LastPass di nuovo problemi, seri stavolta

Discussione:

(troppo vecchio per rispondere)

Gabriele - onenet

2023-01-04 12:26:56 UTC

Ciao a tutti,

premessa 1: metto in cross-posting su gruppi in cui presumo possa essere di
interesse, ma c'è il follow-up da seguire.

premessa 2: la notizia è della scorsa estate e io uso un altro password
manager, ma non ho letto granché sui NG del data breach che ha riguardato
LastPass sia per il database utenti che per il codice sorgente.

All'inizio pareva non fosse stato sto gran leak, invece a Natale è venuto
fuori che l'episodio era molto più grave:
https://grahamcluley.com/lostpass-after-the-lastpass-hack-heres-what-you-need-to-know/

Allora ho pensato "vabbè le password saranno state ben protette e difficili da
craccare", poi ho letto questo e ho cambiato idea:
https://markuta.com/cracking-lastpass-vaults/

Quindi se ancora usate LastPass per gestire le credenziali, magari è meglio se
cambiate tutto.

x-post e f/u

Aa Il mantovano

2023-01-05 10:07:39 UTC

Permalink

Post by Gabriele - onenet
Ciao a tutti,
premessa 1: metto in cross-posting su gruppi in cui presumo possa essere di
interesse, ma c'è il follow-up da seguire.
premessa 2: la notizia è della scorsa estate e io uso un altro password
manager, ma non ho letto granché sui NG del data breach che ha riguardato
LastPass sia per il database utenti che per il codice sorgente.

per caso usi keepass? Nell'azienda dove lavoravo prima tutte le password
erano memorizzate in file keepass, e ogni volta che avevamo bisogno
di una password facevamo riferimento per forza al keepass.

rootkit

2023-01-05 11:08:19 UTC

Permalink

Post by Aa Il mantovano

Post by Gabriele - onenet
Ciao a tutti,
premessa 1: metto in cross-posting su gruppi in cui presumo possa
essere di interesse, ma c'è il follow-up da seguire.
premessa 2: la notizia è della scorsa estate e io uso un altro password
manager, ma non ho letto granché sui NG del data breach che ha
riguardato LastPass sia per il database utenti che per il codice
sorgente.

per caso usi keepass? Nell'azienda dove lavoravo prima tutte le password
erano memorizzate in file keepass, e ogni volta che avevamo bisogno di
una password facevamo riferimento per forza al keepass.

parla di lastpass, che ha lo stesso scopo ma concettualmente del tutto
diverso. con keepass hai un db locale tuo con lastpass invece il vault è
su cloud gestito da loro. motivo per cui si parla con preoccupazione del
data breach visto che interessa milioni di vault.

M C

2023-01-09 21:36:33 UTC

Permalink

Post by Aa Il mantovano
per caso usi keepass? Nell'azienda dove lavoravo prima tutte le password
erano memorizzate in file keepass, e ogni volta che avevamo bisogno
di una password facevamo riferimento per forza al keepass.

adesso sono curioso:

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello stesso
tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

rootkit

2023-01-10 08:52:26 UTC

Permalink

Post by M C

Post by Aa Il mantovano
per caso usi keepass? Nell'azienda dove lavoravo prima tutte le
password erano memorizzate in file keepass, e ogni volta che avevamo
bisogno di una password facevamo riferimento per forza al keepass.

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello stesso
tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

anni fa ho avuto anch'io esperienza con un cto fissato con keepass e che
non ne voleva sapere di un password manager enterprise.
era talmente legacy (eufemismo) che ogni volta si licenziava qualcuno
cambiava la master password e questa cosa l'aveva messa pure nella
procedura di offboarding pensando fosse sicurezza...

Francesco Da Riva

2023-01-10 16:10:38 UTC

Permalink

Post by M C

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello stesso
tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

Perdona ma hai mai visto come funziona un password manager enterprise?
Non disco last pass ma anche solo un pleasant.

Ciao
Francesco

rootkit

2023-01-10 16:38:33 UTC

Permalink

Post by Francesco Da Riva

Post by M C

Post by Aa Il mantovano
per caso usi keepass? Nell'azienda dove lavoravo prima tutte le
password erano memorizzate in file keepass, e ogni volta che avevamo
bisogno di una password facevamo riferimento per forza al keepass.

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello
stesso tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

Perdona ma hai mai visto come funziona un password manager enterprise?
Non disco last pass ma anche solo un pleasant.

infatti lui sta chiedendo come facevano con keepass, che non è affatto un
password manager enterprise.

