LastPass è un servizio che permette di salvare tutte le proprie password in un unico archivio memorizzato sui server dell’azienda in forma crittografata. Lato client viene installato un plugin per il browser (compatibile con Internet Explorer, Firefox e Chrome) attraverso il quale sarà possibile creare un account sui server LastPass, importare e gestire tutte le proprie credenziali d’accesso. Si tratta di un servizio, insomma, che – diversamente dai classici “password manager“, i quali operano esclusivamente in locale (un esempio è Keepass Password Safe) – propone la soluzione “cloud” anche per le attività di gestione di dati personali e parole chiave.
Nelle scorse ore, come confermato dai tecnici di LastPass, il team che cura lo sviluppo del servizio ha rilevato alcune anomalie nel traffico di rete diretto alla piattaforma. Quanto rilevato ha indotto i gestori di LastPass a ritenere che fosse in atto un attacco. Nel corso di tale raid, potrebbero essere state sottratte informazioni personali, comprese alcune “master password” – ossia la parola chiave principale usata per effettuare il login – appartenenti ad alcuni utenti registrati al servizio.
LastPass ha tenuto a precisare come, almeno allo stato attuale, non vi siano prove di una vera e propria aggressione: “dove c’è del fumo, si sarebbe potuto sviluppare un incendio“, si è dichiarato dalla società cercando di tranquillizzare l’utenza.
A scopo cautelativo, LastPass sta obbligando gli utenti del servizio a modificare le rispettive “master password“. I tecnici, nell’illustrare questa misura, hanno spiegato che gli hash delle password, così come vengono generati, non dovrebbero consentire – ad eventuali aggressori – di risalire alla parola chiave “in chiaro”, scelta dal singolo utente. Purtuttavia, nel caso in cui la password impostata fosse veramente “debole”, questa potrebbe essere recuperata sferrando un “dictionary attack“. Meglio, quindi, non correre rischi ed invitare tutti a cambiare la propria “master password“.