LastPass
ha pubblicato un avviso di sicurezza riguardante un attacco scoperto all’inizio dello scorso week-end, un incidente che non avrebbe però avuto conseguenze negative per la sicurezza dei dati criptati degli utenti.
Il team di LastPass ha scoperto e bloccato una attività “sospetta” sul network interno della società, dice l’avviso, e la successiva indagine ha evidenziato segni di compromissione per gli indirizzi email degli account, gli avvisi per il cambiamento della password, i server per i sali utente e gli hash di autenticazione.
Nulla di grave, comunque, tengono a riferire da LastPass: gli hash di autenticazione sono rafforzati da meccanismi crittografici estremamente robusti, e l’estrapolazione dei dati di autenticazione a cui si riferiscono gli hash presenterebbe problemi di velocità insormontabili per l’hardware specializzato più moderno.
In ogni caso, giusto per assicurare un livello di protezione aggiuntivo ai dati compromessi – ma non decrittati, né decrittabili – LastPass dice di voler richiedere a ogni utente collegato da un nuovo dispositivo o indirizzo IP la verifica dell’account via posta elettronica.
Un ulteriore avviso richiede l’aggiornamento della “master password” pensata per proteggere l’elenco di password salvato dall’utente sul servizio, mentre il massimo della protezione è ovviamente quello offerto dall’attivazione del meccanismo di autenticazione multi-fattore.
Alfonso Maruccia