Utilizzi LastPass? Devi cambiare urgentemente, dice la società di sicurezza

È una buona idea utilizzare uno dei migliori gestori di password per proteggere i tuoi accessi, ma ora una società di sicurezza avverte che uno dei gestori di password più famosi al mondo non è sicuro da usare.

L’ affermazione straordinaria arriva da Intego, un’azienda specializzata nella sicurezza dei Mac. Intego ha fatto la sua affermazione sulla base di una serie di violazioni della sicurezza che LastPass ha subito negli ultimi mesi, del modo in cui LastPass ha risposto a tali incidenti e della tecnologia sottostante utilizzata da LastPass per proteggere gli account dei clienti.

Una mano oscura e misteriosa che digita su un computer portatile di notte.
Andrew Brookes/Getty Images

Nel suo rapporto, Intego ha delineato la saga di LastPass, dalla sua iniziale divulgazione di una violazione nell’agosto 2022 fino a un’indagine del gestore di password rivale 1Password a dicembre. Quella sequenza temporale dipinge l’immagine di un gestore di password con pratiche e tecnologia discutibili, afferma Intego.

Nell’agosto 2022, LastPass ha notificato agli utenti che al suo ambiente di sviluppo era stato effettuato l’accesso da parte di terzi non autorizzati, ma che non erano stati presi dati dei clienti. Quindi, LastPass ha rilasciato una nuova dichiarazione a novembre affermando che gli hacker avevano preso “alcuni elementi di … informazioni sui clienti”.

Infine, a dicembre, LastPass ha ammesso che i dati a cui hanno avuto accesso gli hacker sono stati utilizzati per indurre un dipendente dell’azienda a consegnare le chiavi di alcune credenziali dei clienti, che sono state poi utilizzate per accedere e decrittografare i dati dei clienti.

Pratiche discutibili

Uomo che usa un Macbook Pro alla scrivania.
Ash Edmonds/Unsplash

Tuttavia, Intego sostiene che le analisi di terze parti sulla violazione suggeriscono uno scenario più preoccupante. Secondo il ricercatore di sicurezza Wladimir Palant , ad esempio, le dichiarazioni di LastPass erano “piene di omissioni, mezze verità e vere e proprie bugie”. Una delle accuse di Palant è che l’implementazione di LastPass di un algoritmo di rafforzamento delle password non è considerata abbastanza forte in base agli standard del settore, rendendo le casseforti degli utenti troppo facili da hackerare.

Il gestore di password rivale 1Password ha aggiunto la sua opinione nel mix, sostenendo che costerebbe a un hacker $ 100 o meno per decifrare le password principali che proteggono molti depositi di LastPass, tale è la debolezza dei metodi di hashing di LastPass.

Tutto ciò ha portato Intego ad affermare che, “dato quello che ora sappiamo su LastPass, sia come opera l’azienda che sulla sua tecnologia, non consigliamo di utilizzare LastPass come gestore di password”.

Come tenere al sicuro le tue password

immagine dello stile di vita del gestore delle password

È un’affermazione notevole da fare data la popolarità di LastPass. LastPass stesso afferma di avere oltre 33 milioni di utenti: se le affermazioni sulla sua scarsa sicurezza sono corrette, si tratta di un numero enorme di persone i cui account, password e dati delle carte di credito sono ora potenzialmente vulnerabili.

In questo momento, Intego consiglia agli utenti di LastPass di iniziare immediatamente a migrare i propri account su un altro gestore di password. Una volta completato, la società consiglia agli utenti di aggiornare tutte le password che erano state memorizzate in LastPass con nuove sostituzioni.

Ciò dimostra che nemmeno i servizi più popolari sono immuni da attacchi di hacking e violazioni della sicurezza. Indipendentemente dal fatto che utilizzi o meno un gestore di password, puoi proteggerti utilizzando password complesse e univoche che non vengono utilizzate su più siti. In questo modo, una violazione non comporterà la compromissione di tutti gli altri account.