Alfonso Maruccia

LastPass, il crack nel cloud

Il servizio di gestione centralizzata delle password vittima di un attacco a opera di ignoti. Compromesse le email, dice la società, ma i dati (criptati) degli utenti dovrebbero essere al sicuro anche in mano ai cyber-criminali

Roma - LastPass ha pubblicato un avviso di sicurezza riguardante un attacco scoperto all'inizio dello scorso week-end, un incidente che non avrebbe però avuto conseguenze negative per la sicurezza dei dati criptati degli utenti.

Il team di LastPass ha scoperto e bloccato una attività "sospetta" sul network interno della società, dice l'avviso, e la successiva indagine ha evidenziato segni di compromissione per gli indirizzi email degli account, gli avvisi per il cambiamento della password, i server per i sali utente e gli hash di autenticazione.

Nulla di grave, comunque, tengono a riferire da LastPass: gli hash di autenticazione sono rafforzati da meccanismi crittografici estremamente robusti, e l'estrapolazione dei dati di autenticazione a cui si riferiscono gli hash presenterebbe problemi di velocità insormontabili per l'hardware specializzato più moderno.
In ogni caso, giusto per assicurare un livello di protezione aggiuntivo ai dati compromessi - ma non decrittati, né decrittabili - LastPass dice di voler richiedere a ogni utente collegato da un nuovo dispositivo o indirizzo IP la verifica dell'account via posta elettronica.

Un ulteriore avviso richiede l'aggiornamento della "master password" pensata per proteggere l'elenco di password salvato dall'utente sul servizio, mentre il massimo della protezione è ovviamente quello offerto dall'attivazione del meccanismo di autenticazione multi-fattore.

Alfonso Maruccia
Notizie collegate
22 Commenti alla Notizia LastPass, il crack nel cloud
Ordina
  • Il gestore di password nel cloud

    Rotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereNewbie, inespertoRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Chi pensa ad un gestore di password nel cloud evidentemente non è in grado nè di intendere nè di volere. IMHO se gli fanno l'analisi del DNA gli trovano evidenti tare genetiche.

    La perla:
    "ma i dati (criptati) degli utenti dovrebbero essere al sicuro anche in mano ai cyber-criminali"

    Andiamo bene! se usano il condizionale e non lo sanno loro ...

    Riepilogando: tutto ciò che è riservato non deve essere messo nel cloud. Win10 deve essere boicottato. Repetita juvant!
    non+autenticato
  • Chi non sa come funziona la crittografia dovrebbe astenersi dal fare certi commenti "leggermente" partigiani su questa o quella tecnologia di cui, evidentemente, non è in grado di valutare nulla.
    non+autenticato
  • - Scritto da: user o password non corretti
    > Chi non sa come funziona la crittografia dovrebbe
    > astenersi dal fare certi commenti "leggermente"
    > partigiani su questa o quella tecnologia di cui,
    > evidentemente, non è in grado di valutare
    > nulla.

    La crittografia funziona nel seguente modo: "il giorno che trovano il modo di decrittografare i dati, lo faranno."

    Bug, anelli deboli, forza bruta, tutto quello che vuoi.
    Prima o poi salta.
    E infatti la buona norma della sicurezza prevede di ricrittografare tutto ogni volta che c'e' una evuluzione migliorativa.

    Se metti nel cloud, ti prendono il dato criptato, e poi quando sara' decrittabile lo potranno leggere.
  • - Scritto da: panda rossa
    > - Scritto da: user o password non corretti
    > > Chi non sa come funziona la crittografia
    > dovrebbe
    > > astenersi dal fare certi commenti
    > "leggermente"
    > > partigiani su questa o quella tecnologia di
    > cui,
    > > evidentemente, non è in grado di valutare
    > > nulla.
    >
    > La crittografia funziona nel seguente modo: "il
    > giorno che trovano il modo di decrittografare i
    > dati, lo
    > faranno."
    >
    > Bug, anelli deboli, forza bruta, tutto quello che
    > vuoi.
    > Prima o poi salta.
    > E infatti la buona norma della sicurezza prevede
    > di ricrittografare tutto ogni volta che c'e' una
    > evuluzione
    > migliorativa.
    >
    > Se metti nel cloud, ti prendono il dato criptato,
    > e poi quando sara' decrittabile lo potranno
    > leggere.

