[NEWS] LastPass, password compromesse?

[c.m.g]

venerdì 6 maggio 2011

Spoiler:

Quote: Il servizio denuncia una potenziale violazione dei perimetri difensivi di un server e invita i propri utenti a cambiare la loro password

Roma - Furti di identità e carte di credito a milioni, dati evaporati non si sa bene dove, il cloud computing pone sempre più interrogativi sulla propria affidabilità. L'ultimo - in ordine di tempo - servizio "cloud" a cadere vittima della (prevedibilissima) vulnerabilità dei server tra le nuvole è LastPass, servizio di gestione delle password che denuncia: la "master password" degli utenti potrebbe essere a rischio.

LastPass - un servizio specializzato nella protezione di password e dati di accesso ai form web con una "master password" unica gestita da remoto - dice di aver individuato picchi di traffico "anomali" da uno dei suoi server.

La società sostiene che la quantità di dati inviata dal server verso IP esterni non ha al momento alcuna giustificazione o spiegazione legittima, nondimeno si tratta di informazioni che non sarebbero sufficienti - il condizionale è d'obbligo - a mettere a rischio le master password degli utenti.

Sia come sia LastPass, dice di voler comunque giocare la carta della precauzione, e in attesa di venire a capo del mistero del traffico anomalo ha chiesto agli utenti di modificare la master password registrata sul servizio. Come ulteriore precauzione contro le azioni di cyber-criminali o malintenzionati, LastPass dice di voler validare ogni tentativo di modifica della password con la verifica dell'IP o l'indirizzo email dell'utente.

Alfonso Maruccia





Fonte: Punto Informatico

[TheQ.]

provato per 1 giorno proprio la settimana scorsa

Vabbè, la genialità del servizio LastPass è evidente: se le password di 10.000 persone fossero in ogni pc di 10.000 persone, l'hacker/cracker dovrebbe trovare un sistema per hackerare 10.000 computer senza che diverse marche di AV scoprano il sistema, e poi riunire ed indicizzare i dati raccolti per farne l'uso che preferisce.

LastPass invece raccoglie in un solo server tutte le password indicizzare, con i riferimenti al sito di 10.000 utenti. l'Hacker viola un solo server (gestito senza che gli utenti sappiano appieno che misure di sicurezza vengono adottate), raccoglie i dati di 10.000 persone in una volta sola, e si dedica soltanto a decriptarli

gggeeeennniiiaaallleeee....

[TheQ.]

Si, ma raggruppandole diviene bersaglio preferito per hacker

Tra l'altro per la gestione delle password l'addon rimanda a:
chrome://lastpass/content/home.xul

Invece di chrome:// non era più sicuro usare https:// ?

[aleroc]

ecco, allora togliete questo coso dalla guida per la sicurezza dei browser web

qualcuno potrebbe installarlo come stavo per fare io

[c.m.g]

io sono sempre stato scettico nell'utilizzo del cloud per tutto quello che implica, in primis la privacy.

[kruk]

Quote:

Originariamente inviato da c.m.g

io sono sempre stato scettico nell'utilizzo del cloud per tutto quello che implica, in primis la privacy.

Quoto in toto.....lo metterei in cima alle politiche sulla sicurezza

[luke1983]

Quote:

Originariamente inviato da TheQ.

Si, ma raggruppandole diviene bersaglio preferito per hacker

Tra l'altro per la gestione delle password l'addon rimanda a:
chrome://lastpass/content/home.xul

Invece di chrome:// non era più sicuro usare https:// ?

chrome:// è l'indirizzo del cuore di Firefox. Madò ragazzi!
Gli addon vengono memorizzati nella cartella di firefox ma non è lì che stanno le password. Quella è una pagina dell'addon
HTTP/S indica un contenuto "fuori" dal vostro computer! Non potevano usare quel protocollo