LastPass forza gli utenti ad aggiornare le password più corte: è polemica

Il servizio di gestione delle password LastPass sta forzando alcuni dei suoi utenti a scegliere parole d’accesso principali più lunghe.

La piattaforma afferma che tali modifiche sono necessarie per garantire che tutti i clienti siano protetti, anche se non mancano alcune polemiche a riguardo. Secondo alcuni infatti, questa sarebbe un’operazione utile più nel contesto delle pubbliche relazioni che per proteggere realmente l’utenza.

Nello specifico, LastPass sta obbligando ad aggiornare la password principale legata all’account, intervenendo sugli utenti che ne hanno una costituita da meno di 12 caratteri. Anche se questa richiesta è stata fatta nel 2018 agli utenti, non tutti hanno seguito questo consiglio.

L’azienda in questione è stata protagonista, suo malgrado, di una massiccia violazione nel 2022. In questo contesto sono stati rubati archivi di password contenenti sia dati crittografati che non, per un totale di 25 milioni di utenti coinvolti. Secondo gli specialisti del settore, da fine 2022, è stata registrata un’impennata di furti nel contesto delle criptovalute.

KrebsOnSecurity il mese scorso ha intervistato una vittima che ha recentemente visto più di tre milioni di dollari in criptovaluta sottratti dal suo conto. La persona si è registrata a LastPass quasi dieci anni fa, ha archiviato attraverso tale servizio le credenziali per accedere al suo wallet della e, tuttavia, non ha mai cambiato la sua password principale, che era di soli otto caratteri.

Secondo il creatore di Adblock Plus Wladimir Palant, LastPass non è riuscito ad aggiornare molti dei vecchi clienti portandoli alle più moderne protezioni di crittografia, offerte invece ai clienti più recenti.

Richiesta di aggiornamento delle password più corte? Per alcuni è solo pubblicità

Lo stesso Palant ha definito quest’ultima azione di LastPass una trovata pubblicitaria. Secondo lo stesso, infatti “Hanno inviato questo messaggio a tutti, indipendentemente dal fatto che abbiano o meno una password principale debole, in questo modo possono nuovamente incolpare gli utenti per non aver rispettato le loro politiche“. Palant ha poi rincarato la dose “Ma ho appena effettuato l’accesso con la mia password debole e non sono costretto a cambiarla. L’invio di e-mail è economico, ma ancora una volta non hanno implementato alcuna misura tecnica per applicare questo cambiamento di politica“.

A tal proposito non si sono fatte attendere le dichiarazioni di Karim Toubba, CEO di LastPass, secondo cui la modifica “Ciò ha lo scopo di proteggere meglio i vault dei clienti e incoraggiarli a portare i loro account all’impostazione predefinita standard LastPass 2018 di un minimo di 12 caratteri“. Lo stesso ha poi aggiunto “Sappiamo che alcuni clienti potrebbero aver preferito la comodità alla sicurezza e utilizzato password meno complesse nonostante l’incoraggiamento a utilizzare il nostro (o altri) generatore di password per fare diversamente“.

Una funzionalità base di LastPass permette di generare e conservare password lunghe e complesse per ciascuno dei siti e servizi online dell’utente, a dimostrazione di come l’utenza abbia comunque la possibilità di creare credenziali difficili da individuare per i cybercriminali senza troppi affanni.