Se tu, lettore, sai cos’è LastPass, probabilmente allora ne sarai anche utente. Per coloro i quali non fossero a conoscenza di questo servizio, LastPass si occupa dello sviluppo di una applicazione omonima che consente di conservare tutte le password che desideriamo in remoto, accedendo ad esse tramite una “master password” che sblocca le altre. In parole povere, al posto di fare il login su tutti i siti che richiedono una password, fate il singolo login su LastPass e questo fornisce per voi le password ai siti di cui avete dato le credenziali. Questa può essere una grande comodità, ma può essere anche – come in questo caso – molto pericoloso per la sicurezza dei vostri dati. Dove sta l’intoppo? Immaginiate che un attacco riesca a bucare i server di LastPass ed a trasferire le master password degli utenti, o che riesca anche solo a trasferire parte delle master password criptate.

Lo scenario che si apre è tragico, perchè la maggior parte delle persone utilizza password idiote (“password” è diffusa più di quanto si pensi), o ancora parole con senso compiuto e senza variazioni (ad esempio, “uccellino”). Tutte le password che siano parole prese da un dizionario possono essere più o meno facilmente scovate grazie ad una tipologia di attacco definita “attacco a dizionario“. Non è questa la sede per approfondire riguardo modalità e dettagli dell’attacco, ma basti sapere che questo tipo di attacco ha una buona percentuale di riuscita.

LastPass ha dichiarato di aver verificato un ammontare di dati inusuale in uscita dai suoi server – ammontare sufficiente ad aver copiato le email degli utenti, gli hash delle loro password e gli hash presenti sul server. Non sanno di preciso quali siano i dati copiati, ma fanno ipotesi plausibili. Anche se dichiarano che i dati che si suppone siano stati copiati non siano sufficienti che a coprire una minima parte degli utenti del servizio, nei giorni scorsi è stato reso obbligatorio il cambio delle password degli account, così da arginare il più possibile un eventuale riuscita dell’attacco.

Il consiglio per tutti gli utenti è cambiare le loro password, sostituendole con password difficili da crackare; il mio consiglio personale è di tenersi lontano da questo tipo di soluzione proprio per queste problematiche: perdete una password, perdete tutto.

[Via phandroid.com, fonte LastPass.com]