    Eh ma mica tutti ci possono arrivare a capirlo....
    non+autenticato
  • Il cloud è l'unico punto debole di truecrypt 7.1a, in quanto l'unica vulnerabilità che ha è che in ram la password è in chiaro.
    Quando il niubbo moderno userà truecrypt con win10 senza rendersene conto consegnerà la password e keyfile a mamma microsoft. A questo punto aspetto le orde di fenomeni che diranno che anche la 7.1a non è sicura, provando a buttarla in caciara.
    Io aspetterò questi cialtroni con l'espressione della mucca che guarda passare il treno mentre mangia!A bocca aperta
    non+autenticato
  • Un articolo tecnico sull'argomento?
    non+autenticato
  • Hai perfettamente ragione ma non mi dirai che il tuo messaggio è equivalente a quello di prova123 perchè non è affatto vero, secondo il suo ragionamento non si deve usare TOR, non si deve usare SSL e così via, tanto è tutto bucabile e sono coglioni quelli che si fidano della crittografia.
    Tu hai semplicemente detto che quando si usa un qualsiasi servizio online per quanto crittografato si accetta un ragionevole rischio.

    Invece sarei interessato a leggere qualcosa di serio sull'argomento Win10 Truecrypt e non solo post su un forum.Con la lingua fuori
    non+autenticato
  • - Scritto da: user o password non corretti
    > Chi non sa come funziona la crittografia dovrebbe
    > astenersi dal fare certi commenti "leggermente"
    > partigiani su questa o quella tecnologia di cui,
    > evidentemente, non è in grado di valutare
    > nulla.

    Chi nella vita ha scritto almeno una riga di software (in generale) decente capisce senza il minimo problema che l'algoritmo può essere perfetto, ma il problema è cosa accade ai dati dopo.

    Ti faccio un esempio:
    1.Cripta un gruppo di file con il RAR
    2.Fai un installer a sua volta criptato
    Tranquillo che la password del file rar (lunga quanto vuoi e con i caratteri che vuoi)te la dico in meno 5 minuti.Sorride

    Adesso hai capito ?

    PS: capisco che quando scrivi castronerie ti vergogni di quello che scrivi, la prossima volta usa il tuo nickname tanto l'hanno capito tutti chi sei, eviti solo di peggiorare la figura di palta.
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: user o password non corretti
    > > Chi non sa come funziona la crittografia
    > dovrebbe
    > > astenersi dal fare certi commenti "leggermente"
    > > partigiani su questa o quella tecnologia di cui,
    > > evidentemente, non è in grado di valutare
    > > nulla.
    >
    > Chi nella vita ha scritto almeno una riga di
    > software (in generale) decente capisce senza il
    > minimo problema che l'algoritmo può essere
    > perfetto, ma il problema è cosa accade ai dati
    > dopo.
    >
    > Ti faccio un esempio:
    > 1.Cripta un gruppo di file con il RAR
    > 2.Fai un installer a sua volta criptato
    > Tranquillo che la password del file rar (lunga
    > quanto vuoi e con i caratteri che vuoi)te la dico
    > in meno 5 minuti.
    >Sorride

    E chi sei l'autore di duqu 2?A bocca aperta
    non+autenticato
  • Rotola dal ridere

    ho sfruttato semplicemente la debolezza dei sistemi "complessi". L'esempio è perfetto per spiegare che tu puoi avere 2 software praticamente inaccessibili se non con forza bruta (la password era di circa 40 caratteri e c'era un pò di tutto) che quando li metti insieme il sistema diventa di burro pur utilizzando algoritmi di crittografia ineccepibili. Adesso pensa un pò cosa si può fare con un sistema operativo su "cloud".
    non+autenticato