giovedì, Marzo 28, 2024

È sicuro usare LastPass?

LastPass è stato molto nelle notizie di recente. Se sei già un utente LastPass o stai pensando di iscriverti, probabilmente ti starai chiedendo se è sicuro da usare dopo i recenti hack.

La risposta breve è no, ma ciò è dovuto solo in parte agli hack del 2022.

Come gestore di password che contiene tutti i tuoi accessi, forse inclusi nomi utente e password per l’online banking e altri servizi critici, dovrebbe essere completamente affidabile.

Anche se diffidiamo di qualsiasi servizio online o basato su cloud che afferma di essere sicuro al 100% e a prova di hacking, non è davvero una buona idea se gestisci milioni di password di utenti e subisci ripetute violazioni.

In passato, abbiamo concesso a LastPass il beneficio del dubbio in numerose occasioni. È stato violato nel 2015 quando è stato effettuato l’accesso agli indirizzi e-mail degli utenti e ai promemoria delle password.

Poi, nel 2017, è stata trovata una vulnerabilità nella sua estensione del browser che avrebbe potuto essere utilizzata per rubare le tue password. Questo è stato corretto, ma una cosa simile è accaduta nel 2019 in cui l’ultima password utilizzata era vulnerabile.

Quindi, nell’agosto 2022 LastPass ha pubblicato sul suo blog che una macchina utilizzata per lo sviluppo era stata compromessa ma che non c’erano prove dell’accesso ai dati o alle password dei clienti.

LastPass ha affermato che non è stata richiesta alcuna azione perché la password principale e i depositi crittografati (contenenti gli accessi e le password) sono rimasti al sicuro.

Sfortunatamente, questo si è rivelato eccessivamente ottimista: solo pochi mesi dopo, gli hacker hanno utilizzato le informazioni ottenute ad agosto per hackerare nuovamente LastPass , questa volta accedendo agli indirizzi e-mail, ai numeri di telefono e agli indirizzi IP degli utenti.

Lo hanno fatto truffando un dipendente LastPass e riuscendo a ottenere le informazioni necessarie per accedere ad alcuni archivi cloud che LastPass utilizza per conservare i dati dei clienti e le casseforti delle password.

Le password, i nomi utente e qualsiasi nota in quei depositi sono, ovviamente, crittografati, ma non tutti i dati lo sono: LastPass ha confermato che contengono anche URL non crittografati di siti Web.

Gli hacker dovrebbero indovinare la tua password principale per decrittografare le informazioni in quei depositi, ma poiché possono utilizzare il software per accelerare tale processo, è solo una questione di tempo prima che riescano a decifrarne alcune, soprattutto se hai utilizzato una password più debole con meno di 12 caratteri, cosa possibile se non l’hai cambiata da prima del 2018.

Sono un utente LastPass. Cosa dovrei fare?

Se usi una password complessa, dovresti essere a posto – afferma LastPass – perché il software generalmente disponibile impiegherebbe “milioni di anni” per decifrarla.

“A causa dei metodi di hashing e crittografia che utilizziamo per proteggere i nostri clienti, sarebbe estremamente difficile tentare di indovinare con la forza bruta le password principali per quei clienti che seguono le nostre  best practice per le password . Testiamo regolarmente le più recenti tecnologie di cracking delle password rispetto ai nostri algoritmi per tenere il passo e migliorare i nostri controlli crittografici.

L’autore della minaccia può anche prendere di mira i clienti con attacchi di phishing, credential stuffing o altri attacchi di forza bruta contro gli account online associati alla tua cassaforte LastPass. Per proteggerti da  attacchi di social engineering  o  phishing  , è importante sapere che LastPass non ti chiamerà, non ti invierà email né ti invierà messaggi di testo chiedendoti di fare clic su un collegamento per verificare le tue informazioni personali. A parte quando accedi al tuo caveau da un client LastPass, LastPass non ti chiederà mai la tua password principale.

Il problema è che se gli hacker hanno già una copia del tuo caveau, che è crittografata con la tua vecchia password, cambiare la tua password principale di LastPass ora non farà alcuna differenza perché cambierà solo la crittografia della versione memorizzata da LastPass, non la copia che hanno i cattivi.

Ciò significa che la tua unica opzione è cambiare le password per gli account all’interno del caveau in modo che se gli hacker riescono a decrittografare il tuo caveau, le password che ottengono non funzioneranno più.

Cambiare centinaia (anche dozzine) di password è molto complicato e richiede molto tempo, ma ovviamente vale la pena farlo per qualsiasi banca o altro conto che abbia a che fare con le tue finanze al fine di mitigare il rischio. Ciò include account per qualsiasi sito di shopping online che memorizza i dettagli del pagamento, come Amazon, e non dimenticare PayPal e altri.

Devo ancora usare LastPass?

No. È semplicemente impossibile consigliarti di continuare a usarlo. La storia delle violazioni e delle vulnerabilità era già abbastanza grave, ma il fatto che i malintenzionati siano ora riusciti a entrare in possesso di depositi di password crittografati è la goccia che ha fatto traboccare il vaso.

C’è anche il fatto che il codice di LastPass è “a sorgente chiuso”. A differenza del software open source, ciò significa che nessuno al di fuori di LastPass può ispezionare il codice che utilizza per verificare eventuali vulnerabilità. Esistono gestori di password open source, tra cui Bitwarden e KeePass .

Abbiamo già detto che dovresti cambiare qualsiasi password per conti finanziari importanti, ma dovresti trovare un altro gestore di password e migrare le tue password a quello.

La maggior parte dei gestori di password funziona come LastPass e archivia la cassaforte delle password nel cloud. Lo fanno per semplificare la sincronizzazione di quegli accessi tra tutti i tuoi dispositivi, ma alcuni offrono un’opzione “auto-ospitata” in cui puoi archiviare il tuo caveau localmente sul tuo dispositivo. È meglio dal punto di vista della sicurezza, ma tende a significare che non è così facile sincronizzare nuovi accessi e modifiche della password su tutti i dispositivi che utilizzi.

Ma la sicurezza e la convenienza raramente vanno di pari passo, quindi dipende davvero da quanto vuoi proteggere le tue password se ti fidi o meno di un gestore di password basato su cloud.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: