ai conti correnti del consorzio per il quale lavori (che non sono tuoi) si diventa "leggermente" paranoici (o, almeno, il mio carattere un po' ansioso mi porta a ciò).

Questi software sono stati più volte bucati e senza un brute force attack, mentre un file zip cifrato con AES e con una password molto forte non lo buchi in breve tempo con un brute force attack.
Questo perché non accade come nei film in cui esce il messaggino "password errata".
Se la password è sbagliata il file viene comunque decompresso e solo dopo si scopre che non è valido.
Quindi, con password forti, ci possono volere mesi per decrittare il file e io avrei tutto il tempo di accorgermi del furto e di cambiare tutte le password.
agb,
possono anche rubare il database e tentare un bruteforce, ma senza la seconda parte della chiave (il keyfile) che è sempre in mio possesso e non viene mai caricato in cloud, dubito possa essere decrittato.
Inoltre la decrittazione viene fatta in locale scaricando e ricaricando il file dopo eventuali modifiche, mai in cloud.
Lo trovo "relativamente" sicuro, sicuramente più di algoritmi per cui esistono tools specializzati (vedi zip, RAR ecc.)
@Il Lupo della Luna
Mica tanto, la cifratura degli zip non è tutta 'sta sicurezza. Anzi.

AES non è sicuro?
Scherzi?
Paolo,
forse è il caso di fare un articolo sui vari sistemi di memorizzazione delle password.
Ad es., non mi è chiaro perché Passpack sarebbe più sicuro di LastPass.
E non mi è chiaro perché Password Keeper sarebbe più sicuro di Keepass e 1Password.
A tal proposito, aggiungo che io uso LastPass con l'autenticazione a due fattori tramite la app Authenticator di Google.
Ed uso 1Password con il database su Dropbox perché avevo capito che Keepass X si può usare solo su computer con Windows perché comunque è un file exe non apribile su altri s.o.
Grazie per la cortese attenzione.
Niente sul cloud. Ho salvato le password in un file di testo sullo smartphone, tranne quella dell' account Google.
Visti i molteplici servizi che offre, quella bisogna impararla a memoria, senza scriverla mai.
Utente LastPass da molto, non sono stato oggetto di attacchi (e cchi me vole..).
I commenti suggeriscono Keepass che prontamente sto provando nella sua versione Linux (KeepassX).
Oltre ad avere problemi nel travaso di dati da LastPass a KeePassX, non riesco a capire le vere funzionalità di quest'ultimo. Con LastPass posso richiamare all'occorrenza durante la navigazione (o in automatico) le usr e pw precedentemente salvate. Posso anche operare un salvataggio di automatico di questi due parametri in fase di creazione di un nuovo account o in modifica dello stesso.

Keepass può fare anche questo? Grazie.

PS per Paolo : riprovo con il post dopo aver cambiato le impostazioni di Blogger
Mio padre si trova benissimo con la sua agendina, è il metodo migliore
Keepass è multipiattaforma:

http://keepass.info/download.html

La versione linux è compatibile solo coi database versione 1.x, ma la versione windows funziona perfettamente con wine.

La differenza comunque sta che la PASSWORD del file non è in nessun posto sul server. I vari servizi online la memorizzano per forza lì..

La crittografia degli zip si buca con bruteforce in un tempo decisamente ragionevole (si parla dell'ordine di poche ore) se mi interessano i tuoi dati. Una gaming machine ben messa, con due schede grafiche potenti fa anche prima..

Anche perché prima del brute force tento un attacco a dizionario.
@Il Lupo della Luna
La crittografia degli zip si buca con bruteforce in un tempo decisamente ragionevole (si parla dell'ordine di poche ore) se mi interessano i tuoi dati. Una gaming machine ben messa, con due schede grafiche potenti fa anche prima..

Vedo che continui a leggere con poca attenzione.

I file zip possono essere cifrati in due modi: uno è debole e, credo, sia un metodo proprietario, l'altro si fa con AES che è notoriamente forte

Dal sito di keepass si può leggere "These algorithms are well-known, analyzed thoroughly and considered to be very secure (see [1] for comments by the NIST on AES for example). AES e.g. became effective as a U.S. Federal government standard and is approved by the National Security Agency (NSA) for top secret information.

Quindi se posso facilmente decrittare uno zip file cifrato con AES allora con la stessa facilità decritto keepass.

Aggiungo che mentre un file zippato è facilmente gestibile ed è un formato aperto non si può dire lo stesso per gli altri. Quindi, basta un nuovo sistema operativo (tu stesso accenni che lo sviluppo per linux è indietro rispetto a quello con windows) o un cambio di politica e le tue password vanno a farsi benedire.

Con un file zip crittato a dovere, invece, il problema non si pone.
Beh, Keepass è open source. Se nessun programmatore linux ha voglia di pigliarsi il sorgente e lavorarci, non è sicuramente colpa dell'applicazione.

Mi dici (giustamente) che pigli un file zip criptato con dentro le tue password, il che può anche essere una soluzione, ma non ti mette al riparo dai keylogger, per esempio (pariamo di sicurezza, parliamo di paranoia). Con un tool apposta (dico keepass per dire ma ci sono altri programmi simili) puoi digitare le password "direttamente" nelle textbox senza usare la tastiera. Se scompatti un file .zip sotto windows ne viene fatta una copia in una dir temporanea: chi ti dice che quella copia venga cancellata quando lo chiudi?

@Il Lupo della Luna
Se scompatti un file .zip sotto windows ne viene fatta una copia in una dir temporanea: chi ti dice che quella copia venga cancellata quando lo chiudi?

C'è una differenza nella gestione dei file zippati in windows: se li apri col classico doppio click viene creata una cartella temporanea nella cartella TEMP e da lì windows lavora; se lo scompatti direttamente e poi elimini il file dopo averlo consultato non lasci tracce.
Ovviamente il file non si chiama password.zip e contro i keylogger basta usare il copia/incolla.

Keepass (o chi per lui) sono dei software specifici per custodire le password: quindi sono dei bersagli per chi vuole rubare credenziali. E' già successo che siano stati attaccati sfruttando gli inevitabili bug e punti deboli (ad esempio, quando un software trasmette dei dati ad un altro si crea un punto debole che è proprio la trasmissione delle credenziali che è in chiaro, altrimenti il browser non capisce cosa scrivere: non è un problema da poco) e questo li rende potenzialmente meno sicuri, anche se indubbiamente più comodi.

Un file zippato delle credenziali è più difficile da intercettare perché un file compresso può contenere qualsiasi cosa. Un ladro di credenziali non saprebbe dove cercare (ammesso che mi dimenticassi il file nel pc).

Come già accennato, il rovescio della medaglia è una maggiore scomodità d'uso.
I vantaggi sono il formato aperto (utilizzo questo sistema da molti anni) e l'indipendenza dalla piattaforma (non l'ho provato sullo smartphone ma non mi meraviglierei se risultasse gestibile anche con Android o IOS)
@Il Lupo della Luna

Un sistema di sicurezza serve a poco (O per lo meno non serve a dormire sonni tranquilli) se il sovraintendente non ne conosce ogni singolo aspetto nel dettaglio.

Per realizzare un sistema di sicurezza puoi fidarti solo di qualcuno che verrà gettato in pasto ai coccodrilli se il sistema verrà violato a causa di una falla intrinseca.
Siccome la gente dice un sacco di palle sulla propria condotta, nessun esperto di sicurezza può assumersi tale responsabilità, chi dice di poterlo fare non è un esperto di sicurezza.
"C'è una differenza nella gestione dei file zippati in windows: se li apri col classico doppio click viene creata una cartella temporanea nella cartella TEMP e da lì windows lavora; se lo scompatti direttamente e poi elimini il file dopo averlo consultato non lasci tracce."
Veramente AFAIK non c'è differenza tra il doppio click e file / apri in 7zip o quel che s'usa...

