I server di LastPass, servizio di gestione centralizzata delle password, sono stati bersaglio di un attacco condotto da ignoti. Dal bollettino di sicurezza emesso dall’azienda risulta compromesso il database delle email, mentre i dati cifrati degli utenti sarebbero rimasti al sicuro anche se fossero finiti nelle mani degli hacker.

 

Per assicurare un livello di protezione aggiuntivo ai dati evantualmente compromessi (comunque non decrittabili), LastPass ha chiesto a ciascun utente connesso da un nuovo dispositivo o indirizzo IP la verifica dell'account tramite email. Il team invita inoltre all'aggiornamento della "master password", pensata per proteggere l'elenco di password salvato dall'utente sul servizio. Una maggiore protezione può ottenersi con l'attivazione del meccanismo di autenticazione multi-fattore.

 

LasPass
LasPass

 

L’incidente, una attività "sospetta" sul network interno della società che è stato scoperto e immediatamente bloccato all'inizio dello scorso weekend, non avrebbe quindi avuto conseguenze negative per la sicurezza dei dati degli utenti come riferisce LastPass, che evidenzia come gli hash di autenticazione siano rafforzati da meccanismi crittografici molto robusti. L'estrapolazione dei dati di autenticazione a cui si riferiscono gli hash richiederebbe tempi improponibili anche per l'hardware specializzato più moderno.

 

Nonostante i pericoli di possibili compromissioni dei dati di autenticazione, i gestori di password sono molto utili. Non si tratta del sistema più sicuro per memorizzare la lista delle proprie password, ma sono in molti a sostenere che il gioco valga la candela, per via dell’indubbia comodità: sfruttandone uno è possibile selezionare una complicata password composta da lunghe stringhe alfanumeriche per ciascuno dei propri account in giro per il web, senza la necessità di ricordare a memoria una sequenza incomprensibile di caratteri speciali, maiuscole e minuscole, a tutto vantaggio della sicurezza di ciascuno dei servizi utilizzati.