Dopo l'ultimo furto globale di password (https://www.repubblica.it/tecnologia/sicurezza/2019/01/17/news/email_e_password_rubate-216826514/) sto pensando di prendere più seriamente la cosa e magari installare un password manager per avere pass diverse in tutti i siti, voi ne usate uno? Keepass, 1password ecc..

Sono disposto anche a investire 1-2 euro al mese se ne valesse la pena. :uhm:
Ne vale la pena?

Io uso firefox per salvare le password del browser, ma non uso un gestore di password separato come usano alcuni.

Sono interessato :uhm:

Chrome ce l'ha nativo, suggerisce le password e le sincronizza sui vari device, oltre ad averle accessibili su passwords.google.com, che altro volete?

Anche Firefox master race, ovviamente.
Sarei a posto così o mi sfugge qualcosa?

Chrome ce l'ha nativo, suggerisce le password e le sincronizza sui vari device, oltre ad averle accessibili su passwords.google.com, che altro volete?
Che i password manager garantiscono un po' di sicurezza in più rispetto ad averle salvate su un browser no? Sennò perchè esisterebbero :asd:

Last pass

Inviato tramite posta pneumatica

keepassxc

Il mio password manager è quello tra le orecchie.

Ho letto che Last Pass su Firefox fa schifo al cazzo.

Che i password manager garantiscono un po' di sicurezza in più rispetto ad averle salvate su un browser no? Sennò perchè esisterebbero :asd:

Per quale motivo?
Esistono perchè ci puoi mettere roba extra-browser, ma anche perchè sono nati prima che i browser lo facessero nativamente
Inoltre, almeno quello di Chrome, ti permette appunto di consultarlo da qualunque PC senza installare niente se non facendo login nel tuo account, in caso sei fuori casa :uhm:

Suggerite pure me per Fairfocs :sisi:

Ma che password sono state fregate? Gmail? Msn? Banche online? :uhm:

Portachiavi iCloud con protezione a due fattori sul cellulare se qualcuno dovesse indovinarmi la password. In pratica mi salva e inserisce tutte le password in automatico, sia nei siti che nelle app del telefono, e le sincronizza in automatico tra tutti i device indipendentemente dal programma. Ovviamente gratis. Ciao povery.

Il mio password manager è quello tra le orecchie.

E' un password manager a grosso rischio failure, soprattutto quando non usi una password da tempo.

Last pass

last pass i give you my account
but the very next year
you give it away

:asd:

Il mio password manager è un'agendina del 2009 :snob:

Ancora riesco a tenerle a mente, ma comincio a considerare l'idea di una roba tipo keepass o simili.

Ancora riesco a tenerle a mente, ma comincio a considerare l'idea di una roba tipo keepass o simili.

Idem


Sent from my iPad using Tapatalk

Portachiavi iCloud con protezione a due fattori sul cellulare se qualcuno dovesse indovinarmi la password. In pratica mi salva e inserisce tutte le password in automatico, sia nei siti che nelle app del telefono, e le sincronizza in automatico tra tutti i device indipendentemente dal programma. Ovviamente gratis. Ciao povery.

Indipendentemente dal programma... ma anche dall'OS? :fag:
Anche quelle di Chrome son dietro il 2 step dell'intero account Google, però funzionano su qualunque sistema e non solo inculOS

Lastpass da anni here.

A volte le estensioni browser fanno un po'i capricci, ma per tutto il resto mi trovo benone. Soprattutto l'inserimento automatico delle credenziali nelle varie app.

Il mio password manager è un'agendina del 2009 :snob:

E se te la perdi? E se qualcuno te la "ruba"?

Anche quelle di Chrome son dietro il 2 step dell'intero account Google, però funzionano su qualunque sistema e non solo inculOS
Sì quasi quasi ci penso, tanto sono già schiavo di Google per altro :bua:

Sì quasi quasi ci penso, tanto sono già schiavo di Google per altro :bua:

Bonus points, nelle app che lo supportano (che son parecchie) può autocompletarti il login con i dati del relativo sito, o se le app usano un weblogin tramite pagina web l'autocomplete funziona ovviamente anche li

Keepass. :sisi:
E' ottimo e per ogni entry si possono salvare informazioni aggiuntive tipo url, eventuali codici di verifica, etc.

