Lastpass subisce una violazione, ma password al sicuro

Lastpass, uno dei più grandi password manager al mondo (33 milioni di utenti dichiarati, 100 mila account aziendali), ha subìto una violazione informatica con conseguente furto dei dati (tecnicamente un databrech), il secondo episodio nel giro di pochi mesi, dopo l’attacco di cui la società statunitense è stata vittima ad agosto scorso. È quanto ha riportato l’agenzia di stampa Agi.

La piattaforma di proprietà di LogMeIn, che non ha comunicato le password di quanti utenti risultino coinvolte, ha spiegato che ad essere state compromesse sono state le informazioni di alcuni clienti archiviate in un servizio cloud di terze parti, “attualmente condiviso sia da LastPass che dalla sua affiliata, GoTo”. Il ceo di LastPass Karim Toubba ha assicurato che “le password dei clienti rimangono crittografate in modo sicuro”: solo gli utenti infatti possono decrittografare le credenziali memorizzate. È possibile che la violazione sia in qualche modo legata a quella di agosto, quando, secondo le indagini della stessa compagnia, c’era stato un accesso fraudolento all’ambiente di sviluppo dell’azienda, con il furto di parti del codice sorgente (il sistema aveva però impedito l’accesso ai dati dei clienti e alle password). I fatti di dicembre indicano che la violazione di agosto sia stata più intrusiva di quanto inizialmente previsto. Nella comunicazione agli utenti, Karim Toubba infatti ha spiegato che il databreach è avvenuto, utilizzando le informazioni raccolte dall’attacco precedente. “Stiamo lavorando diligentemente per comprendere la portata dell’incidente e identificare a quali informazioni specifiche è stato effettuato l’accesso”, ha detto sempre Toubba. Che succederà alle password contenute del database violato non è dato sapere. Sul tavolo resta, pesante come un macigno, però non solo il tema dell’utilizzo dei cloud da parte di queste società. Ma l’uso di datacenter di terzi: una delle principali preoccupazioni per l’82% dei professionisti della sicurezza dei dati. Per proteggersi dai databreach come quelli di Lastpass, le società dovrebbero avere una completa observability (termine che si riferisce ad un controllo dinamico di un sistema, qualcosa di molto di più pregnante di un monitoraggio o di una semplice osservazione) delle informazioni nel cloud, un orizzonte fondamentale per sapere dove sono i dati, chi vi accede e qual è il loro stato di sicurezza.

Per gli utenti di Internet, le password sono sempre state un incubo. Quelle lunghe e complesse sono più sicure ma difficili da ricordare, le credenziali deboli invece si ricordano, ma sono facili da indovinare. Secondo uno studio del National Cyber Security Centre del Regno Unito, milioni di persone utilizzano il nome del proprio animale domestico, i nomi delle squadre di calcio, la “password” e “123456” per accedere ai servizi online. Un hacker ha bisogno di circa due secondi per decifrare una password di 11 caratteri composta da soli numeri.

Se la password è più complessa, contenente numeri, simboli e lettere maiuscole e minuscole, il tempo necessario per decifrarla arriva a 400 anni. Le app di password manager possono essere di grande aiuto: conservano i dati, crittografando gli accessi in modo che siano possibili solo quando si inserisce la password principale. Oltre Lastpass, sul mercato i più noti sono 1Password (il miglior gestore di password a pagamento secondo il New York Times), Bitwarden (Il miglior gestore di password gratuito sempre secondo il NYT), Keeper, Dashlane, NordPass. Anche Apple Keychain e Google Chrome Password Manager sono gestori di password, ma scontano qualche limite se si usano dispositivi o browser non proprietari. Ci sono poi app, come HaveIBeenPwned, che consentono di sapere quando uno dei tuoi account è stato compromesso. Gli esperti raccomandano che le password e i gestori di password siano supportati dall’autenticazione a due fattori, per cui ti viene chiesto qualcosa come un codice monouso oltre a una password quando accedi utilizzando un nuovo dispositivo. C’è poi anche la possibilità di utilizzare una chiave di sicurezza come YubiKey, un token che puoi inserire nel tuo dispositivo per proteggere gli account ad alto rischio come la posta elettronica. Le app di autenticazione come Authy sono un’altra opzione. Questi generano un codice univoco da inserire nel sito.

[CREDIT PHOTO: ITALY PHOTO PRESS]