LastPass ha annunciato una novità per gli URL salvati nel vault (cassaforte in italiano). La software house statunitense proteggerà gli indirizzi con la crittografia. L’implementazione richiede però profonde modifiche al client e ai componenti di back-end, quindi il rollout avverrà in due fasi nel corso dei prossimi mesi.
URL protetti dalla crittografia
Attualmente, quando l’utente visita un sito web, LastPass confronta l’URL con quello memorizzato nel vault per consentire l’inserimento automatico della password. Gli URL sono però conservati in chiaro fin dal lancio del servizio nel 2008.
All’epoca la potenza di calcolo era limitata, per cui l’operazione di decifrazione poteva impattare pesantemente sulle prestazioni dei computer e dei dispositivi mobile. Gli ingegneri di LastPass hanno quindi deciso di non cifrare gli URL per evitare rallentamenti e un consumo eccessivo della batteria.
Oggi non esistono più simili limitazioni per la maggioranza dei dispositivi, pertanto gli URL verranno cifrati/decifrati al volo in modo da proteggere le informazioni contenute (dall’URL si può dedurre il tipo di account). Come detto, il rollout sarà graduale perché è necessario modificare client e componenti di back-end.
La prima fase, che dovrebbe essere completata entro giugno (rollout entro luglio), prevede l’applicazione della crittografia ai due campi principali (url
e Rurl
). La seconda fase, che dovrebbe essere completata nella seconda metà dell’anno, prevede la cifratura dei rimanenti sei campi (url_rules
, Equiv_domains
, accts_never
, accts_never_excluded
, acs
e launchurl
).
Nei prossimi mesi, gli utenti riceveranno via email tutte le istruzioni passo-passo per completare l’aggiornamento iniziale.