Non mi fido tantissimo a salvare le password online su siti tipo lastpass o google
Poi uso il password manager di firefox per alcuni siti meno importanti che tanto chissenefotte.

Sottoscrivo leizar. :sisi:

Lastpass anche here :sisi:
l'applicazione per Android ti autocompleta le password sui siti e le app, solo che alla fine ho disabilitato le notifiche perché stava diventando molesto

Sent from my Moto G (5S) Plus using Tapatalk

Indipendentemente dal programma... ma anche dall'OS? :fag:
Anche quelle di Chrome son dietro il 2 step dell'intero account Google, però funzionano su qualunque sistema e non solo inculOS

Ma io mica uso altri sistemi operativi a parte iOS e macOS :smug: avere le password salvate su un browser è un po' una troiata, avere un account da usare su app native su tablet/telefono è molto diffuso, è un limite mica da poco. E poi Google :uhoh:

Anch'io uso Chrome per salvare le password, ma solo quelle relative ad account di lavoro, dato che per i cazzi miei uso Safari master race.

Ma io mica uso altri sistemi operativi a parte iOS e macOS :smug: avere le password salvate su un browser è un po' una troiata, avere un account da usare su app native su tablet/telefono è molto diffuso, è un limite mica da poco. E poi Google :uhoh:

Anch'io uso Chrome per salvare le password, ma solo quelle relative ad account di lavoro, dato che per i cazzi miei uso Safari master race.

Non sono salvate nel browser, sono salvate nell'account Google, per questo ci accedi da web, da mobile e anche da login nativi delle app :sisi:

Vedi, invece con Apple non ci accedi da browser :nod: quindi sono ancora più sicure. E da iOS12 riconosce anche certe maschere di login di app native, cioè che non richiamano semplicemente una pagina web per fare il login tipo google. Per il resto sì sono equivalenti, pian piano Google si sta quasi allineando a Apple :snob:

E' un password manager a grosso rischio failure, soprattutto quando non usi una password da tempo.

Nope.
Basta non usare password a caso ma usare algoritmo per crearle.

mah, è più probabile che possano metterlo in culo ai servizi di banche password piuttosto che a un servizio del menga a caso.

io personalmente uso password diverse e di diversa complessità in base al servizio.
tipo sui forum del cazzo la cui iscrizione è strettamente necessaria anche solo per lurkare uso password X, fino a farle sempre più lunghe e difficili e attivando eventuali verifiche via email/codice.

la scocciatura di affidarsi ai generatori è che in caso di necessità di accedere da un dispositivo non proprio vattelappesca la password :asd:

io personalmente uso password diverse e di diversa complessità in base al servizio.
tipo sui forum del cazzo la cui iscrizione è strettamente necessaria anche solo per lurkare uso password X, fino a farle sempre più lunghe e difficili e attivando eventuali verifiche via email/codice.
Anche io, eppure su https://haveibeenpwned.com/ ci sono con Linkedin e Tumblr :bua:
Purtroppo ho troppi account e in alcuni ho la stessa password, quindi la soluzione più facile è il password manager

Nope.
Basta non usare password a caso ma usare algoritmo per crearle.

Dai una botta in testa e ti dimentichi l'algoritmo sei fottuto.

Dai una botta in testa e ti dimentichi l'algoritmo sei fottuto.

HahhHah.
È tanto probabile quando mi dimentichi o l’algoritmo del mergesort o la filastrocca dei giorni dei mesi.

Uno di voi ha risposto correttamente :sisi:
Non dico chi :nono:

Lastpass qui. :snob:

Su Plasma Desktop c'è di default un portafoglio di password chiamato KWallet.

Avrò installato KDE 5/6 volte in vita mia e la prima cosa che ho fatto tutte le volte è stata disinstallare i pacchetti legati a KWallet e disabilitare il servizio che lo gestisce.

