1Password avvisa gli utenti se le password in uso sono state oggetto di violazioni

23 Febbraio 2018 143

1Password offre da sempre un apprezzato servizio di archiviazione delle password personali, tuttavia, per dimostrare agli utenti l'efficacia del proprio sistema di sicurezza, AgileBits ha pensato bene di introdurre una nuova funzione che avvisa l'utente quando una password in uso è stata in passato compromessa sul web, e quindi potenzialmente a rischio o poco sicura.

Il sistema di controllo si appoggia su un database compilato e rilasciato recentemente dall'esperto di sicurezza Troy Hunt, contenente oltre 500 milioni di password provenienti da potenziali violazioni della rete.

A partire da oggi, chiunque abbia un abbonamento a 1Password può utilizzare questo servizio, perfettamente integrato con il database di Hunt. Per farlo, basta accedere con il proprio account 1Password, aprire il gestore delle password e selezionare un elemento per visualizzarne i dettagli.


Secondo gli sviluppatori di AgileBits, il controllo della password utilizzando questa funzione è più che sicuro. La società afferma infatti che l'hash della password usa l'algoritmo SHA-1 (Secure Hash Algorithm 1), che invia solo i primi cinque caratteri al servizio di Hunt. Il server restituisce quindi un elenco di hash, considerate a rischio, che iniziano con quegli stessi cinque caratteri e 1Password confronta l'elenco localmente per offrire una corrispondenza.

Nel caso venisse rilevata una password corrispondente a quelle compromesse, AgileBits consiglia agli utenti di modificarla, prima che possa essere sfruttata da qualche utente malintenzionato.

Nessun compromesso per durata batteria a parità di prezzo? Lenovo P2 è in offerta oggi su a 295 euro.

143

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Francesco

se ci pensi è molto più insicuro usare la stessa pass per più servizi, senza contare che basta avere accesso alla mail per poterne resettare tante altre

Stefano Massignani

Nessun sistema è sicuro, facciamocene una ragione. Non l'agendina nascosta dietro il barattolo dello zucchero, nemmeno il miglior password manager. Nemmeno la memoria, visto che se hai decine di account non puoi ricordare decine di password, e tendi quindi ad usare sempre la stessa o sue minime variazioni. Oggi ci sono password manager multi piattaforma che salvano le password criptate in cloud e che sono accessibili solo tramite due o tre fattori di autenticazione. A mio avviso sono il miglior compromesso, se considero che io sono uno qualunque che interessa a nessuno, e non una multinazionale o un ente pubblico

MarcoD

non lo conoscevo keepass, grazie, lo provo!

B!G Ph4Rm4

Un file crittografato decentemente è praticamente impossibile da craccare se l'algoritmo è robusto e la chiave abbastanza robusta.
E' un fatto, non è un'opinione, al massimo si potrebbe violare il protocollo di comunicazione delle chiavi tra i server cloud e lo smartphone, ma pure lì, se i sistemi sono ben aggiornati ed il protocollo usato è bello robusto, c'è poco da fare.

Non so tu che corso di sicurezza abbia seguito.

Just A Guy

Rileggi ciò che hai scritto e fatti un face palm ti prego....Ti do una mano (no pun intended) "Non esiste modo per violarla" non aggiungo altro perché hai detto che stai già seguendo un corso sulla sicurezza. Spero tu non faccia la facoltà di Scienze delle Merendine.

Oliver Cervera

Tu non conosci l'educazione a quanto pare

Oliver Cervera

Vabbè tu trolli.

Lorenzo Ori

Sei messo male se non conosci antani

Lorenzo Ori

È la stessa identica cosa...

L'hai studiato bene è forse piú idoneo per te

Oliver Cervera

Copy/paste sta ceppa di minchiam, io uso l'auto-completamento di Oreo. L'hai studiato bene vedo, eh?

Oliver Cervera
poi ho se vuoi essere antani non so cosa dirti


Che minghia hai detto?

almeno mi pagano a differenza dei tuoi commenti

Mi dispiace, non lavoro nei fine settimana ;)

Lorenzo Ori

Tu usi il tuo passoword manager, io uso carta e penna

Degustibus

Oliver Cervera

HAHAHAHAHAHAH chi ha parlato di Android?
NON utilizzare i pasword manager è una follia, mi sa che è meglio che torni a moddare i kernel.

Lorenzo Ori

Forse dovresti leggere come funziona all'interno di Android il comando copy/paste e che conseguenze ci sono a livello di privacy.
L'SDK ti Oneplus (openbeta) funzionava sfruttando il copy/paste

Ti saluto genio, torno a provare il BQ Aquaris X Pro che ho ricevuto a gratis da BQ

Oliver Cervera

troll

Francesco

Per pc poi è gratis

Francesco

Cioè inutilizzabile. A quel punto userai una sola o poche password che è ben più pericoloso

Vermillion

Mah, io sono furbo, ce l'ho sulla mensola delle chiavi di casa appena entri.

