LastPass, password a rischio dopo attacco hacker: 'Cambiate le master password'

LastPass, password a rischio dopo attacco hacker: 'Cambiate le master password'

Il servizio di gestione delle password ha subito un furto. La società lo ha segnalato in una nota inviata pubblicamente, informando singolarmente via email tutti gli utenti i cui dati potrebbero essere compromessi

di Nino Grasso pubblicata il , alle 11:01 nel canale Sicurezza
 

Il servizio di gestione delle password LastPass è stato vittima di un furto di dati. Lo ha segnalato la stessa società lo scorso venerdì in cui venivano osservate delle "attività sospette" sulle reti relative al servizio. Al momento non sembra che siano stati rubati dati specifici fra quelli più sensibili degli utenti, tuttavia gli aggressori hanno avuto modo di ottenere gli indirizzi email di alcuni utenti iscritti e alcuni dati relativi alle master password utilizzate.

Non sappiamo ancora come l'attacco abbia avuto origine, e quali metodi siano stati utilizzati, tuttavia sembra che gli aggressori abbiano praticato un attacco di social engineering e altre strategie non troppo complesse. LastPass ha sottolineato di aver chiuso ogni attività sospetta lo scorso venerdì, ma non abbiamo informazioni sulla durata dell'attacco, e non sappiamo quanto gli aggressori siano riusciti a mantenere la connessione con i sistemi della società.

I dati della stragrande maggioranza degli utenti dovrebbero essere comunque al sicuro. La compagnia ha scritto che è certa dell'efficacia delle misure di crittografie adottate, "sufficienti per proteggere la maggior parte degli utenti". Nonostante ciò, LastPass sta adottando manovre di sicurezza ancora più aggressive per garantire che non ci siano ulteriori perdite di dati, e sta inoltre informando tutti gli utenti potenzialmente coinvolti tramite email.

Un attacco di questo tipo è solitamente più dannoso quando non viene scoperto in tempo, quindi la diffusione della nota di sicurezza dovrebbe già rassicurare gli utenti del servizio. In più, fra i dati violati troviamo le master password protette da funzioni hashing e salting, certamente sensibili, ma difficili da decifrare. A rischio potrebbero essere quelle password meno ragionate e sicure, già deducibili combinando gli hash e i dati sensibili rubati (informazioni personali, risposte alle domande di sicurezza).

Proprio per questo, LastPass consiglia di aggiornare al più presto la master password con cui si accede al servizio, di attivare il log-in a due fattori e di abilitare la verifica via e-mail da ogni log-in che avviene da nuove località, in modo da aggirare eventuali pericoli dovuti al potenziale furto dei propri dati sensibili.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
RAEL7016 Giugno 2015, 11:23 #1
Sono notizie come questa che mi fanno sempre più titubare e nutrire diffidenza verso i servizi cloud (passmanager o storage che siano).

Chi più chi meno si vanta di avere a cuore la sicurezza degli utenti, applicano qualunque protocollo possibile ed immaginabile et voilà non passa troppo tempo che i server vengono bucati.

D'accordo, c'è tempo per il singolo utente di rimediare e cambiare le password ma oggettivamente la sicurezza assoluta non esiste e forse sarebbe meglio evitare d'infondere, in termini di marketing, una certezza all'utente che, di fatto, non trova riscontro nella pratica (resistere a 1000 attacchi e cadere al milleunesimo non è così differente da cadere subito al primo attacco).
sintopatataelettronica16 Giugno 2015, 14:14 #2
boh.. personalmente non so chi sano di mente metterebbe tutte le proprie password online su un sito (o qualsiasi altra cosa) pensando: "ecco, sono al sicuro!"
MrBlonde8916 Giugno 2015, 16:56 #3
Confesso di usarlo spesso e sicuramente non è esente da fail come qualsiasi cosa.
Ma è sicuramente più sicuro delle opzioni più largamente usate:
A- Stesso Login/Password per qualsiasi servizio online
B- Scriversi un TXT sul desktop con i login
C- Scriversi tutte le password in un postit

in fin dei conti lo uso perché diventa difficile ricordarmi 10000 Login diversi con tutte le eccezioni (Sito A non vuole il "." nel nome login, Sito "B" la password deve essere più corta di 10 Char, Sito C più lunga di 20 Char, il sito D vuole l'email nel login, ecc.).

risulta estremamente comodo gestire tutti i siti con l'addon, creare password al volo, salvarle qualsiasi login/password in lastpass. Almeno cosi facendo risolvi i problemi A, B e C (con l'aggiunta di ricordarsi in 2 secondi tutti i login giusti).

