LastPass ha recentemente pubblicato un aggiornamento sull’accesso non autorizzato ai suoi sistemi avvenuto a fine agosto, fornendo dettagli della modalità utilizzata dai cybercriminali. Secondo il ricercatore di sicurezza Wladimir Palant, il comunicato ufficiale della software house è pieno di omissioni, mezze verità e bugie.
Quello che LastPass non dice
LastPass scrive nel comunicato del 22 dicembre che non sono stati sottratti dati degli utenti durante l’intrusione del 25 agosto. I cybercriminali hanno però utilizzato le informazioni ottenute quattro mesi fa per accedere ai dati degli utenti durante la seconda intrusione (tecnica nota come movimento laterale). Quindi i due incidenti di sicurezza non sono separati e LastPass non ha fatto nulla per evitare la seconda intrusione.
La software house conferma che i cybercriminali hanno avuto accesso ad alcuni dati conservati in chiaro (senza crittografia), tra cui gli URL dei siti web. Questi ultimi possono contenere importanti parametri, ad esempio quelli per il reset della password. LastPass sottolinea inoltre che i dati possono essere decifrati solo con la chiave derivata dalla master password (che non viene memorizzata online) e che è quasi impossibile scoprirla con un attacco brute force.
Il ricercatore evidenzia però che non tutti gli utenti scelgono una master password sufficientemente robusta. Dal 2018 è necessario utilizzare master password con lunghezza minima di 12 caratteri. Il problema è che questo suggerimento vale per i nuovi utenti. Molti vecchi utenti usano ancora una master password di lunghezza inferiore e LastPass non ha chiesto di cambiarla.
Per incrementare la sicurezza viene utilizzato l’algoritmo PBKDF2 a 100.100 iterazioni. Contrariamente a quanto afferma LastPass, questo numero fornisce il livello più basso di protezione (il minimo dovrebbe essere 310.000). Tra l’altro, alcuni account hanno ancora il valore predefinito del 2018, ovvero 5.000 iterazioni. È sufficiente una moderna GPU per trovare la master password in pochi minuti.
Considerati i numerosi incidenti di sicurezza e la scarsa protezione offerta da LastPass, forse sarebbe meglio utilizzare altri password manager. Uno dei migliori sul mercato è 1Password.