Questo articolo è stato pubblicato da questo sito
La violazione ha interessato anche altri dati dei clienti, tra cui nomi, indirizzi email, numeri di telefono e alcune informazioni di fatturazione. LastPass è criticato da tempo per le modalità con cui memorizza i dati nei suoi archivi. L’azienda utilizza un formato ibrido in cui elementi come le password sono criptati mentre altre informazioni, come gli url, non lo sono. Gli url in chiaro potrebbero dare agli aggressori un’idea di cosa c’è all’interno di un archivio e aiutarli a stabilire quali cassaforti digitali forzare per prime. Gli archivi, che sono protetti da una password principale (la cosiddetta “master password”) selezionata dall’utente, rappresentano un problema per gli utenti che cercano di tutelarsi dopo la violazione, dal momento che cambiare ora la password principale di LastPass non servirebbe comunque a proteggere i dati che sono già stati rubati. O, come dice Johnson, “le persone che hanno violato LastPass hanno a disposizione un tempo illimitato per compiere attacchi offline indovinando le password e tentando di recuperare le chiavi master di utenti specifici“.
Cosa fare per proteggersi
Questo significa che gli utenti di LastPass dovrebbero passare al setaccio le proprie cassaforti digitali e adottare misure supplementari per proteggersi, come per esempio cambiare tutte le proprie password.
La prima cosa da fare è attivare l’autenticazione a due fattori sul maggior numero possibile di account, in particolare per quelli più importanti come la posta elettronica, i servizi finanziari e gli account dei social media che utilizzate di più. In questo modo, anche se gli aggressori dovessero compromettere le password dei vostri profili, non potranno accedervi senza il codice monouso o la chiavetta per l’autenticazione che avete aggiunto come secondo fattore. Successivamente, cambiate le password di tutti gli account sensibili e di valore. Per ultima cosa, modificate tutte le altre password memorizzate nell’archivio di LastPass.
Mentre adottate queste precauzioni (o perlomeno il più possibile), i tempi sono maturi per passare a un nuovo gestore di password. Potete aggiungere account a un nuovo servizio man mano che apportate le modifiche. Wired US consiglia 1Password e il servizio gratuito Bitwarden, oltre ad alcune alternative, mentre non raccomanda più LastPass da quando l’azienda – che in passato era già stata oggetto di una serie di incidenti di sicurezza – ha ridotto le sue offerte gratuite un paio di anni fa.
