LastPass breach: omissioni, mezze verità e bugie
Topic
Approfondimenti
Trending
tutti

LastPass breach: omissioni, mezze verità e bugie

Un ricercatore di sicurezza ha evidenziato diverse omissioni, mezze verità e bugie nel comunicato di LastPass sull'intrusione avvenuta ad agosto.
LastPass breach: omissioni, mezze verità e bugie
Sicurezza
Un ricercatore di sicurezza ha evidenziato diverse omissioni, mezze verità e bugie nel comunicato di LastPass sull'intrusione avvenuta ad agosto.
LastPass

LastPass ha recentemente pubblicato un aggiornamento sull’accesso non autorizzato ai suoi sistemi avvenuto a fine agosto, fornendo dettagli della modalità utilizzata dai cybercriminali. Secondo il ricercatore di sicurezza Wladimir Palant, il comunicato ufficiale della software house è pieno di omissioni, mezze verità e bugie.

Conserva i dati personali al sicuro con 1Password

Quello che LastPass non dice

LastPass scrive nel comunicato del 22 dicembre che non sono stati sottratti dati degli utenti durante l’intrusione del 25 agosto. I cybercriminali hanno però utilizzato le informazioni ottenute quattro mesi fa per accedere ai dati degli utenti durante la seconda intrusione (tecnica nota come movimento laterale). Quindi i due incidenti di sicurezza non sono separati e LastPass non ha fatto nulla per evitare la seconda intrusione.

La software house conferma che i cybercriminali hanno avuto accesso ad alcuni dati conservati in chiaro (senza crittografia), tra cui gli URL dei siti web. Questi ultimi possono contenere importanti parametri, ad esempio quelli per il reset della password. LastPass sottolinea inoltre che i dati possono essere decifrati solo con la chiave derivata dalla master password (che non viene memorizzata online) e che è quasi impossibile scoprirla con un attacco brute force.

Il ricercatore evidenzia però che non tutti gli utenti scelgono una master password sufficientemente robusta. Dal 2018 è necessario utilizzare master password con lunghezza minima di 12 caratteri. Il problema è che questo suggerimento vale per i nuovi utenti. Molti vecchi utenti usano ancora una master password di lunghezza inferiore e LastPass non ha chiesto di cambiarla.

Per incrementare la sicurezza viene utilizzato l’algoritmo PBKDF2 a 100.100 iterazioni. Contrariamente a quanto afferma LastPass, questo numero fornisce il livello più basso di protezione (il minimo dovrebbe essere 310.000). Tra l’altro, alcuni account hanno ancora il valore predefinito del 2018, ovvero 5.000 iterazioni. È sufficiente una moderna GPU per trovare la master password in pochi minuti.

Considerati i numerosi incidenti di sicurezza e la scarsa protezione offerta da LastPass, forse sarebbe meglio utilizzare altri password manager. Uno dei migliori sul mercato è 1Password.

Fonte: Almost Secure

Pubblicato il 28 dic 2022

Link copiato negli appunti

Ti potrebbe interessare

LastPass, che disastro: accesso ai dati degli utenti

LastPass, che disastro: accesso ai dati degli utenti
LastPass: violazione e accesso ai dati degli utenti

LastPass: violazione e accesso ai dati degli utenti
Le migliori alternative a LastPass 2024 (gratis e a pagamento)

Le migliori alternative a LastPass 2024 (gratis e a pagamento)
Pig butchering: Meta rimuove oltre 2 milioni di account

Pig butchering: Meta rimuove oltre 2 milioni di account
LastPass, che disastro: accesso ai dati degli utenti

LastPass, che disastro: accesso ai dati degli utenti
LastPass: violazione e accesso ai dati degli utenti

LastPass: violazione e accesso ai dati degli utenti
Le migliori alternative a LastPass 2024 (gratis e a pagamento)

Le migliori alternative a LastPass 2024 (gratis e a pagamento)
Pig butchering: Meta rimuove oltre 2 milioni di account

Pig butchering: Meta rimuove oltre 2 milioni di account
Luca Colantuoni
Pubblicato il
28 dic 2022
Link copiato negli appunti