1Password fa sul serio, 100 mila dollari a chi riuscirà a 'bucare' i sistemi di sicurezza

10 Marzo 2017 137

La software house AgileBits, proprietaria del noto manager di password premium 1Password, ha deciso di dimostrare a tutti gli utenti l'incredibile efficacia dei propri sistemi di sicurezza, annunciando sul proprio blog ufficiale di aver innalzato il premio in denaro per il programma bug bounty da 25.000$ a ben 100.000$.

Al fine di guadagnare la ricompensa, giunta agli stessi livelli delle grandi aziende come Apple e Google, i ricercatori dovranno essere in grado di dimostrare come 'bucare' la tecnologia di sicurezza di 1Password, riuscendo ad arrivare alle credenziali archiviate all'interno dei server aziendali.

Per agevolare ulteriormente i ricercatori, la stessa società fornirà una documentazione supplementare indicando dove potrebbero essere presenti le problematiche reali.

La decisione di AgileBits arriva a poco più di un mese dalla scandalo Cloudflare, protagonista di un un bug piuttosto serio nei propri software che ha esposto in forma non criptata, come semplice testo, circa 5 milioni di dati sensibili degli utenti dei siti, mettendo una t-shirt come unica ricompensa per il programma bug bounty.

Per maggiori informazioni vi lasciamo alla pagina dedicata di 1Password e all'annuncio ufficiale sul proprio blog.


137

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Giova

Buonasera a tutti. Chiedo gentilmente un informazione. Come gestore password tra 1Password, keeper e safeincloud quale consigliate? Grazie

Pietro

Keepass salva i dati in locale (su un archivio ovviamente criptato). Io (e molti altri utenti) ho salvato l'archivio sulla cartella di Google drive così lo posso usare anche da cellulare e nella malaugurata eventualità di rompere l'ssd o perdere il telefono non perdo le mie password.
Comunque tengo copie anche su pennette USB o hard disk per sicurezza

Alberto

Keepass dove memorizza i dati? in un file locale? cosa succede se il telefono si rompe/lo perdo/ lo uso come martello per rompere il vetro dell'auto per uscire/....

Alberto

fammi capire... quindi quando ti serve una password scarichi il 7z dal drive, lo decomprimi, estrai il txt e lo leggi e poi cancelli tutto... cosi sul drive dove hai fatto quello sfracelo di attività resta:

- il file 7z
- il file txt

Si restano perchè a meno che tu non facca una secure erease restano li anche se li hai "cancellati"

Per non parlare di aprire semplicemente il txt dove al 90% resta nella temp in chiaro...

ROOT

KeePass2Android ;-)

ROOT

KeePass2Android.

ROOT

KeePass2Android :-)

Callea

1Password vs games...

Ma che paragone è??

se vai sul sito di agilebits (sezione: store) vedrai che c'è anche la possibilità di acquistare una licenza (per mac e windows) lifetime a circa 60$.

KenZen

Quella è la versione completa anche per Mac. Se vuoi quella per iOS, si paga una volta sola.
Saluti

Alessandro

Prima era facile come dici tu, ma ora Chrome richiede la password dell'account Microsoft/Windows che stai usando: se poi il proprietario dice questa password a chiunque il problema è suo.

Pietro

keepass

Ajeje Brazorf

sul sito cè scritto 3 euro mese pagabile con abbonamento di 36 euro l'anno
https://uploads.disquscdn.c...

Ajeje Brazorf

sul sito cè scritto abbonamento 36 euro l'anno

Ajeje Brazorf

costa 36 euro all'anno anche tenerlo in locale?

Ajeje Brazorf

costa minimo 36 euro all'anno di abbonamento poi cè il family che costa 60 all'anno. non esiste quella che dici tu

simone

Domanda? Avendo iPhone, iPad e MacBook io utilizzo portachiavi di Apple. Non uso altri device. Che vantaggi avrei ad usare 1 password?

takaya todoroki

ma il fatto è che non è deragliato: l'ultimo eseguibile buono (cioè il penultimo fatto da loro) gira perfettamente su tutti i sistemi odierni (win, linux, mac), ha avuto l'audit che garantisce che la parte crittografica in sè è robusta e finché sarà compatibile con dischi e OS non c'è motivo vero di passare ad un'alternativa che non ha ricevuto il medesimo audit.

takaya todoroki

"Indubbiamente vale il prezzo"

per te ;)

ekerazha

KeePass con file salvato su Drive

Riccardo Pastena

Il problema sta tutto nel bucare le difese a livello di rete. Una volta che hai accesso al programma arrivare alle chiavi con un Buffer overflow é relativamente semplice. O almeno più semplice di arrivare al dato stesso. Se hanno dati a riposo crittografati come si deve e dati in movimento con validazione asimmetrica possono offrire tutti i soldi che vogliono.