Sent from my Le X821 using Tapatalk

quando l'ho chiesto io sono stato sommerso da una schiera di uuuuuuuuuh affideresti le tue password a un servizio terzo!!!111 il maleeee!!!111 peppeeee :asd:

quando l'ho chiesto io sono stato sommerso da una schiera di uuuuuuuuuh affideresti le tue password a un servizio terzo!!!111 il maleeee!!!111 peppeeee :asd:uuuuuuuuuh affideresti le tue password a un servizio terzo!!!111 il maleeee!!!111 peppeeee

Il mio password manager è un'agendina del 2009 :snob:

This

salvare le pass sul pc o sul web è come pulirsi il culo con la merda.

il miglior password manager è fare la recovery ogni volta che accedete e mettere una pass nuova :asd:

This

salvare le pass sul pc o sul web è come pulirsi il culo con la merda.Dipende. Sul web in teoria è meno sicuro perché risiedono su un server lontano da te e chissà cosa ci possono fare, ma ci sono comunque dei buoni hosting che cifrano i dati usando la tua password come chiave. Ci si può fidare? Teoricamente sì. In pratica è molto difficile che riescano a decifrare il tutto.

Sul tuo PC è più sicuro, a meno che usi software merda che ti spia (basterebbe non usare Windows in primis).

L'agendina va più che bene, il problema è che se la perdi, il culo non te lo puoi più pulire.

Sent from my Le X821 using Tapatalk

Se seguissi la logica di fulviuz, l'agendina è debole quanto salvare su pc o sul web :asd:

dashlane. In realtá non idea se sia effettivamente meglio di usare il wallet di chrome, ma solo per la diffusione di quest'ultimo mi viene da pensare che sia se non altro meno attaccato.

A lavoro usiamo last pass, ma dashlane mi piace di piú. Parere personale. C'é anche una vpn molto rudimentale inclusa.

Portachiavi iCloud con protezione a due fattori sul cellulare se qualcuno dovesse indovinarmi la password. In pratica mi salva e inserisce tutte le password in automatico, sia nei siti che nelle app del telefono, e le sincronizza in automatico tra tutti i device indipendentemente dal programma. Ovviamente gratis. Ciao povery.

This

Vi ciullo il telefono. Ciao ricchy

Se seguissi la logica di fulviuz, l'agendina è debole quanto salvare su pc o sul web :asd:

no, perché è nascosta et ricoperta da sburro, oltre che a essere nel basement.
Per i siti che uso di più la password è anche in testa.
La password per J4S la ho tatuata sul cazzo, il problema è che devo farmelo venire duro per leggerla tutta, quindi uso "Ricordami" per questo forum.

Vi ciullo il telefono. Ciao ricchy

Il telefono è bloccato da Touch ID/Face ID :snob:

Il telefono me lo dai sbloccato. Altrimenti ti ficco una lama in gola :faggomicida:

Il telefono me lo dai sbloccato. Altrimenti ti ficco una lama in gola :faggomicida:

Posso dartelo pure sbloccato, tanto ogni volta che devi inserire una password presente nel database il sistema ti chiede di mettere il ditino sul sensore o di guardare in camera. Fai prima ad adottarmi :asd:

No, non serve posso resettare qualsiasi credenziale senza il tuo ditino una volta sbloccato. Saluti e :baci:

No, non serve posso resettare qualsiasi credenziale senza il tuo ditino una volta sbloccato. Saluti e :baci:

Devi farmi dire il PIN allora sì :nod:

Comunque è più probabile che uno zinghero entri in casa di Fulviuz e gli rubi il blocchetto con le password

O Google oppure quello di Samsung per app.

Le mie pass son salvate in email bozza su gmail

Devi farmi dire il PIN allora sì :nod:

Comunque è più probabile che uno zinghero entri in casa di Fulviuz e gli rubi il blocchetto con le password

Ci tengo a dire che l'agendina è in Real Skin®, quella siliconata con cui fanno le Real Doll®.
Se la apri e la rigiri al contrario la copertina diventa un flashlight.
Ecco perché è croccantata di burra.
Ora si spiega tutto vero?

comunque la cosa migliore è non usare le password, no password = no furto di password, così lo metti in culo a tutti :sisi:

Ci tengo a dire che l'agendina è in Real Skin®, quella siliconata con cui fanno le Real Doll®.
Se la apri e la rigiri al contrario la copertina diventa un flashlight.
Ecco perché è croccantata di burra.
Ora si spiega tutto vero?

Così puoi anche rileggerti e memorizzare le password mentre te la fotti :eek: effettivamente è geniale

ci ho una pen drive con su txt
nomesito.txt e dentro ci scrivo i dati :fag:

poi ogni tanto faccio un backup su hd esterno e via, è comodo perchè quando non me le ricordo metto la pen drive e copioncollo :asd:

in b4 cei cemo

ci ho una pen drive con su txt
nomesito.txt e dentro ci scrivo i dati :fag:

poi ogni tanto faccio un backup su hd esterno e via, è comodo perchè quando non me le ricordo metto la pen drive e copioncollo :asd:

in b4 cei cemo

e quando sei in giro ?

E quando si è in giro si vive la vita :pippottemo:

- - - Updated - - -


Così puoi anche rileggerti e memorizzare le password mentre te la fotti :eek: effettivamente è geniale

Però poi rischio mentre vengo di chiamare la Real Doll® di forma femminea con una password.
Tipo mi è capitato di urlarle "$billgat3sfuCksG4ben1969!!!" e poi ho borrato dentro la bernarda siliconica.
Lei però non si è offesa.
Il pregio delle Vere Donne.

ci ho una pen drive con su txt
nomesito.txt e dentro ci scrivo i dati :fag:

poi ogni tanto faccio un backup su hd esterno e via, è comodo perchè quando non me le ricordo metto la pen drive e copioncollo :asd:

in b4 cei cemo

E se la penndraiv si rompeh? E se si rompe pure l'addisk???

Sent from my Le X821 using Tapatalk

"Recupera password"

uso tre livelli di password, tipo: esclusive e diverse per il massimo livello di sicurezza, tipo la banca; condivise ma difficili per il livello più basso tipo gli indirizzi di posta elettronica recuperabili per altre vie; e infine la rumenta con password memorizzate sul browser e salcazzo che ci avevo scritto

e quando sei in giro ?

se ho il portatile le ho su salvate, via smartphone non navigo molto e li ha sincronizzati chrome.
non son manco cifrate quindi mi rendo conto che è da babbi ma ho sempre fatto così per pigrizia.

ai tempi usavo i post it ma poi li perdevo :bua:

https://arstechnica.com/information-technology/2023/02/lastpass-hackers-infected-employees-home-computer-and-stole-corporate-vault/

up

per fortuna ne uso un altro e:
1. non ci tengo su la pwd dell'email principale
2. non ci tengo su la pwd per il backup delle 2fa

last pass mi pare non sia nuovo a roba del genere :uhm:

No.
Scrivo le password in un libretto.
Per alcune cose poi evito pure di far memorizzare il login.

e dove lo memorizzi di solito, nel browser? che é tipo il peggior luogo in cui puoi farlo :asd:

l'unica cosa a prova di bomba é keepass

e dove lo memorizzi di solito, nel browser? che é tipo il peggior luogo in cui puoi farlo :asd:

l'unica cosa a prova di bomba é keepass

Non mi riferisco all'autocompletamento della password ma al lasciare il login attivo sui forum per esempio.
Ovviamente evito di farlo se posto da PC che non siano il mio.

Posso fare una serie di domande da nabbo? :timido:
Keepass. A detta di quasi tutti molto ma molto valido. Devi ricordarti una sola password, ecc. ecc. ma questo da pc. E se accedo a certi siti / servizi anche da smartphone? Non mi pare ci sia per android.... e comunque il db crittato con le password, in quel caso, dovrebbe essere accessibile dalla rete, con tutto quello che ne consegue... o mi perdo un pezzo io?

io ho dashlane... fondamentalmente penso il rischio leak ci sia per tutti, peró era diventato ingestibile per me fare "a mano", troppi login da ricordare e non posso mettere sempre le solite 2-3 password. Fin'ora non ho visto notizie di leak da dashlane e c'é anche l'app su android e ios. Prezzo onesto e ci infilano anche una VPN dentro.

Poi é comodo il fatto che genera password molto complesse e peró rende il processo di creare nuovi account veramente rapido.

Boh, mi pare valido, ma alla fine boh :asd:

Posso fare una serie di domande da nabbo? :timido:
Keepass. A detta di quasi tutti molto ma molto valido. Devi ricordarti una sola password, ecc. ecc. ma questo da pc. E se accedo a certi siti / servizi anche da smartphone? Non mi pare ci sia per android.... e comunque il db crittato con le password, in quel caso, dovrebbe essere accessibile dalla rete, con tutto quello che ne consegue... o mi perdo un pezzo io?
mi sembra ci siano app compatibili per android, ti condividi il db su ad esempio onedrive e tieni sincronizzato.

io ho dashlane... fondamentalmente penso il rischio leak ci sia per tutti, peró era diventato ingestibile per me fare "a mano", troppi login da ricordare e non posso mettere sempre le solite 2-3 password. Fin'ora non ho visto notizie di leak da dashlane e c'é anche l'app su android e ios. Prezzo onesto e ci infilano anche una VPN dentro.

Poi é comodo il fatto che genera password molto complesse e peró rende il processo di creare nuovi account veramente rapido.

Boh, mi pare valido, ma alla fine boh :asd:

sí anche io uso dashlane

RoboForm.

Anche io uso Keepass da eoni, il top del glem per me.
Uso l' applicazione stand alone con sequenza di tasti per attivare le password :sisi:

Bitwarden

Inviato dal mio Mi Note 10 Lite utilizzando Tapatalk

e dove lo memorizzi di solito, nel browser? che é tipo il peggior luogo in cui puoi farlo :asd:

l'unica cosa a prova di bomba é keepass
Keepass masterrace :sisi:

Altre domande da iper nabbo.
Inizio ad usare uno dei password manager citati. Voglio cambiare la password del sito X, rendendola più complessa, sfruttando appunto la generazione di password casuali / complesse del suddetto software. Cosa capita? Inizio la procedura da dentro al sito, ovviamente. Il soft crea la nuova password, mi compila il campo del sito, il sito la accetta e contemporaneamente il software la cambia nel suo archivio?

Altre domande da iper nabbo.
Inizio ad usare uno dei password manager citati. Voglio cambiare la password del sito X, rendendola più complessa, sfruttando appunto la generazione di password casuali / complesse del suddetto software. Cosa capita? Inizio la procedura da dentro al sito, ovviamente. Il soft crea la nuova password, mi compila il campo del sito, il sito la accetta e contemporaneamente il software la cambia nel suo archivio?
Ci sono forme di integrazione per l'autocompletamento dei campi di login, ma fondamentalmente non c'è nessuna magia: generi la password nel password manager, la copi e la incolli nel sito.

Mi sono messo Bitwarden (anzi, Vaultwarden) sul PC della domotica così comincio a tenermi tutto selfhosted e via :sisi:

Altre domande da iper nabbo.
Inizio ad usare uno dei password manager citati. Voglio cambiare la password del sito X, rendendola più complessa, sfruttando appunto la generazione di password casuali / complesse del suddetto software. Cosa capita? Inizio la procedura da dentro al sito, ovviamente. Il soft crea la nuova password, mi compila il campo del sito, il sito la accetta e contemporaneamente il software la cambia nel suo archivio?

beh fondamentalmente la fai a mano dal sito. Dashlane quando ti viene richiesta la nuova password ne genera una automaticamente e ti chiede se vuoi inserirla. Una volta dato l'ok riconosce che il login al sito é cambiato e ti chiede se vuoi aggiornarlo nell'archivio. Questo nel 99% dei casi, ci sono dei siti del cazzo con sistemi di login del cazzo che dashlane non riconosce, ma mi sará capitato 2-3 volte in anni e anni di utilizzo.

immagino che il resto dei password manager facciano lo stesso comunque :asd:

Ci sono forme di integrazione per l'autocompletamento dei campi di login, ma fondamentalmente non c'è nessuna magia: generi la password nel password manager, la copi e la incolli nel sito.

In effetti sembrava fossi super pigro :bua:
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?

In effetti sembrava fossi super pigro :bua:
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?
Non sono sicuro di capire bene le domande :asd:

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:

Non sono sicuro di capire bene le domande :asd:

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:

Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano

Non sono sicuro di capire bene le domande :asd:

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:
Touché, ma ci sta tutto :asd:


Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano
Interessanti :uhm: qualche esempio?

Touché, ma ci sta tutto :asd:


Interessanti :uhm: qualche esempio?

Teoricamente Bitwarden/Vaultwarden dovrebbe farlo, anche se ancora non ho provato

https://uploads.tapatalk-cdn.com/20230301/85ee65e845d2838b3db0d09f7e3a08d8.jpg

Uso Bitwarden con 2FA. Si integra benissimo con browser (estensione Firefox) e su smartphone (app dedicata).