Paul Aster

Mi raccomando, nel primo cassetto della scrivania

Sagitt

Io uso la mia memoria per le password, ma non posso ricordare ogni cosa

Infatti uso 1Password per archiviare documenti, codici di accesso univoci (tipo quelli che ti da Google o Facebook per il recupero estremo), carte di credito con i vari pin puk codici internet ecc... scansione della carta bla bla

Oppure per delle note particolari come i dati dell’assicurazione ecc

Per le password mai usato.

al404

IMHO non è un buon metodo le targhe sono troppo corte e solo alfanumeriche, senza contare i servizi dove sono richieste sia lettere minuscole che maiuscole.
E' necessario iniziare ad utilizzare password più lunghe, più aumenta la potenza di calcolo meno ci vuole con un brute force a trovare password corte.

Utente9000

Leggi la mia risposta a sotto per il metodo che uso, che non sarà degno dell'FBI ma credo sia abbastanza buono.

Dario · 753 a.C. .

Ok significa che usa software open source scritto da altri, però ci sono comunque le parti closed source scritte da loro.

Comunque non fissarti troppo su questo aspetto ora, fai come meglio credi.

Però quando usi software closed source devi fidarti sia che l'azienda non abbia lasciato falle, sia che l'azienda non faccia cose coi tuoi dati.

Dario · 753 a.C. .

Quello funziona solo su Windows.
Su altre piattaforme ci sono altri programmi che riescono a gestire il database di keepass. Sono fatti da altri sviluppatori e anche quelli possono essere open-source.

Su Linux c'è keepassx, su iOS minikeepass, su Android un altro. Sono tutti open-source.

In ogni caso non è che ti deve garantire qualcuno che è open-source. Solitamente è proprio il programma a farne vanto di essere open-source sulla descrizione o sul sito e c'è il link al codice.
È pieno di alternative open-source per tutto.

Linux è open-source, Firefox è open-source,gimp per l'editor di foto, 7zip per gli zip, libre office per i documenti, vlc per la riproduzione multimediale e via dicendo.

Io personalmente preferisco sempre usare l'alternativa open-source quando è possibile. Non solo per un fatto di sicurezza, ma perché credo nell open-source e io stesso ho rilasciato il sorgente di molti miei software.

L'opensource è bello perché oltre a vedere cosa fa un software, puoi apportare delle modifiche e farti la tua versione modificata o anche se lo sviluppatore abbandona il progetto può continuarlo qualcun altro.

Il fatto che su Android esistono varie rom con funzioni diverse è proprio grazie al fatto che android è open-source quindi ogni sviluppatore può prendere il codice, modificarlo come meglio crede e rilasciare la sua versione differente di Android.

Lo stesso vale per Linux desktop dove ci sono un'infinità di distribuzioni differenti (Ubuntu, Linux mint, fedora, open suse)

Mi fido più del software open-source perché chiunque può vederlo e metterci mano. Quindi è più difficile che ci siano bug (visto che tutti possono vedere il codice e segnalare eventuali problemi) o addirittura suggerire modifiche per migliorarlo.

Vermillion

Non so se ti occupi di sicurezza di mestiere, ma hai detto una cosa giusta.

Lorenzo Ori

Ogni tipologia di password manager è da evitare !

Piuttosto carta e penna

Vermillion

Io non mi riferivo a 1password nel mio primo commento...parlo più in generale servizi terzi se non necessari, sopratutto riguardo la delicatezza di questo argomento, fermo restando che ad oggi è paradossalmente più sicuro scrivere la propria password su un agenda (ovviamente non da tenere sulla mensola delle chiavi di casa) rispetto al salvare le proprie password in "locale" ammesso che sia provata che tutti i dati e sottolineò tutti i dati siano salvati in locale appunto. Comunque fai quello che credi giusto.

Squak9000

Se bucano inserver rubano i dati salvati nel cloud... se le password non sono in cloud non possononrubare nulla.

STOP

malapropysm

multipiattaforma, numerose altre funzioni (generatore automatico di pw per esempio), non serve solo per salvare password di login dei siti, non tutti hanno voglia di dare le proprie password a google ecc ecc

Vermillion

Il miglior manager è la tua memoria.

Vermillion

Entrano i ladri dove? In casa tua? XD ad oggi hai più possibilità che ti entrino gli hacker nel tuo stupido smartphone che i ladri in casa tua.

