Alfonso Maruccia

LastPass, password compromesse?

Il servizio denuncia una potenziale violazione dei perimetri difensivi di un server e invita i propri utenti a cambiare la loro password

Roma - Furti di identità e carte di credito a milioni, dati evaporati non si sa bene dove, il cloud computing pone sempre più interrogativi sulla propria affidabilità. L'ultimo - in ordine di tempo - servizio "cloud" a cadere vittima della (prevedibilissima) vulnerabilità dei server tra le nuvole è LastPass, servizio di gestione delle password che denuncia: la "master password" degli utenti potrebbe essere a rischio.

LastPass - un servizio specializzato nella protezione di password e dati di accesso ai form web con una "master password" unica gestita da remoto - dice di aver individuato picchi di traffico "anomali" da uno dei suoi server.

La società sostiene che la quantità di dati inviata dal server verso IP esterni non ha al momento alcuna giustificazione o spiegazione legittima, nondimeno si tratta di informazioni che non sarebbero sufficienti - il condizionale è d'obbligo - a mettere a rischio le master password degli utenti.
Sia come sia LastPass, dice di voler comunque giocare la carta della precauzione, e in attesa di venire a capo del mistero del traffico anomalo ha chiesto agli utenti di modificare la master password registrata sul servizio. Come ulteriore precauzione contro le azioni di cyber-criminali o malintenzionati, LastPass dice di voler validare ogni tentativo di modifica della password con la verifica dell'IP o l'indirizzo email dell'utente.

Alfonso Maruccia
Notizie collegate
17 Commenti alla Notizia LastPass, password compromesse?
Ordina
  • Leggendo il blog è chiaro che hanno reagito al primo dubbio: un ottimo comportamento.
    Non hanno sottolineato nemmeno più di tanto che chi ha una password forte non è considerato a rischio.

    Personalmente lo uso, ma evito di conservare lì dentro le password chiave (email, banca, paypal).
    Anzi a dirla tutta, di determinati siti non salvo nemmeno il link tra i preferiti, ne clicco su alcun link relativo che trovo in giro: in questo modo riduco il rischio di finire in posti sbagliati (a meno che non mi freghino con il dns...)
    non+autenticato
  • ..ero tranquillo prima e sono tranquillo ora.
    Lastpass, come Clipperz e altri, usano una tecnica di sicurezza chiamata Zero Knowledge http://www.clipperz.com/users/marco/blog/2007/08/2...

    Forse Lastpass è meno paranoico di Clipperz, ma tengo lì i miei dati perchè i dati vengono crittati e decrittati in locale sul browser, utilizzando la master password, che non è memorizzata da nessuna parte. Sui server Lastpass risiedono solo dei blocchi di testo crittato inutilizzabile a meno di attacchi basati su dizionari.
    Il succo di tutto il discorso è: se usate "pippo" come password, non c'è sistema di sicurezza che tenga, se usate "chn87hrf8iy34uftf94", dormite pure sonni tranquilli.
    non+autenticato
  • un file sotto la cartella documenti chiamato password.txt per memorizzare le mie password. Finora mi sono trovato sempre bene.
    non+autenticato
  • - Scritto da: Frigghenaue i
    > un file sotto la cartella documenti chiamato
    > password.txt per memorizzare le mie password.
    > Finora mi sono trovato sempre
    > bene.

    Io come sfondo del desktop ho una foto dello schermo (senza icone) con su appiccicato un postit con su scritta la passwordCon la lingua fuori
    Funz
    12980
  • Caro alfonso (minuscolo d'obbligo), il comunicato ufficiale di LastPass dice decisamente altro se avessi avuto l'accortezza di leggerlo.

    Forse non sai tradurre bene o forse è piu' sensazionale e fa piu' notizia il solito articolo tragico sulla sicurezza?

    Te lo traduco io: sono a rischio gli account che utilizzano una master password che è composta da frasi o parole contenute in un dizionario e pertanto attaccabili con dictionary brute force attack.

    Se usi master password tipo jduekforek2934$£Ad29348 anche se hai il salt, non recuperi facilmente ed entro l'anno l'account.
    non+autenticato
  • Detta così, non fa trollare ruppolo
    non+autenticato
  • Nessuna password è sicura. Ripeto: NESSUNA.
    Qualsiasi sistema è, o sarà, violabile.
    Non si tratta di pessimismo, è la realtà, ed è ampiamente dimostrata.
    L'unico modo di essere (un pò più) sicuri delle proprie password non è aspettare che qualcuno ce lo dica, ma modificarle ogni due, tre mesi e sceglierle complesse. Non lasciarle sul PC non crittografate (e non su un xls sia pure con password) e, se non si utilizza un servizio come lastPass, non usare SEMPRE la stessa password.
    non+autenticato
  • Concordo...

    Io da alcuni anno uso KeePass (http://keepass.info), un software OpenSource, che è disponibile per moltissime piattaforme tra cui Windows, Linux, Mac, Cellulari Symbian, Pocket PC Windows 2003 e superiori... Presumo anche per Android e iOS.

    Questo software genere un file in cui posso memorizzare per categorie e sottocategorie tutte le password che voglio, inserendo anche alcune note.

    Serve solo una password principale (che personalmente cambio ogni 6 mesi, insieme alle password di accesso ai miei PC, per rispettare le misure minime di sicurezza del Dlg 196/2003).

    Ovviamente anche questo sistema non è sicuro al 100%, ma facendo spesso la copia del file e avendolo replicato su 3 PC e un paio di pennette, penso sia più sicuro che usare un servizio Cloud Sorride
  • Anche io ero scettico sui gestori online di password e anche dopo questo attacco, per il mio caso non mi preoccupo piu' di tanto.
    Questi servizi "cloud" sicuramente sono rischiosi ma con i giusti accorgimenti possono essere sicuri lo stesso. Su lastpass ci tengo tutto, ovviamente reputo da pazzi utilizzare un sistema composto solo da login e password, e con lastpass ho un dispositivo OTP che tutte le volte devo utilizzare in combinazione alla login e password. Pertanto anche se mi rubano login e password, dormo sonni tranquilli o quasi.
    Il problema il del cloud e dei dati che possono essere violati esiste, ma sicuramente se la gente non utilizzasse password alla kazzo di cane ci sarebbero molte meno violazioni. Chi gestisce gli account facesse degli alarm su gli ip grazie alla geolocalizzazione, se prima di fare un cambio password venga inviata un'email per autorizzarla, ci sono tanti piccoli accorgimenti di logica che renderebbero questo mondo piu' sicuro.
    non+autenticato
  • Certo, anche delle belle taglie sui criminali informatici.
    ruppolo
    33147
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)