28 Febbraio 2023
Il Natale ha portato una regalo poco gradito agli utenti del noto servizio di gestione delle password di LastPass. L'Azienda ha fornito infatti un aggiornamento a seguito delle indagini relative alla violazione verificatasi ad agosto scorso, su cui era già intervenuta all'inizio di questo mese. Purtroppo il contenuto non è incoraggiante. Gli hacker sono stati infatti in grado di entrare in possesso delle password degli utenti del vault di LastPass (e non solo).
È bene precisare che le password sono crittografate e che, a detta di LastPass, utilizzando tutti gli accorgimenti consigliati per gestire queste preziose informazioni, gli hacker impiegherebbero milioni di anni per riuscire a decriptarle utilizzando metodi brute force. Sul punto LastPass afferma:
Se utilizzi le impostazioni predefinite ci vorrebbero milioni di anni per indovinare la password principale utilizzando la tecnologia di cracking delle password generalmente disponibile. I dati sensibili del tuo vault, come nomi utente e password, note, allegati e campi di compilazione dei moduli restano crittografati in modo sicuro grazie all'architettura Zero Knowledge di Last Pass.
COSA È SUCCESSO
La violazione è frutto di un duplice attacco: in quello subito da LastPass ad agosto gli hacker erano entrati in possesso del codice sorgente e delle informazioni tecniche della piattaforma di LastPass - che è bene sottolineare si poggia ad un servizio cloud per l'archiviazione dei dati. Queste risorse sono state impiegate in un secondo attacco messo a segno a novembre ai danni di un dipendente di LastPass al quale sono state sottratte credenziali e chiavi che sono state impiegate per accedere e decifrare alcuni volumi di archiviazione all'interno del servizio di archiviazione in cloud.
L'autore della minaccia è riuscito ad avere accesso al servizio di cloud storage di LastPass, fisicamente separato dall'ambiente di produzione, ed ha effettuato una copia di backup contenente informazioni di base degli account e dei relativi metadati:
- nomi di società
- nomi di utenti finali
- indirizzi di fatturazione
- indirizzi e-mail
- numero di telefono
- indirizzi IP da cui i clienti accedevano al servizio di Last Pass
LastPass aggiunge che è stata effettuata anche una copia di backup dei dati del vault dei clienti dal contenitore di archiviazione crittografato memorizzato in un formato binario proprietario contenente sia dati non crittografati (come gli URL dei siti web), sia campi sensibili completamente crittografati come i nomi utente dei siti Web e password, note protette e dati compilati in moduli. Tutti i dati sensibili sono protetti con crittografia AES a 256 bit e possono essere decrittografati solo mediante una chiave crittografica univoca derivata dalla password principale che protegge il vault.
Al momento LastPass non fornisce una stima del numero di account coinvolti.
COSA FARE
Cosa devono fare in concreto gli utenti coinvolti nella violazione? Nulla di specifico dice LastPass, se non continuare ad applicare le sopraccitate impostazioni predefinite di sicurezza:
- scegliere una password principale di lunghezza non inferiore ai 12 caratteri
- mantenere il parametro "password interations" ad un valore non inferiore a 100.100 (ved QUI per ulteriori dettagli su come procedere)
- non riutilizzare mai la password principale su altri siti web
Diversa è l'ipotesi in cui la password principale - è bene ricordare che è quella che consente di accedere al vault e a tutti i dati in esso custoditi - non soddisfi le impostazioni predefinite. In questo caso è consigliato modificare le password dei siti web memorizzate nel vault:
è importante notare che se la tua password principale non utilizza le impostazioni predefinite di cui sopra, i numeri di tentativi per indovinarla correttamente si ridurrebbero notevolmente. In questo caso, come misura di sicurezza aggiuntiva, dovresti prendere in considerazione di ridurre al minimo i rischi modificando le password dei siti web che hai memorizzato.
Vale la pena aggiungere che anche modificare la password principale, in tutti i casi, è un'operazione semplice e consigliata.
Commenti
Ad ognuno i propri metodi. A conti fatti, i miei hanno sempre funzionato.
security thru obscurity is not security at all.
Il bello è che sei convinto anche di essere al sicuro.
Uso il portachiavi di iCloud, dite che è più sicuro?
1password e' meglio?
p.s.
bloccato
ma sì!
Tutti gestiscono le password di centinaia di clienti!
E tutti le possono imparare a memoria.
Quindi funziona sia la mia teoria che la tua!
Ci sono clienti con cui arrivo tranquillamente a 10-15 password, tra accessi al sito (se ne ha solo uno, altrimenti si raddoppia) miei, suoi e dei collaboratori e accessi vari a mail e social, per me sono la normalità, ci si mette poco ad arrivare al migliaio... Ma capisco che da esterno è difficile arrivarci, dovresti solo abbassare un po' la creatina per capirlo
Ovvio: io mi ricordo 15 milioni di password esattamente come tu hai bisogno di gestire migliaia di password.
E' tutto frutto della stessa realtà alternativa.
ma no! migliaia sono poche: io ne gestisco un milione personali e poi ci sono quelle dei parenti.
In tutto arrivo sui 15 milioni.
Tutto vero!
