venerdì, Novembre 15, 2024

Gli utenti LastPass ricevono una notifica quando tentano di accedere con una password principale – Aggiornamento – Computer – Notizie

Deve leggere

Certo, ma questo è un grosso problema con i gestori di password non basati su cloud.

Non lo è, perché non funziona nel browser, quindi nemmeno le estensioni del browser possono accedervi. Se qualcosa di sporco è in esecuzione da qualche altra parte sul tuo dispositivo, sì, puoi.

Dal momento che tutto è fatto localmente, non vedo come funzionerebbe.

Come può LastPass inviare tali messaggi? Se tutto viene fatto localmente, significa che hai le tue password memorizzate localmente, e se entri con la password principale corretta, è molto facile non farlo sapere a Lastpass. Inoltre, in quel momento, non potevano più impedirti di entrare. Invece, non accade del tutto localmente, quindi c’è la convalida sul lato server prima di finire con l’intero negozio localmente. Allora diventa più difficile (ma non impossibile) fare questo controllo interamente localmente.
Bene, il vero punto: MITM. Questa è un’opzione se accedi tramite il sito Web, perché il deposito non è locale in quel momento. Se riesci a intercettare e modificare la pagina di accesso nel processo (di nuovo, quasi impossibile di questi tempi), puoi modificare la logica in modo che invii la tua password online anziché mantenerla locale.

Questo è possibile e nemmeno qualche passo più difficile. Anche i gestori di password offline come Bitwarden non dovrebbero essere utilizzati su computer pubblici, quindi penso che dovresti migliorare un po’ le tue conoscenze.

Questo semplicemente non è possibile se l’esecuzione dei propri eseguibili non è consentita su questi tipi di macchine. E se puoi, saranno alcuni passaggi più difficili perché devi scaricare il programma e devi ottenere lo spazio di archiviazione su quella macchina prima di iniziare con esso, il che spesso richiede un altro programma (ssh/dropbox/client cloud/. ..) soprattutto se le porte USB sono anche disabilitate. In effetti, non dovresti mai farlo, ma qualcosa come Lastpass funziona senza nessuno di quei passaggi aggiuntivi nel browser, quindi la tentazione è maggiore rispetto ai gestori di password “più difficili”.

READ  Telefoni Android infettati da FluBot

Ultimo articolo