Ad ogni modo è un metodo come un'altro. Io per anni ho usato una banalissima rubrica telefonica che tenevo gelosamente in tasca.
@Il Lupo della Luna
Veramente AFAIK non c'è differenza tra il doppio click e file / apri in 7zip o quel che s'usa...

Non se usi la funzione estrai

Io per anni ho usato una banalissima rubrica telefonica che tenevo gelosamente in tasca.

Quella è stata la mia prima soluzione quando le password erano poche ma soprattutto poco usate.
Quando si sono moltiplicate e, soprattutto, quando hanno cominciato ad esere le password di accesso ai conti correnti del consorzio (ricordo che all'inizio non esistevano token e password dispositive: quando avevi nome utente e password facevi che volevi del conto corrente) l'agendina non mi bastava più.
Stavo continuamente con le mani a ravanare nelle tasche.
Sembravo un maniaco depravato.

Ultimamente sto pensando di copiarmela su una penna usb con crittografia hardware del file system: non costano più così tanto e danno una protezione in più.
@Beorn:
però se utilizzi tale sistema quotidianamente allora ogni giorno devi scompattare e a fine giornata ricompattare. E li di viene a creare il problema. Ovvero l'anello debole. Cmq mi pare che abbia la stessa sicurezza di un servizio online (es. Passpack) dove la chiave di decrittazione non arriva mai sul server ma rimane solo sul pc.
E soprattutto... non è così immediato!

@Guastulfo (Giuseppe): infatti io ponevo dubbi riguardo l'idea di rifuggire uno storage onlne per le password (es. lastpass) per poi mettere comunque le password online.
Cmq tutte le complicazioni che tu "crei" (e che comprendo) non rendono molto agevole l'utilizzo delle password? come ti comporti per i servizi che utilizzi quasi quotidianamente?

bye

@agb
Cmq tutte le complicazioni che tu "crei" (e che comprendo) non rendono molto agevole l'utilizzo delle password? come ti comporti per i servizi che utilizzi quasi quotidianamente?

Per ciò che utilizzo quotidianamente, a volte, ho problemi quando cambio la password, altrimenti vado a memoria.
Per quelli meno usati devo scompattare il file e consultarlo.

Il mio metodo è sicuramente il più scomodo ma, rapportato a ciò che rischio, preferisco agire così. I vantaggi (universalità del formato e genericità dello scopo: un file zippato può contenere qualsiasi cosa, mentre so che keepass contiene password e quindi lo attacco) per me sono superiori alla scomodità d'uso.
"Non se usi la funzione estrai" no, 7zip crea un file temporaneo SEMPRE. Ma a questo punto si tratta di mera paranoia da sicurezza informatica, perché a questo punto bisognerebbe preoccuparsi dell'eventualità che un malware legga direttamente i dati dalla memoria RAM (cosa possibilissima) o che trattandosi di servizi online si possa essere vittima di un man-in-the-middle. Insomma, si smette di usare il PC.
Penso anche io che Paolo potrebbe dedicare del tempo per fare luce su questo punto. Mi ricordo più volte che ha sottolineato l'importanza di usare pw complesse (o quanto meno non banali) e non due volte la stessa pw. Se non sbaglio Paolo aveva anxhe suggerito dei criteri per creare pw complesse ma che fosse facile.ricordare . tutto questo porta inevitabilmente ad avere molte pw e la.necessità di salvarle da qualche parte. Meglio usare uno strumento fatto apposta per gestire le pw, che però è come miele per gli orsi? Quindi in generale più soggetto ad attacchi? Oppure meglio nascondere le pw sotto il.materasso? In un file zip che si chiama "progetto ristrutturazione casa mare"...? Su chiavina USB o sul.cloud e con pw sicura? Tutto è violabile per definizione se lFBI vuole accedere ai miei dati.ma. se non c'è un attacco mirato forze il secondo metodo è più sicuro?