Fine anno decisamente negativo per LastPass. Dopo aver confermato l’accesso ai dati degli utenti, la software house ha ricevuto critiche dai ricercatori di sicurezza. Ora tocca ad un suo diretto concorrente. Secondo 1Password, alcune affermazioni presenti nel comunicato ufficiale sono “estremamente ingannevoli“.
Non servono milioni di anni per scoprire la password
LastPass scrive nel comunicato che ci vogliono milioni di anni per trovare la master password utilizzando le tecnologie attuali, se l’utente usa le impostazioni predefinite, ovvero 100.100 iterazioni per l’algoritmo PBKDF2 e una lunghezza minima di 12 caratteri. Ciò è vero solo se la master password da 12 caratteri viene generata in maniera completamente casuale.
Con 12 caratteri è possibile ottenere circa 272 password differenti. Ma gli esseri umani sceglieranno sempre password “craccabili”, anche se contengono lettere, numeri e simboli, ovvero proprio le password che vengono cercate dai sistemi automatizzati dei cybercriminali. Quindi non servono milioni di anni per scoprirle, come afferma LastPass.
Oltre all’algoritmo PBKDF2 (a 100.000 iterazioni), 1Password usa la Secret Key. Si tratta di una chiave composta da 34 lettere e numeri separati da un trattino che viene creata al primo accesso e conservata solo sul dispositivo, quindi nessuno può leggerla.
Inoltre ha 128 bit di entropia. Ciò significa che un malintenzionato dovrebbe effettuare 2128 tentativi per scoprirla. Per questo motivo 1Password non ha mai subito un data leak e nessuno potrà trovare la password con le tecnologie attuali.
Ti potrebbe interessare
29 dic 2022