Se si usa solo una masterpass e non la si cambia mai,
chiaramente diventerà un "Single point of failure".

Questo problema però con il multifactor login viene attenuato in modo significativo.

https://helpdesk.lastpass.com/it/mu...cation-options/



Maverickcs7616 Giugno 2015, 19:39 #4
Lastpass è di una comodità incredibile e lo uso su pc, tablet e smartphone. Come tutte le cose, va saputo usare con criterio: utilizzare una master password complessa (magari cambiandola periodicamente) e attivare l'autenticazione a doppio fattore permette di poter avere un ottimo margine di sicurezza.
colemar16 Giugno 2015, 19:47 #5

Meglio l'altro?

Usavo LastPass finché ho scoperto l'altro (quello che comincia con 1).
Con quest'altro il database crittografato con la master password è locale sul tuo PC (o altro device) e se vuoi lo puoi duplicare su DropBox per mantenerlo sincronizzato su tutti i device (es. lo smartphone).
Il vantaggio teorico è che loro non hanno il tuo database, mentre DropBox non ha né la master password (ovviamente) né le conoscenze per un eventuale backdoor o debolezza del codice.

Se non vuoi fidarti di nessuno, un metodo alternativo per gestire molte password diverse c'è: scegli una stringa di base segreta e fissa per tutti i servizi, inventa un modo (segreto) per estrarre da ogni servizio una stringa specifica (ad esempio prendi una lettera sì e una no dal nome di dominio e aggiungi la cifra corrispondente alla lunghezza del nome modulo 10), combina le due stringhe e usa il risultato come password specifica.
In questo modo l'hacker deve scoprire sia la stringa di base, sia immaginare che usi una regola per completarla, sia scoprire la regola.
ilario317 Giugno 2015, 08:02 #6

È come disse Giovenale

Quis custodiet ipsos custodes?
GTKM17 Giugno 2015, 08:11 #7
Perché usare un servizio online, quando ci sono software come KeePass che fanno la stessa identica cosa?
Luca*gr17 Giugno 2015, 08:38 #8
Originariamente inviato da: GTKM
Perché usare un servizio online, quando ci sono software come KeePass che fanno la stessa identica cosa?


Perché LastPass si integra come estensione in tutti i browser, si sincronizza automaticamente con il server e funziona ovunque, dal PC Linux allo Smartphone.
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro?
Io comunque non mi tirerei troppe paranoie dopo aver letto questa notizia...
Il login della banca per home banking uno può anche evitare di salvarlo su lastpass, anche se chiunque è in una botte di ferro, le operazioni dispositive richiedono token oppure conferme tramite SMS.
A questo punto, un hacker cosa diavolo se ne fa di tutti gli altri account a cui giornalmente uno si registra anche solo per fare un acquisto online?
Gli account di posta elettronica poi hanno ormai tutti la doppia verifica, paypal ha anche lei sistemi di protezione doppia.
Io per scrupolo ho cambiato la master password, ma la notte dormivo tranquillo e continuerò a farlo.
AlexAlex17 Giugno 2015, 09:57 #9
Originariamente inviato da: Luca*gr
Perché
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro?

Io tengo il database di Keepass su dropbox (ma chiaramente qualunque servizio analogo va bene) e utilizzo un file di cui tengo copia nei diversi dispositivi (quindi non in dropbox, e chiaramente la conosco solo io) come master key da usare assieme alla password. In questo modo servono tre cose separate per accedere ai dati: una su dropbox, una sul dispositivo e una che ricordo a memoria... può sembrare macchinoso ma è un attimo, anche se sicuramente non si ha l'immediatezza di un sistema come quello dell'articolo che ti completa immediatamente i campi per l'accesso. Sistemi di questo tipo sono comunque l'unico modo per poter gestire molte password complesse, che magari si usano solo raramente e quindi sono anche più difficili da ricordare.
Questo naturalmente solo per pw importanti, per le altre posso anche lasciare che se le ricordi il browser per quello che valgono...
Luca*gr17 Giugno 2015, 10:21 #10
Si ok ma il problema è che keepass non funziona su tutti i dispositivi.
Ad esempio, se ti fai un giro sul sito di Keepass, scopri che l'installazione su OSX è tutt'altro che semplice e non garantisce gli stessi risultati che ottieni su windows, questo perché l'applicazione non viene gestita ed aggiornata corettamente su tutti i dispositivi.
LastPass invece è l'unico davvero multipiattaforma e che funziona sempre e ovunque.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^