Se non hai un caxxo da fare nella vita non assumere che gli altri abbiano le tue stesse esigenze...
Migliaia di password.
Ok.
Magari prova a toccare un prato qualche volta ;)
Nulla è perfetto, è sufficiente che sia sconveniente perderci tempo. Anche se venisse estratta la password in chiaro, se usi un sistema (chiamarlo algoritmo è fuorviante) che crea un "hash" irreversibile, non puoi mai ottenere la "logica" originaria (dalla password nemmeno io posso sapere di che servizio si tratti). La pecca è che ci metti un po' per ricreare la password a mente ed a volte capita di sbagliarmi al primo "tentativo" (anche perché uso un sistema diverso per gli account importanti ed uno più "light" per disqus e cavolate varie). Poi ovviamente qualsiasi account è più sicuro se usi MFA, ma qui il discorso è ben diverso.
Per te usare un sistema di questo tipo è "farsi le pugn", per me è banale.
vuol dire che quando hai scritto "io le password me la ricordo" (ergo hai pochi servizi e usi una password semplice, magari pure per tutti)", hai scritto una stupidata.
C'è chi si ricorda password complesse.
Se tu non ne hai la capacità, non dare agli altri le tue limitazioni.
però solo nei siti web... se usi bitwarden hai la gestione password anche per le app
lo sapevi che ci sono persone che possono memorizzare 10.000 cifre casuali?
Ecco.
Ora lo sai.
Quindi se non conosci le persone, evita di fare supposizioni.
Se c'è qualcuno che si fa le pugn qua non sono certo io :D tutta la sicurezza mondiale si basa sulle password randomiche poi arriva lui che si è inventato l'algoritmo perfetto, vabbeh... non mi risulta che ci sia mai stato un gestore password da cui le hanno effettivamente prese, a parte quelli dei browser, che non so se è cambiato, salvano il db in chiaro, tutti i db sono crittografati, lo stesso lastpass dell'articolo che è una mezza ciofeca... se non sono prese tramite pishing etc le pw vengono prese direttamente dai servizi bucabili (se poi prendi yahoo, come è stato fatto, sei a cavallo) ecco spera non ti succeda mai, o ti fanno cascare il tuo castello di carta, LOL
Le mie password non le ha "beccate" mai nessuno. Le password con i bei gestori o con le date di nascita si. "fatti, non pugn" ;-)
Peccato che raramente servono il vino come si deve (parlo dei ristoranti più 'normali'), vino bianco troppo freddo, rosso a temp ambiente anche in estate, potresti prendere anche un vino che richiede amore che ti viene stappato li e non areato....per essere fra le patrie del vino non è che sappiamo berlo/venderlo correttamente....
Basta usare un sistema più complesso di quanto tu sia interessante ad un hacker. Le password vengono lette ed estratte da password manager, vengono "indovinate" col brute force, dubito seriamente un hacker si dedicherà in modo specifico a te Mario/Paolo/Luca/Alberto aka BlackLagoon per beccarti la password di disqus. Se sei un magnate dell'industria bellica o un direttore di banca, allora le cose sono diverse.
Ripeto, usare la testa, non semplicemente la memoria
Mi documento. Grazie
Ci do un'occhiata. Grazie
LoL
Sì è quella :)
Buono!
interessante quello che scrivi, ne terrò conto! :)
Locale è la risposta, poi al massimo si punta a database crittografati ad hoc che senza master password muori prima che te lo decriptino... Di certo fare i belli con "io le password me la ricordo" (ergo hai pochi servizi e usi una password semplice, magari pure per tutti) o mi sono inventato il mio metodo (ergo se ti trovo una password faccio reverse engineering e ti trovo il metodo con cui ci fai tutte le password)... Se sei serio la password deve essere randomica univoca e alfanumerica, altrimenti stai giocando, ecco che un password manager è d'obbligo
Io mi trovo bene con Enpass
così è ancora peggio, perché il primo che ti buca l’algoritmo ha accesso a tutte le tue pwd, attuali e future.
KPGoogleSync ma ce ne sono molti da poter scegliere
Aegis è più sicuro di Authy, lo consiglio
Immagina paragonare lastpass a bitwarsen
La risposta dell'utente pigro è "vuoi tornare nel 1800?"
Come se usare un password manager centralizzato i cui dati, crittografati o meno, fanno ovviamente gola a tutti i peggiori malviventi (e non ) fosse un'idea moderna e geniale ;)
Usare la testa no? Fatevi fregare le password allora :)
Locale ni, memoria meglio di no. Personalmente preferisco utilizzare un sistema per ricostruire la password a mente, che sia però diversa per ogni sito/app/servizio
15 anni che uso Google mai un problema
Viva il locale sempre, soprattutto se il vino è buono.
Io anni fa lo usavo, dopo questo evento ho cancellato anche l'account (vuoto)
Non ricordo nulla di simile
Non è la prima volta che LastPass ha dei problemi, eppure viene usato ancora. Che deve succedere , di nuovo, per far capire alle persone che magari potrebbe essere il caso di provare delle alternative?
Come si chiama il plugin?
Viva il Locale e la memoria!
Per ios cosa usi? Keepass non è solo windows?