Su smartphone, per far login su una pagina web/app, in genere Bitwarden riconosce la schermata di login ed apre un campo ad-hoc. Secondo le impostazioni, clicchi per inserire direttamente le credenziali (sconsigliato) oppure sblocchi il Vault (con master password oppure con l'impronta digitale) e selezioni le credenziali corrispondenti al sito.

Non hai bisogno di copiare/incollare nulla, in teoria. In pratica, non tutti i siti/app hanno l'integrazione pienamente funzionante, in quel caso non si scappa dal copy-pasta.

La rottura di palle iniziale (rifare login nonché cambiare le credenziali di TUTTO) è di proporzione epiche, però tieni conto che la password generation è integrata nell'app/estensione e che lo devi fare una volta sola. In alternativa, se per esempio hai credenziali salvate su qualche browser, puoi sempre salvarle su .csv ed importarle in Bitwarden, ma cmq la sbatta di cambiarle una per una non te la toglie nessuno.

Per chi usa Bitwarden (non so per altre alternative), consiglio di cambiare l'algoritmo passando a Argon2 (https://en.wikipedia.org/wiki/Argon2) o se si vuole mantenere il vecchio algoritmo SHA 256, di controllare e alzare il valore KDF da 600 000 a 1 000 000

https://cdn.discordapp.com/attachments/1077193576766775316/1080405934838394931/image.png

Sempre detto che J4S è la sezione più meglio che esista :snob:

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:

Si ma se passate da una roba bucata ad una che bucheranno cambia poco
Il futuro è self-hosted :sisi:

KeepassX con il file delle password in cloud in un disco-virtuale criptato con Veracrypt. ALmeno le password importanti.
Perché la rottura di coglioni è lanciare veracrypt, montare l'unità virtuale ed una volta fatto appare KeepassX con il file delle password protetto da Masterpassword.
Quindi in cloud ho una cartella con Veracrypt+DiscoCriptato; nel disco criptato c'è KeepassX con file delle password.

Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?

Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc?? :uhm:

Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?

Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc?? :uhm:

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:Già la versione standard non ha limiti di dispositivi, che io sappia (lo uso su 2 smartphones e 3 PC). Con il premium hai dello storage da qualche parte, che a me non serve.

La roba self-hosted è interessante ma un po' overkill secondo me. Con il 2FA impostato su tutte le web/app importanti anche se bucassero Bitwarden ci sarebbe sempre quell'ultimo scoglio da superare. No?

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

Mi viene automatico il parallelo con il breach di LastPass, dove viene ipotizzato che l'attacco sia avvenuto su una vulnerabilita' di Plex,


According to a person briefed on a private report from LastPass who spoke on the condition of anonymity, the media software package that was exploited on the employee’s home computer was Plex. Interestingly, Plex reported its own network intrusion (https://arstechnica.com/information-technology/2022/08/plex-imposes-password-reset-after-hackers-steal-data-for-15-million-users/) on August 24, just 12 days after the second incident commenced. The breach allowed the threat actor to access a proprietary database and make off with password data, usernames, and emails belonging to some of its 30 million customers. Plex is a major provider of media streaming services that allow users to stream movies and audio, play games, and access their own content hosted on home or on-premises media servers. It's not clear if the Plex breach has any connection to the LastPass intrusions. Representatives of LastPass and Plex didn’t respond to emails seeking comment for this story.


https://arstechnica.com/information-technology/2023/02/lastpass-hackers-infected-employees-home-computer-and-stole-corporate-vault/

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

io penso che più "servizi" girano su un server esposto ad internet e più è facile che vengano scoperte falle sfruttabili su questi servizi.
MDK, proprio tu mi cadi sull'uccello...

Credo che MDK faccia girare i vari servizi usando Docker or altri containers.

Credo che MDK faccia girare i vari servizi usando Docker or altri containers.

This, senza contare che di esposti ce ne sono pochissimi, è tutto dietro un reverse proxy, di roba visibile fuori c'è solo la domotica e Plex (che serve solo a far figo e farlo vedere agli amici perchè difficile che mi metta a streammare roba mentre sono in giro), tutto il resto si accede o tramite l'UI di Homeassistant (Radarr/Sonarr/ecc) o VPN (server Ubuntu in un container)