Usate un password manager?

[Dadocoso]

Altre domande da iper nabbo.
Inizio ad usare uno dei password manager citati. Voglio cambiare la password del sito X, rendendola più complessa, sfruttando appunto la generazione di password casuali / complesse del suddetto software. Cosa capita? Inizio la procedura da dentro al sito, ovviamente. Il soft crea la nuova password, mi compila il campo del sito, il sito la accetta e contemporaneamente il software la cambia nel suo archivio?

beh fondamentalmente la fai a mano dal sito. Dashlane quando ti viene richiesta la nuova password ne genera una automaticamente e ti chiede se vuoi inserirla. Una volta dato l'ok riconosce che il login al sito é cambiato e ti chiede se vuoi aggiornarlo nell'archivio. Questo nel 99% dei casi, ci sono dei siti del cazzo con sistemi di login del cazzo che dashlane non riconosce, ma mi sará capitato 2-3 volte in anni e anni di utilizzo.

immagino che il resto dei password manager facciano lo stesso comunque

[showa]

Ci sono forme di integrazione per l'autocompletamento dei campi di login, ma fondamentalmente non c'è nessuna magia: generi la password nel password manager, la copi e la incolli nel sito.

In effetti sembrava fossi super pigro
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?

[Kemper Boyd]

In effetti sembrava fossi super pigro
I miei interventi paiono essere un compendio della "Guida ai password manager for dummies"...
La filosofia di questi software è quella di NON far memorizzare nessuna informazione di login nel browser ma di conservare le stesse in un db criptato, e da quello recuperare le informazioni alla bisogna, mi pare di capire.
Come si fa ad autenticarsi (insomma, "dire" al password manager che può dare le info al sito):
- da pc?
- da smartphone? Impronta digitale?

Non sono sicuro di capire bene le domande

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra

[Mdk]

Non sono sicuro di capire bene le domande

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra

Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano

[showa]

Non sono sicuro di capire bene le domande

Di base pensa al password manager come un foglio excel in cui ti salvi le password: devi andare su un sito, arrivi al login, apri il foglio excel, copi la password e la incolli nel campo password del login invece di scriverla. Senza offesa, ma mi sembra quando spiego le cose a mia suocera

Ovviamente per aprire il password manager serve una master password che ti devi ricordare e devi scrivere tu, da lì non si scappa.

Poi i vari manager hanno sistemi per fare l'autocompletamento dei vari campi nei siti, sia partendo dalle applicazioni desktop sia tramite estensioni browser, ma al di là di quello il funzionamento base è quello detto sopra

Touché, ma ci sta tutto

Però ora ci sono i password manager "passwordless", dove tu arrivi sul sito, vedi i login salvati, ne scegli uno e sul cellulare, nell'app del password manager, ti arriva "Vuoi loggarti su sto sito?", autorizzi col dito e via, sia che tu stia accedendo da PC che da mobile, così da eliminare il bisogno di dover inserire/copiare la password a mano

Interessanti qualche esempio?

[Mdk]

Touché, ma ci sta tutto


Interessanti qualche esempio?

Teoricamente Bitwarden/Vaultwarden dovrebbe farlo, anche se ancora non ho provato

[MrSelfDestruct]

->Spoiler<-

Uso Bitwarden con 2FA. Si integra benissimo con browser (estensione Firefox) e su smartphone (app dedicata).

Su smartphone, per far login su una pagina web/app, in genere Bitwarden riconosce la schermata di login ed apre un campo ad-hoc. Secondo le impostazioni, clicchi per inserire direttamente le credenziali (sconsigliato) oppure sblocchi il Vault (con master password oppure con l'impronta digitale) e selezioni le credenziali corrispondenti al sito.

Non hai bisogno di copiare/incollare nulla, in teoria. In pratica, non tutti i siti/app hanno l'integrazione pienamente funzionante, in quel caso non si scappa dal copy-pasta.

La rottura di palle iniziale (rifare login nonché cambiare le credenziali di TUTTO) è di proporzione epiche, però tieni conto che la password generation è integrata nell'app/estensione e che lo devi fare una volta sola. In alternativa, se per esempio hai credenziali salvate su qualche browser, puoi sempre salvarle su .csv ed importarle in Bitwarden, ma cmq la sbatta di cambiarle una per una non te la toglie nessuno.

