4960 Letture

Attaccato LastPass: utenti cambiate la master password

Per la seconda volta nella sua storia, LastPass ha subìto un'aggressione. Il noto servizio consente di gestire i propri archivi di password in maniera centralizzata salvando tutte le credenziali di autenticazione - in forma cifrata - sui server dell'azienda.
Stando a quanto immediatamente chiarito dai tecnici di LastPass, le password personali degli utenti non sarebbero state sottratte. Sarebbero tuttavia nelle mani degli aggressori gli indirizzi email degli utenti possessori di un account, le domande segrete per il recupero delle password di accesso, gli hash utilizzati per l'autenticazione sul servizio.

Attaccato LastPass: utenti cambiate la master password

L'algoritmo crittografico utilizzato per proteggere i dati degli utenti, però, viene definito sicuro ed adeguato a prevenire l'accesso, da parte di terzi, ai dati più sensibili. Questo aspetto viene confermato anche dagli esperti di sicurezza.
Jeremi Gosney ha spiegato che la routine di hashing a 100.000 passaggi che viene utilizzata da parte di LastPass unitamente con l'algoritmo PBKDF2-SHA256, è da ritenersi estremamente solida (addirittura anche nei casi in cui l'utente avesse scelto una master password piuttosto "debole").


In ogni caso, LastPass consiglia di modificare immediatamente la master password ovvero la parola chiave principale utilizzata a protezione dell'account.

Nell'articolo Memorizzare password e gestirle in sicurezza abbiamo spiegato come generare password sicure e come memorizzarle senza correre rischi. Abbiamo anche presentato gli strumenti per salvare gli archivi delle password in locale, in forma cifrata.

  1. Avatar
    Giustino
    17/06/2015 14:18:12
    Utilizzo LAST PASS da più di cinque anni, con grande soddisfazione. Lo ritengo un ottimo servizio, più che sicuro per il compito principale che deve svolgere: memorizzare user name e password di accesso dei diversi siti ( e sono sempre di più ) ai quali ci si registra. ( Software.it in testa, ovviamente. :uazmah: ). Nel Web la sicurezza totale, semplicemente non esiste. Forse staccando la spina del PC... forse ! :lol: Certo, il servizio che offre LASTPASS è un servizio in ogni caso delicato, e pertanto va utilizzato con un briciolo di accortezza: personalmente non lo userei mai per memorizzare le credenziali di accesso del sito della mia banca, e neppure per memorizzare il numero e il codice della mia carta di credito. :uazmah:
  2. Avatar
    Mago di Oz
    17/06/2015 13:18:00
    Ho sempre diffidato di questi servizi e/o software per gestire dati così importanti e continuerò su questa strada. Affidare ad altri questi dati, anche se criptati, mi sembra una pazzia. Questo il mio personale parere. Ciao PS: si lo so sono all'antica ma non me ne vergogno! :D :D :D
  3. Avatar
    Sampei Nihira
    17/06/2015 11:30:41
    Non mi ha mai entusiasmato il concetto alla base di LastPass. Spesso mi accade di verificare i miei personali concetti anche in altri ambiti. Per esempio da fan della Saga cinematografica di "Harry Potter" trovo molto simile al mio pensare i geniali "Horcrux" creati da Lord Voldermort. Quindi non sono meravigliato da questa ulteriore violazione che è dovuta al fatto che il bottino finale è in ogni caso appetibile. Senza considerare la soddisfazione personale.....chiamiamola anche "gloria" del/dei responsabile/i.
Attaccato LastPass: utenti cambiate la master password - IlSoftware.it