9086 Letture

LastPass: forse attaccato il gestore password "in the cloud"

LastPass è un servizio che permette di salvare tutte le proprie password in un unico archivio memorizzato sui server dell'azienda in forma crittografata. Lato client viene installato un plugin per il browser (compatibile con Internet Explorer, Firefox e Chrome) attraverso il quale sarà possibile creare un account sui server LastPass, importare e gestire tutte le proprie credenziali d'accesso. Si tratta di un servizio, insomma, che - diversamente dai classici "password manager", i quali operano esclusivamente in locale (un esempio è Keepass Password Safe) - propone la soluzione "cloud" anche per le attività di gestione di dati personali e parole chiave.

Nelle scorse ore, come confermato dai tecnici di LastPass, il team che cura lo sviluppo del servizio ha rilevato alcune anomalie nel traffico di rete diretto alla piattaforma. Quanto rilevato ha indotto i gestori di LastPass a ritenere che fosse in atto un attacco. Nel corso di tale raid, potrebbero essere state sottratte informazioni personali, comprese alcune "master password" - ossia la parola chiave principale usata per effettuare il login - appartenenti ad alcuni utenti registrati al servizio.


LastPass ha tenuto a precisare come, almeno allo stato attuale, non vi siano prove di una vera e propria aggressione: "dove c'è del fumo, si sarebbe potuto sviluppare un incendio", si è dichiarato dalla società cercando di tranquillizzare l'utenza.
A scopo cautelativo, LastPass sta obbligando gli utenti del servizio a modificare le rispettive "master password". I tecnici, nell'illustrare questa misura, hanno spiegato che gli hash delle password, così come vengono generati, non dovrebbero consentire - ad eventuali aggressori - di risalire alla parola chiave "in chiaro", scelta dal singolo utente. Purtuttavia, nel caso in cui la password impostata fosse veramente "debole", questa potrebbe essere recuperata sferrando un "dictionary attack". Meglio, quindi, non correre rischi ed invitare tutti a cambiare la propria "master password".

  1. Avatar
    jacopo
    07/05/2011 14:34:45
    Io pure utilizzo il servizio offerto da Lastpass, e non ci vedo nulla di strano a non fidarsi dal momento che, lato server, loro non possono accedere alle informazioni del mio account. Il punto è che se poi l'utente utilizza una password "stupida", anche una serie di dati criptati possono essere decriptati, come scritto nella news. Comunque portarsi dietro il foglio non è poi mica tanto più sicuro eh. Un conto è ricordarsele a mente, ma se poi hai un centinaio di login da ricordare come fai ? Magari utilizzi sempre la stessa password, che non è certo un bene. :eheheh:
  2. Avatar
    mikimix
    07/05/2011 12:11:58
    Visto che faccio il programmatore infrormatico conosco anche io benissimo i rischi, e trovo strano che tu ti fidi. E ti ripeto che non mi fido assolutamente. e non le scrivo neanche dentro al pc in un file ovviamente. Me le tengo a mente e me le scrivo su carta in un blocco che mi tengo nascosto a casa( nel caso mi dovessi dimenticarmi).
  3. Avatar
    maxi100
    07/05/2011 07:53:56
    io lo uso da molto tempo (la versione a pagamento) e mi ci trovo molto bene. Io mi occupo anche di sicurezza informatica e Vorrei dire a mikimix che è molto più sicuro lastpass che invece tenere le proprie password su un file del PC.....dove un un discreto hacker impiegherebbe pochi minuti a trovare il file!!!
  4. Avatar
    mikimix
    06/05/2011 19:29:53
    Personalmente trovo assurdo che la gente si fidi a mettere per proprie password su questi siti. Ma come si va a dare a qualcun'altro la gestione delle proprie password. Bisogna anche svegliarsi e accorgesi che vogliono solo fregarti. Servizio gratis per raccogliere password.....seeeeeee, io non lo userò mai. Usate la vostra testa per le password.
LastPass: forse attaccato il gestore password "in the cloud" - IlSoftware.it