M C

2023-01-10 17:24:33 UTC

Permalink

Post by rootkit
infatti lui sta chiedendo come facevano con keepass, che non è affatto un
password manager enterprise.

brao

anche perché, pur anni addietro senza le fighetterie che si sono adesso,
un software come Keepass mi suona come una cattiva idea, ma proprio
tanto cattiva, a livello enterprise

Renzo

2023-01-10 19:29:16 UTC

Permalink

Post by M C

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello stesso
tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

ma dai!
non avete mai trovato aziende dove un processo diventato
negli anni sempre più complesso è gestito con un foglio Excel
in una cartella condivisa al quale accedono più utenti?

ecco stessa cosa magari all'inizio erano in tre e ubicati nello
stesso ufficio e keepass era la soluzione immediata a basso costo poi...

rootkit

2023-01-10 19:43:38 UTC

Permalink

Post by Renzo

Post by M C
- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello
stesso tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

ma dai!
non avete mai trovato aziende dove un processo diventato negli anni
sempre più complesso è gestito con un foglio Excel in una cartella
condivisa al quale accedono più utenti?
ecco stessa cosa magari all'inizio erano in tre e ubicati nello stesso
ufficio e keepass era la soluzione immediata a basso costo poi...

...poi di solito si prende la tranvata :-D

Aa Il mantovano

2023-01-13 20:35:24 UTC

Permalink

Post by M C

- come lo sincronizzavate? svn? git?
- come gestivate i conflitti? (modifiche di piú credenziali nello stesso
tempo)
- rotazione della master password: come divulgarla, come proteggerla, ecc.

non usavamo alcun vcs, i file keepass stavano in cartelle condivise a cui
tutti avevamo accesso. Se qualcuno doveva modificare una password
apriva il file direttamente nella condivisa e la modificava.
Per quanto riguarda la master password, veniva detta a voce e dovevamo
ricordarla, ma non era difficile da ricordare.

M C

2023-01-21 11:41:17 UTC

Permalink

Post by Aa Il mantovano
non usavamo alcun vcs, i file keepass stavano in cartelle condivise a cui
tutti avevamo accesso. Se qualcuno doveva modificare una password
apriva il file direttamente nella condivisa e la modificava.
Per quanto riguarda la master password, veniva detta a voce e dovevamo
ricordarla, ma non era difficile da ricordare.

ok

visti i risultati ottenuti fidandosi di prodotti come LastPass, questo
sistema sembra molto piú sicuro

a parte le battute, in una azienda con 200+ dipendenti una cosa del
genere sarebbe impensabile ed estremamente rischiosa

io sto lentamente cancellando e rimpiazzando tutte le credenziali
personali di lavoro da LastPass in un database Keepass locale come
backup, ma le nuove credenziali sono generate usando un software
vaultless, il Cloudflare Gokey. Mi devo ricordare la master password e
il realm (il realm non necessita di essere segreto): nessun file
salvato, nessun rischio, a parte quello di perdere la master password,
le credenziali vengono generate a runtime ogni volta che si esegue il
programmino - ovviamente la combinazione di master password + realm
generano sempre le stesse credenziali, esempio:

gokey -p LaMiaSuperSegretaMasterPasswordCheNonDiroANessuno -r gmail.com

(Il programmino genera anche chiavi private)

Per le credenziali condivise non abbiamo ancora deciso che cosa usare al
posto di LastPass...

rootkit

2023-01-21 13:23:50 UTC

Permalink

Post by M C
io sto lentamente cancellando e rimpiazzando tutte le credenziali
personali di lavoro da LastPass in un database Keepass locale come
backup, ma le nuove credenziali sono generate usando un software
vaultless, il Cloudflare Gokey. Mi devo ricordare la master password e
il realm (il realm non necessita di essere segreto): nessun file
salvato, nessun rischio, a parte quello di perdere la master password,
le credenziali vengono generate a runtime ogni volta che si esegue il
programmino - ovviamente la combinazione di master password + realm
gokey -p LaMiaSuperSegretaMasterPasswordCheNonDiroANessuno -r gmail.com

carino, ma se per un qualsiasi motivo vuoi cambiare la password di un
realm?

M C

2023-01-21 14:40:30 UTC

Permalink

Post by rootkit
carino, ma se per un qualsiasi motivo vuoi cambiare la password di un
realm?

semplice, il realm puó essere qualsiasi stringa mnemonica, quindi per
cambiare la password di un real basta.... aggiungere un qualsiasi
prefisso o suffisso tale da renderlo differente dall'originale

esempio

gokey .... -r gmail.com:2

come ho detto il realm é la componente non segreta quindi se c'é il
rischio di dimenticarselo non é un grosso problema salvarlo in chiaro da
qualche parte - se ci si pensa bene, nelle credenziali lo username non é
quasi mai un segreto

io ad esempio ho lo stesso username e diversa password per un sito di
test e di produzione

quindi uso

gokey .. -r sito.test
gokey .. -r sito.produzione