Per la seconda volta nella sua storia, LastPass ha subìto un’aggressione. Il noto servizio consente di gestire i propri archivi di password in maniera centralizzata salvando tutte le credenziali di autenticazione – in forma cifrata – sui server dell’azienda.
Stando a quanto immediatamente chiarito dai tecnici di LastPass, le password personali degli utenti non sarebbero state sottratte. Sarebbero tuttavia nelle mani degli aggressori gli indirizzi email degli utenti possessori di un account, le domande segrete per il recupero delle password di accesso, gli hash utilizzati per l’autenticazione sul servizio.
L’algoritmo crittografico utilizzato per proteggere i dati degli utenti, però, viene definito sicuro ed adeguato a prevenire l’accesso, da parte di terzi, ai dati più sensibili. Questo aspetto viene confermato anche dagli esperti di sicurezza.
Jeremi Gosney ha spiegato che la routine di hashing a 100.000 passaggi che viene utilizzata da parte di LastPass unitamente con l’algoritmo PBKDF2-SHA256, è da ritenersi estremamente solida (addirittura anche nei casi in cui l’utente avesse scelto una master password piuttosto “debole”).
In ogni caso, LastPass consiglia di modificare immediatamente la master password ovvero la parola chiave principale utilizzata a protezione dell’account.
Nell’articolo Memorizzare password e gestirle in sicurezza abbiamo spiegato come generare password sicure e come memorizzarle senza correre rischi. Abbiamo anche presentato gli strumenti per salvare gli archivi delle password in locale, in forma cifrata.