Attacco informatico a LastPass: è davvero una buona idea conservare delle password sul cloud?

Attacco informatico a LastPass: è davvero una buona idea conservare delle password sul cloud?

LastPass, il password manager basato su cloud, ha subito un attacco informatico di media gravità durante la scorsa settimana.

Il blog ufficiale del servizio ha annunciato il problema: è stata infatti rilevata un’attività sospetta sul sito dell’azienda, ed è stato scoperto che – sebbene le password salvate siano rimaste integre – alcune informazioni sensibili degli utenti (tra cui indirizzi email, promemoria delle password, chiavi di salatura e hash di autenticazione) erano stati sottratti da terzi. Questo non corrisponde ad un furto di credenziali sensibili, di cui non è stata trovata alcuna prova, ma certamente è una buona idea cambiare password su LastPass se avete un account. Per scoprire se casomai l’aveste creato tempo fa (e non siete sicuri di averlo fatto), provate a recuperarlo inserendo il vostro indirizzo di posta elettronica qui, e poi cambiate la password con una nuova.

Se giustamente LastPass ha poi specificato la difficoltà nel crackare le master password per via di un complesso meccanismo di crittografia multi-stato (Cracking our algorithms is extremely difficult, even for the strongest of computers), ma la reale robustezza di questo dato dipende molto dalla scelta dell’utente: se utilizzavate su LastPass una master password molto banale (del tipo 12345 oppure password1), è possibile subire un attacco basato su dizionario di parole molto comuni.

Se è vero che il meccanismo di LastPass tende a rallentare parecchio questo genere di attacchi, resta la considerazione sull’effettiva opportunità di memorizzare una password (o un gruppo di password), dati molto sensibili e che non andrebbero divulgati in nessun caso, addirittura su un cloud – per quanto protetto e seriamente gestito possa essere.

Affidare la propria privacy ad un servizio di terzi potrebbe non essere un’idea ideale in molti casi: significa fare affidamento su un servizio esterno, peraltro gratuito nel 90% dei casi, e senza poter avere una reale garanzia di sicurezza a fronte di casi del genere. Senza contare che, in molti casi pratici, è molto più semplice e sicuro salvare questi dati su un piccolo pennino USB (magari criptandolo), da tenere al sicuro (a casa o in ufficio) e soprattutto sconnesso da internet.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.