Linux86

lastpass la consigliate?

Linux86

visto che 1password è a pagamento che consigli ?

Pietro

finchè la tua password di drive è: 1 forte, 2 non te la rubano, 3 non bucano drive sei a posto.
Tuttavia ti consiglio di provare KeePass (lo sto consigliando un po' a tutti perchè penso che meriti veramente). All'inizio può essere un pelo acerbo e non ha certo la grafica migliore del mondo ma in queste cose la funzionalità viene prima di tutto (per me almeno). Ti incollo il commento che ho lasciato ad un altro utente:
opensource, gratuito, e molto più pratico di un folgio excel (che usavo anch'io fino a circa un anno fa).
Giusto per farti qualche esempio: generatore di password, app per android e ios (forse anche WP) ma il database è criptato e salvato su un tuo servizio cloud (chiaramente se ti interessa). Una volta copiata una password gli appunti vengono eliminati dopo un numero di secondi che puoi scegliere te e il mio preferito: QuickUnlock.
In pratica per aprire il database devi inserire la tua password completa poi, fino a che non chiudi il database, per prendere una password è sufficiente mettere le ultime 3 lettere della password, rendendo molto pratico l'utilizzo. Se sbagli anche una sola volta il database viene bloccato e devi reinserire la password completa. Poi sono disponibili vari plug-in... insomma ho fatto un pippone abbastanza lungo ma penso che ne valga la pena.

TL;DR prova keepass

Giuseppe Nicita

Io tengo le psw su una file txt protetto con 7zip su Drive, dite che fa schifo come metodo ? io lo trovo pratico.. sinceramente è frustante dover adattarsi ad un altro metodo..

Body123

Domanda seria (non me ne intendo di queste cose): sono un folle a tenerle salvate su un cloud "senza protezione"?

Cioè avendo per esempio su drive il file Disqus.txt ecc.

Body123

E se perdi/rompi irrimediabilmente/ti rubano il telefono perdi tutte le password?

Ricky

Se ho accesso al tuo pc in un secondo di copio tutte le password di chrome che hai, ci sono tools che lo fanno, fai attenzione a quando lasci il pc e a quando lo porti a riparare.

Ansem The Seeker Of Darkness

Farò la prova grazie!

zampemo

Beh è un'ottima abitudine che ero solito usare anch'io, ma quando i siti con password da ricordare diventano un centinaio, con pwd tutte diverse, diventa alquanto difficile ricordarle tutte e molto scomodo usare la tattica del "non ricordo la password, la cambio"...

kpkappa

Abbonamento annuale.

Pietro

KeePass non ha un servizio cloud, ma il database è sempre criptato per cui io lo tengo su Drive e su android uso Keepass2android perchè supporta QuickUnlock.

Linux86

Ma che ne pensate delle password salvate tramite google Chrome? Alla fine abilitado la verifica in due passaggi e mettendo un ottima password nn dovrebbe essere sicuro? Premesso che su ipad utilizzo anche io 1passoword.. Cmq nn ho mai sentito che il sistema google fosse hackerato o sbaglio?

Alex Alban

Si come anche last pass! Ma non mi fido di dove risiede il db, con keepass lo tengo su OneDrive

Alex Alban

One time?

Un treno può deragliare varie cause... anche indipendenti dal treno stesso! Mai detto il contrario. :-)

Speriamo che con vera questo non accada, ma ne dubito.

