LastPass, password a rischio dopo attacco hacker: 'Cambiate le master password'

Il servizio di gestione delle password ha subito un furto. La società lo ha segnalato in una nota inviata pubblicamente, informando singolarmente via email tutti gli utenti i cui dati potrebbero essere compromessi
di Nino Grasso pubblicata il 16 Giugno 2015, alle 11:01 nel canale SicurezzaIl servizio di gestione delle password LastPass è stato vittima di un furto di dati. Lo ha segnalato la stessa società lo scorso venerdì in cui venivano osservate delle "attività sospette" sulle reti relative al servizio. Al momento non sembra che siano stati rubati dati specifici fra quelli più sensibili degli utenti, tuttavia gli aggressori hanno avuto modo di ottenere gli indirizzi email di alcuni utenti iscritti e alcuni dati relativi alle master password utilizzate.
Non sappiamo ancora come l'attacco abbia avuto origine, e quali metodi siano stati utilizzati, tuttavia sembra che gli aggressori abbiano praticato un attacco di social engineering e altre strategie non troppo complesse. LastPass ha sottolineato di aver chiuso ogni attività sospetta lo scorso venerdì, ma non abbiamo informazioni sulla durata dell'attacco, e non sappiamo quanto gli aggressori siano riusciti a mantenere la connessione con i sistemi della società.
I dati della stragrande maggioranza degli utenti dovrebbero essere comunque al sicuro. La compagnia ha scritto che è certa dell'efficacia delle misure di crittografie adottate, "sufficienti per proteggere la maggior parte degli utenti". Nonostante ciò, LastPass sta adottando manovre di sicurezza ancora più aggressive per garantire che non ci siano ulteriori perdite di dati, e sta inoltre informando tutti gli utenti potenzialmente coinvolti tramite email.
Un attacco di questo tipo è solitamente più dannoso quando non viene scoperto in tempo, quindi la diffusione della nota di sicurezza dovrebbe già rassicurare gli utenti del servizio. In più, fra i dati violati troviamo le master password protette da funzioni hashing e salting, certamente sensibili, ma difficili da decifrare. A rischio potrebbero essere quelle password meno ragionate e sicure, già deducibili combinando gli hash e i dati sensibili rubati (informazioni personali, risposte alle domande di sicurezza).
Proprio per questo, LastPass consiglia di aggiornare al più presto la master password con cui si accede al servizio, di attivare il log-in a due fattori e di abilitare la verifica via e-mail da ogni log-in che avviene da nuove località, in modo da aggirare eventuali pericoli dovuti al potenziale furto dei propri dati sensibili.
23 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChi più chi meno si vanta di avere a cuore la sicurezza degli utenti, applicano qualunque protocollo possibile ed immaginabile et voilà non passa troppo tempo che i server vengono bucati.
D'accordo, c'è tempo per il singolo utente di rimediare e cambiare le password ma oggettivamente la sicurezza assoluta non esiste e forse sarebbe meglio evitare d'infondere, in termini di marketing, una certezza all'utente che, di fatto, non trova riscontro nella pratica (resistere a 1000 attacchi e cadere al milleunesimo non è così differente da cadere subito al primo attacco).
Ma è sicuramente più sicuro delle opzioni più largamente usate:
A- Stesso Login/Password per qualsiasi servizio online
B- Scriversi un TXT sul desktop con i login
C- Scriversi tutte le password in un postit
in fin dei conti lo uso perché diventa difficile ricordarmi 10000 Login diversi con tutte le eccezioni (Sito A non vuole il "." nel nome login, Sito "B" la password deve essere più corta di 10 Char, Sito C più lunga di 20 Char, il sito D vuole l'email nel login, ecc.).
risulta estremamente comodo gestire tutti i siti con l'addon, creare password al volo, salvarle qualsiasi login/password in lastpass. Almeno cosi facendo risolvi i problemi A, B e C (con l'aggiunta di ricordarsi in 2 secondi tutti i login giusti).
Se si usa solo una masterpass e non la si cambia mai,
chiaramente diventerà un "Single point of failure".
Questo problema però con il multifactor login viene attenuato in modo significativo.
https://helpdesk.lastpass.com/it/mu...cation-options/
Meglio l'altro?
Usavo LastPass finché ho scoperto l'altro (quello che comincia con 1).Con quest'altro il database crittografato con la master password è locale sul tuo PC (o altro device) e se vuoi lo puoi duplicare su DropBox per mantenerlo sincronizzato su tutti i device (es. lo smartphone).
Il vantaggio teorico è che loro non hanno il tuo database, mentre DropBox non ha né la master password (ovviamente) né le conoscenze per un eventuale backdoor o debolezza del codice.
Se non vuoi fidarti di nessuno, un metodo alternativo per gestire molte password diverse c'è: scegli una stringa di base segreta e fissa per tutti i servizi, inventa un modo (segreto) per estrarre da ogni servizio una stringa specifica (ad esempio prendi una lettera sì e una no dal nome di dominio e aggiungi la cifra corrispondente alla lunghezza del nome modulo 10), combina le due stringhe e usa il risultato come password specifica.
In questo modo l'hacker deve scoprire sia la stringa di base, sia immaginare che usi una regola per completarla, sia scoprire la regola.
È come disse Giovenale
Quis custodiet ipsos custodes?Perché LastPass si integra come estensione in tutti i browser, si sincronizza automaticamente con il server e funziona ovunque, dal PC Linux allo Smartphone.
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro?
Io comunque non mi tirerei troppe paranoie dopo aver letto questa notizia...
Il login della banca per home banking uno può anche evitare di salvarlo su lastpass, anche se chiunque è in una botte di ferro, le operazioni dispositive richiedono token oppure conferme tramite SMS.
A questo punto, un hacker cosa diavolo se ne fa di tutti gli altri account a cui giornalmente uno si registra anche solo per fare un acquisto online?
Gli account di posta elettronica poi hanno ormai tutti la doppia verifica, paypal ha anche lei sistemi di protezione doppia.
Io per scrupolo ho cambiato la master password, ma la notte dormivo tranquillo e continuerò a farlo.
Keepass lo installi su ogni dispositivo ma poi come ottieni una password che hai appena creato su un device per averla su un'altro?
Io tengo il database di Keepass su dropbox (ma chiaramente qualunque servizio analogo va bene) e utilizzo un file di cui tengo copia nei diversi dispositivi (quindi non in dropbox, e chiaramente la conosco solo io) come master key da usare assieme alla password. In questo modo servono tre cose separate per accedere ai dati: una su dropbox, una sul dispositivo e una che ricordo a memoria... può sembrare macchinoso ma è un attimo, anche se sicuramente non si ha l'immediatezza di un sistema come quello dell'articolo che ti completa immediatamente i campi per l'accesso. Sistemi di questo tipo sono comunque l'unico modo per poter gestire molte password complesse, che magari si usano solo raramente e quindi sono anche più difficili da ricordare.
Questo naturalmente solo per pw importanti, per le altre posso anche lasciare che se le ricordi il browser per quello che valgono...
Ad esempio, se ti fai un giro sul sito di Keepass, scopri che l'installazione su OSX è tutt'altro che semplice e non garantisce gli stessi risultati che ottieni su windows, questo perché l'applicazione non viene gestita ed aggiornata corettamente su tutti i dispositivi.
LastPass invece è l'unico davvero multipiattaforma e che funziona sempre e ovunque.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".