Ho parlato di cloud in questo caso? Non mi sembra.

iamagro

E poi pensavo che si, keepass è open source, ma se lo volessi anche su iPhone e Android chi mi assicura che i porting non siano closed source ? Magari hanno modificato il codice di quelle applicazioni.

iamagro

Riguardo enpass comunque, uno sviluppatore scrisse:
Core part of Enpass is already open source. We use SQLCipher as our database and it in turns uses OpenSSL crypto library for encryption. Both SQLCipher and OpenSSL are open source. Enpass is only a UI that triggers core SQLCipher operations and provides functionality to enhance user experience using platform specific apis (Fingerprint etc.). Following links might be helpful

sopaug

Sì ma se è molto complessa e di utilizzo unico spiegami quali mai saranno le possibilità che qualcuno acceda al password manager? Invece se utilizzi tante password tutte diverse, come la sicurezza impone, e devi ricordatele tutte prima o poi o cominci a farle semplici oppure sviluppi un algoritmo per creartele, che è la cosa più sbagliata da fare perché a quel punto si se te ne beccano una sei mutande dappertutto

Squak9000

Entrano i ladri ti rubano l’agenda?

Forse non hai ben capito... e lo ripeto per l’ennesiama volta:
il password manager NON deve essere salvato in CLOUD.
Deve rimanere sul dispositivo.

Se non ci sono backup in cloud NESSUN buco puó rubare nulla perché nulla é nel cloud.

Mettiamo nell’estrema ipotesi qualcuno lo abbia salvato in cloud... i dati di 1password sono crittografati AES256 = crittografia usata anhe per documenti molto TOPsecret.
Se c’è gente capace di crittografare questa roba... non sta a rubare la password del bimbominkìa con bancoposta...

Dario · 753 a.C. .

Di open-source c'è keepass. Solo che non si integra benissimo con il browser.

Per la sincronizzazione ti basta salvare il database su Dropbox.

Altrimenti c'è bitwarden ma non è molto conosciuta e salva le password su server

iamagro

Un’app open source simile ad Enpass, 1password che sia compatibile con molti browser e os?

Sagitt

Sì ma se sei in giro non hai l’agenda e paradossalmente le password ti servono più quando sei in giro che a casa

Sagitt

Cosa devono hackerare se lo usi non so in locale o suo tuo DropBox?

Sagitt

Non è la stessa cosa, questa fa anche altro

Luca Pulpo

Quella funzionalità di Chrome non può nemmeno lontanamente definirsi password manager.
Da anni uso safe in cloud, che ha anche app desktop gratuita e estensione Chrome per l'accesso diretto ai siti. A mio avviso il migliore perché non è ad abbonamento ma ad acquisto singolo.

B!G Ph4Rm4

Dico che se l'algoritmo implementato è efficace e la password anche, l'unico modo è fare brute force, una strada impraticabile perchè ci puoi mettere anche migliaia di anni per craccare il tutto.
Trai da te le conclusioni

B!G Ph4Rm4

Lo sto facendo in questo momento, quando trovi un modo per forzare dati criptati efficacemente e con una buona chiave e password fammi un fischio. No, il brute force non vale.

al404

Si 1Password è nata per gli utenti Mac, che da tempo hanno il portachiavi di sistema per il salvataggio password, non ricordo se quando è nata voleva colmare i sync con iOS ( forse non era ancora presente il portachiavi in iCloud ) sicuramente serve a chi utilizzava Android e non poteva sincronizzare le password oltre a questo serve per salvare in un posto sicuro: licenze software, dati tipo pin carte, password per app, etc.

Vermillion

Il miglior modo è scriversi tutte le password su una tua agenda a casa tua. Paradossalmente è così.

Ci sono più possibilità che buchino un server su internet che svaligino casa tua. Ricordatelo.

Ergozigoto

Stavamo parlando di 1Password.

Buon per te se ti basta leggere "open source" per sentirti protetto :)

Io sono più paranoico e tutte le mie password (soprattutto quelle bancarie) in un programmino sfigato che domani potrebbe non esistere più o non funzionare per incompatibilità con qualche aggiornamento, non ce le metto...

Dario · 753 a.C. .

Ma cosa stai dicendo

1. Keepass salva tutte le tue password in locale, quindi non colleziona nulla.

2. Se è un programma open-source basato sul cloud ed è open-source anche la parte cloud puoi forkare sia client che cloud e lo fai girare su un tuo server. Quindi le password sono collezionate sul server che però è tuo

vyncenzo

Ok io non sono multipiattaforma e quindi non avevo pensato a questo caso

Ergozigoto

Lo so già cosa fa, colleziona tutte le mie password... quello che non so è se un giorno ne farà un uso illecito e questo non c'è scritto nel codice che nemmeno sarei in grado di capire non essendo un programmatore.

teo-f78

se sei multi piattaforma, mac,win, android e ios e magari come me non usi chrome si, hanno senso. Poi offrono anche funzionalità aggiuntive che il pw manager di google non ha.

Quanto è utile una ciabatta SMART? Ecco perchè comprarla | Video | #BESTBUY

Il miglior cavo per ricarica e trasferimento dati | Video | #bestbuy

Effetto Iliad: le migliori tariffe degli altri operatori concorrenti entro 10 euro | Video

Come e perché smaltire rifiuti tecnologici: lunga vita al bidone barrato #report