LastPass è stato attaccato e crackato

Se tu, lettore, sai cos’è LastPass, probabilmente allora ne sarai anche utente. Per coloro i quali non fossero a conoscenza di questo servizio, LastPass si occupa dello sviluppo di una applicazione omonima che consente di conservare tutte le password che desideriamo in remoto, accedendo ad esse tramite una “master password” che sblocca le altre. In parole povere, al posto di fare il login su tutti i siti che richiedono una password, fate il singolo login su LastPass e questo fornisce per voi le password ai siti di cui avete dato le credenziali. Questa può essere una grande comodità, ma può essere anche – come in questo caso – molto pericoloso per la sicurezza dei vostri dati. Dove sta l’intoppo? Immaginiate che un attacco riesca a bucare i server di LastPass ed a trasferire le master password degli utenti, o che riesca anche solo a trasferire parte delle master password criptate.

Lo scenario che si apre è tragico, perchè la maggior parte delle persone utilizza password idiote (“password” è diffusa più di quanto si pensi), o ancora parole con senso compiuto e senza variazioni (ad esempio, “uccellino”). Tutte le password che siano parole prese da un dizionario possono essere più o meno facilmente scovate grazie ad una tipologia di attacco definita “attacco a dizionario“. Non è questa la sede per approfondire riguardo modalità e dettagli dell’attacco, ma basti sapere che questo tipo di attacco ha una buona percentuale di riuscita.

LastPass ha dichiarato di aver verificato un ammontare di dati inusuale in uscita dai suoi server – ammontare sufficiente ad aver copiato le email degli utenti, gli hash delle loro password e gli hash presenti sul server. Non sanno di preciso quali siano i dati copiati, ma fanno ipotesi plausibili. Anche se dichiarano che i dati che si suppone siano stati copiati non siano sufficienti che a coprire una minima parte degli utenti del servizio, nei giorni scorsi è stato reso obbligatorio il cambio delle password degli account, così da arginare il più possibile un eventuale riuscita dell’attacco.

Il consiglio per tutti gli utenti è cambiare le loro password, sostituendole con password difficili da crackare; il mio consiglio personale è di tenersi lontano da questo tipo di soluzione proprio per queste problematiche: perdete una password, perdete tutto.

[Via phandroid.com, fonte LastPass.com]

Commenti

Ti invitiamo ad usare toni consoni e di rimanere in tema all'argomento trattato, in caso contrario, il sistema automatico potrebbe oscurare il tuo messaggio e potrebbero trascorrere fino a 48h per la verifica ed un'eventuale autorizzazione.
TuttoAndroid si riserva comunque il diritto di allontanare le persone non adatte a tenere un comportamento corretto e rispettoso verso gli altri.

  • Vorpius

    Quoto in toto cioè che ha detto "nessuno" e aggiungo che il fatto che abbiano avvertito gli utenti senza nascondersi, conferma la serietà di LastPass. Purtroppo tanta gente usa delle password ridicole.

    • cm

      “quoto in toto”
      mi piace come suona

      lo quoto :)

  • Non sono affatto d'accordo sullo stare alla larga da questo tipo di servizi. Anzi, proprio perché la stragrande maggioranza dell'utenza usa password idiote dovrebbe imparare a usare servizi che permettono con semplicità di creare password diverse e complesse (molto complesse) servizio per servizio anziché cedere alla pigrizia di usare la stessa password su ogni piattaforma (cosa normalissima).

    Quello che è accaduto è che una parte di masterpassword potrebbero essere state copiate ma non interpretate e quindi le cassaforti sono ancora chiuse. Potranno essere aperte a patto di crackarle. Cosa piuttosto difficile in caso di master password forti. Certo che se uno usa questi siti per poi adottare una masterpassword debole, il rischio è elevato, va da sé.

    In ogni caso basta cambiare la propria masterpassword oggi per essere del tutto nuovamente al sicuro. Cosa ben diversa da attacchi simili portati verso i siti finali.

    Inoltre Lastpass sta adottando un sistema di verifica dell'IP per cui quando si prova ad accedere alla propria cassaforte di password da un IP non usuale, scatta una verifica via mail.

    Insomma a me pare che l'allarme sia giusto prenderlo in considerazione ma questo sistema è e rimane di gran lunga più sicuro di quanto viene fatto mediamente, tranne forse sistemi di criptazione locale.

    • Riccardo Robecchi

      Non ti è chiaro il significato del servizio. La master password serve per conservare password che l’utente ha scelto, e che dunque sono vulnerabili. E nel momento in cui la master password è idiota, se viene crackata perde significato l’aver creato password complesse che vengono memorizzate: se ho la master password, ottengo tutte le altre. Mi spiace dunque, ma il tuo ragionamento non ha molto senso. E’ come dire: io creo una chiave per accedere al mio appartamento, nel quale tengo tutte le portre chiuse con chiavi non duplicabili e antiscassinamento. D’accordo, ma se la chiave per accedere all’appartamento è anche un passepartout per tutte le stanze, a cosa ti serve blindarle?
      In ogni caso, il problema qui risiede nel fatto che sono vulnerabili le password “dizionariabili”, dunque dire “a patto di usare password forti” non ha senso – quelle sono già al sicuro di per sè.

    • cm

      tu scrivi che :
      “In ogni caso basta cambiare la propria masterpassword oggi per essere del tutto nuovamente al sicuro. Cosa ben diversa da attacchi simili portati verso i siti finali.”

      non è vero: avendo scaricato tutto il pacchetto, crackando la password principale, avranno accesso a tutte le password di tutti gli account dell’utente

      non basta cambiare la masterpassword
      vanno cambiate tutte quante, tutte tutte tutte

Top