Re: Usate un password manager?
Citazione:
Originariamente Scritto da
showa
Altre domande da iper nabbo.
Inizio ad usare uno dei password manager citati. Voglio cambiare la password del sito X, rendendola più complessa, sfruttando appunto la generazione di password casuali / complesse del suddetto software. Cosa capita? Inizio la procedura da dentro al sito, ovviamente. Il soft crea la nuova password, mi compila il campo del sito, il sito la accetta e contemporaneamente il software la cambia nel suo archivio?
beh fondamentalmente la fai a mano dal sito. Dashlane quando ti viene richiesta la nuova password ne genera una automaticamente e ti chiede se vuoi inserirla. Una volta dato l'ok riconosce che il login al sito é cambiato e ti chiede se vuoi aggiornarlo nell'archivio. Questo nel 99% dei casi, ci sono dei siti del cazzo con sistemi di login del cazzo che dashlane non riconosce, ma mi sará capitato 2-3 volte in anni e anni di utilizzo.
immagino che il resto dei password manager facciano lo stesso comunque :asd:
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Kemper Boyd
Ci sono forme di integrazione per l'autocompletamento dei campi di login, ma fondamentalmente non c'è nessuna magia: generi la password nel password manager, la copi e la incolli nel sito.
In effetti sembrava fossi super pigro :bua:
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
showa
In effetti sembrava fossi super pigro :bua:
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?
Non sono sicuro di capire bene le domande :asd:
Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:
Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.
Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Kemper Boyd
Non sono sicuro di capire bene le domande :asd:
Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:
Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.
Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:
Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Kemper Boyd
Non sono sicuro di capire bene le domande :asd:
Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera :bua:
Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.
Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra :sisi:
Touché, ma ci sta tutto :asd:
Citazione:
Originariamente Scritto da
Mdk
Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano
Interessanti :uhm: qualche esempio?
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
showa
Touché, ma ci sta tutto :asd:
Interessanti :uhm: qualche esempio?
Teoricamente Bitwarden/Vaultwarden dovrebbe farlo, anche se ancora non ho provato
Re: Usate un password manager?
Uso Bitwarden con 2FA. Si integra benissimo con browser (estensione Firefox) e su smartphone (app dedicata).
Su smartphone, per far login su una pagina web/app, in genere Bitwarden riconosce la schermata di login ed apre un campo ad-hoc. Secondo le impostazioni, clicchi per inserire direttamente le credenziali (sconsigliato) oppure sblocchi il Vault (con master password oppure con l'impronta digitale) e selezioni le credenziali corrispondenti al sito.
Non hai bisogno di copiare/incollare nulla, in teoria. In pratica, non tutti i siti/app hanno l'integrazione pienamente funzionante, in quel caso non si scappa dal copy-pasta.
La rottura di palle iniziale (rifare login nonché cambiare le credenziali di TUTTO) è di proporzione epiche, però tieni conto che la password generation è integrata nell'app/estensione e che lo devi fare una volta sola. In alternativa, se per esempio hai credenziali salvate su qualche browser, puoi sempre salvarle su .csv ed importarle in Bitwarden, ma cmq la sbatta di cambiarle una per una non te la toglie nessuno.
Re: Usate un password manager?
Per chi usa Bitwarden (non so per altre alternative), consiglio di cambiare l'algoritmo passando a Argon2 (https://en.wikipedia.org/wiki/Argon2) o se si vuole mantenere il vecchio algoritmo SHA 256, di controllare e alzare il valore KDF da 600 000 a 1 000 000
https://cdn.discordapp.com/attachmen...4931/image.png
Re: Usate un password manager?
Sempre detto che J4S è la sezione più meglio che esista :snob:
Re: Usate un password manager?
ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
tigerwoods
ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:
Si ma se passate da una roba bucata ad una che bucheranno cambia poco
Il futuro è self-hosted :sisi:
Re: Usate un password manager?
KeepassX con il file delle password in cloud in un disco-virtuale criptato con Veracrypt. ALmeno le password importanti.
Perché la rottura di coglioni è lanciare veracrypt, montare l'unità virtuale ed una volta fatto appare KeepassX con il file delle password protetto da Masterpassword.
Quindi in cloud ho una cartella con Veracrypt+DiscoCriptato; nel disco criptato c'è KeepassX con file delle password.
Re: Usate un password manager?
Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?
Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc?? :uhm:
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
showa
Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?
Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc?? :uhm:
Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
tigerwoods
ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo :uhm:
Già la versione standard non ha limiti di dispositivi, che io sappia (lo uso su 2 smartphones e 3 PC). Con il premium hai dello storage da qualche parte, che a me non serve.
La roba self-hosted è interessante ma un po' overkill secondo me. Con il 2FA impostato su tutte le web/app importanti anche se bucassero Bitwarden ci sarebbe sempre quell'ultimo scoglio da superare. No?
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Mdk
Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque
Mi viene automatico il parallelo con il breach di LastPass, dove viene ipotizzato che l'attacco sia avvenuto su una vulnerabilita' di Plex,
Citazione:
According to a person briefed on a private report from LastPass who spoke on the condition of anonymity, the media software package that was exploited on the employee’s home computer was Plex. Interestingly, Plex reported its own
network intrusion on August 24, just 12 days after the second incident commenced. The breach allowed the threat actor to access a proprietary database and make off with password data, usernames, and emails belonging to some of its 30 million customers. Plex is a major provider of media streaming services that allow users to stream movies and audio, play games, and access their own content hosted on home or on-premises media servers. It's not clear if the Plex breach has any connection to the LastPass intrusions. Representatives of LastPass and Plex didn’t respond to emails seeking comment for this story.
https://arstechnica.com/information-...rporate-vault/
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Mdk
Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque
io penso che più "servizi" girano su un server esposto ad internet e più è facile che vengano scoperte falle sfruttabili su questi servizi.
MDK, proprio tu mi cadi sull'uccello...
Re: Usate un password manager?
Credo che MDK faccia girare i vari servizi usando Docker or altri containers.
Re: Usate un password manager?
Citazione:
Originariamente Scritto da
Necrotemus
Credo che MDK faccia girare i vari servizi usando Docker or altri containers.
This, senza contare che di esposti ce ne sono pochissimi, è tutto dietro un reverse proxy, di roba visibile fuori c'è solo la domotica e Plex (che serve solo a far figo e farlo vedere agli amici perchè difficile che mi metta a streammare roba mentre sono in giro), tutto il resto si accede o tramite l'UI di Homeassistant (Radarr/Sonarr/ecc) o VPN (server Ubuntu in un container)