[Necrotemus]

Per chi usa Bitwarden (non so per altre alternative), consiglio di cambiare l'algoritmo passando a Argon2 (https://en.wikipedia.org/wiki/Argon2) o se si vuole mantenere il vecchio algoritmo SHA 256, di controllare e alzare il valore KDF da 600 000 a 1 000 000

[showa]

Sempre detto che J4S è la sezione più meglio che esista

[tigerwoods]

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo

[Mdk]

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo

Si ma se passate da una roba bucata ad una che bucheranno cambia poco
Il futuro è self-hosted

[KymyA]

KeepassX con il file delle password in cloud in un disco-virtuale criptato con Veracrypt. ALmeno le password importanti.
Perché la rottura di coglioni è lanciare veracrypt, montare l'unità virtuale ed una volta fatto appare KeepassX con il file delle password protetto da Masterpassword.
Quindi in cloud ho una cartella con Veracrypt+DiscoCriptato; nel disco criptato c'è KeepassX con file delle password.

[showa]

Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?

Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc??

[Mdk]

Benissimo la protezione dei propri account, MA in ambito DOMESTICO...non si rischia di esagerare? Non basta un buon password manager?

Mdk: in che senso self hosted? Il file con le password non risiede sempre nel proprio pc??

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

[MrSelfDestruct]

ma bitwarden premium é solo 10 dolla all'anno? sincronizzabile su quanti dispositivi voglio, con app mobile?
mi scade dashlane a metá marzo ma se é valido quasi quasi cambio, costa un terzo

Già la versione standard non ha limiti di dispositivi, che io sappia (lo uso su 2 smartphones e 3 PC). Con il premium hai dello storage da qualche parte, che a me non serve.

La roba self-hosted è interessante ma un po' overkill secondo me. Con il 2FA impostato su tutte le web/app importanti anche se bucassero Bitwarden ci sarebbe sempre quell'ultimo scoglio da superare. No?

[Necrotemus]

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

Mi viene automatico il parallelo con il breach di LastPass, dove viene ipotizzato che l'attacco sia avvenuto su una vulnerabilita' di Plex,

According to a person briefed on a private report from LastPass who spoke on the condition of anonymity, the media software package that was exploited on the employee’s home computer was Plex. Interestingly, Plex reported its own network intrusion on August 24, just 12 days after the second incident commenced. The breach allowed the threat actor to access a proprietary database and make off with password data, usernames, and emails belonging to some of its 30 million customers. Plex is a major provider of media streaming services that allow users to stream movies and audio, play games, and access their own content hosted on home or on-premises media servers. It's not clear if the Plex breach has any connection to the LastPass intrusions. Representatives of LastPass and Plex didn’t respond to emails seeking comment for this story.

https://arstechnica.com/information-...rporate-vault/

[KymyA]

Self-hosted nel senso che il serverino fisico che tiene non solo il file con le password ma l'intero software sta a casa mia, nel miniPC dove gira tra l'altro pure domotica, media server e altra robina
Quindi, l'app sul cellulare si collega a quel miniPC ogni tot per scaricare l'elenco aggiornato delle password, sempre cryptate, Chrome dei vari PC (casa, ufficio) va sempre su quel miniPC ecc ecc
Se bucano Bitwarden ufficiale non bucano il mio, a meno che non stiano tutti i giorni a sniffare tutti gli IP mondiali per trovare chi sta usando Bitwarden self-hosted per poi usare qualche falla nota e non patchata
Visto che Keepass l'han fregato tramite phishing e non bruteforce o falle, direi che sono molto più al sicuro a tenermelo in casa piuttosto che fidarmi di uno che apre le mail a caso e clicca ovunque

io penso che più "servizi" girano su un server esposto ad internet e più è facile che vengano scoperte falle sfruttabili su questi servizi.
MDK, proprio tu mi cadi sull'uccello...

[Necrotemus]

Credo che MDK faccia girare i vari servizi usando Docker or altri containers.

[Mdk]

Credo che MDK faccia girare i vari servizi usando Docker or altri containers.

This, senza contare che di esposti ce ne sono pochissimi, è tutto dietro un reverse proxy, di roba visibile fuori c'è solo la domotica e Plex (che serve solo a far figo e farlo vedere agli amici perchè difficile che mi metta a streammare roba mentre sono in giro), tutto il resto si accede o tramite l'UI di Homeassistant (Radarr/Sonarr/ecc) o VPN (server Ubuntu in un container)