Indubbiamente vale il prezzo, anche perché:

1- la licenza che si acquista avrà una vita molto lunga (almeno 5 anni, ma penso e spero molti di più!)
2- è multipiattaforma (purtroppo però non c'è per GNU/Linux, cosa che avrei gradito...)
3- il prezzo dell'app, a mio avviso, lo fa la concorrenza diretta (lastpass, dashlane ecc.), non i giochi AAA o un OS

Per chi non vuole spendere soldi comunque c'è keepass, anche se ovviamente offre meno, ma quantomeno ti permette di "assaggiare" cosa voglia dire avere un sistema del genere sempre a portata di mano.

(

Ora lo provo, invece su Android c'é qualcosa? Non so se basta la crittazione del cellulare e un pin

Pietro

KeePass

Pietro

di default è AES 256 (da quanto ne so dovrebbe già essere sufficiente) poi con i plug-in puoi aggiungere altri algoritmi di criptazione come twofish, serpent, gost e altri.

Pietro

Ti consiglio di provare KeePass, opensource, gratuito, e molto più pratico di un folgio excel (che usavo anch'io fino a circa un anno fa).
Giusto per farti qualche esempio: generatore di password, app per android e ios (forse anche WP) ma il database è criptato e salvato su un tuo servizio cloud (chiaramente se ti interessa). Una volta copiata una password gli appunti vengono eliminati dopo un numero di secondi che puoi scegliere te e il mio preferito: QuickUnlock.
In pratica per aprire il database devi inserire la tua password completa poi, fino a che non chiudi il database, per prendere una password è sufficiente mettere le ultime 3 lettere della password, rendendo molto pratico l'utilizzo. Se sbagli anche una sola volta il database viene bloccato e devi reinserire la password completa. Poi sono disponibili vari plug-in... insomma ho fatto un pippone abbastanza lungo ma penso che ne valga la pena.

TL;DR prova keepass

(

È sicuro come veracrpyt? Ho la possibilità di concatenare blowfish ,aes ,serpent con 3 chiavi da 256 bit ed è impossibile( o si spera) fare un bruteforce con il pim.

takaya todoroki

Truecrypt ha passato con successo l'audit (analisi del codice).
Non è deragliato, semplicemente l'hanno fatto chiudere perché era sicuro.

takaya todoroki

Diciamo che è un programma che ha una complessità ed una dimensione infinitamente inferiore ad un applicativo qualunque di pari prezzo.

Per dirne una costa come un gioco AAA che ha numeri in termini di linee di codice, tempo di sviluppo, ed altro (grafica storyboard) non paragonabili.

Stessa cosa il servizio: pochi byte scambiati tra client e server (in confronto a quanto macina un qualsiasi servizio WEB è nulla).

Questo per fare i conti in tasca alla software house: fanno pagare carissimo il servizio.

Poi è plausibilissimo che per molti valga il prezzo, su questo non discuto.

Pietro

io usavo un foglio excel criptato con truecrypt.
Ora sono passato a KeePass, opensource, gratuito, con generatore di password e infinitamente più comodo. Se non ne hai mai sentito parlare dagli una possibilità.

Oltre alla comodità nell'inserimento della singola password, c'è anche la comodità nella creazione (1password ha un ottimo generatore) e nel mantenimento (capire quanto una password è vecchia per dire o controllare facilmente se è debole, nel caso in cui non sia stata generata con 1password).

Lo fa anche con Chrome se è per questo. Il problema è che in entrambi i casi, vale a dire sia con Safari che con Chrome, se vuoi questa sincronizzazione devi dare alla Apple o Google le tue password (cifrate ovviamente) e personalmente non mi sento a mio agio nel dar loro una cosa così importante.

No, non sei l'unico. :)

Vera è l'erede di truecrypt, funziona anche molto bene. Speriamo non deragli come quest'ultimo.

Uso l'app da anni: una volta comprata la licenza per desktop (sui 60 euro sia per Mac che per Windows, quando è in offerta), non ho mai dovuto sborsare un centesimo

takaya todoroki

ma figurati, lo vendi agli spioni statali e ti pagano 10 volte tanto con tanto di fattura che mandi regolarmente al commerciale.

Quanto è utile una ciabatta SMART? Ecco perchè comprarla | Video | #BESTBUY

Il miglior cavo per ricarica e trasferimento dati | Video | #bestbuy

Effetto Iliad: le migliori tariffe degli altri operatori concorrenti entro 10 euro | Video

Come e perché smaltire rifiuti tecnologici: lunga vita al bidone barrato #report