Quello di cui stiamo per parlarvi è un déjà-vu che nessun utente LastPass si augurerebbe di rivivere: era già successo nel 2011 con conseguenze gravissime e, stando a quanto si legge in una email diffusa a tutti gli utenti ed in un annuncio pubblicato sul sito web, ancora una volta alcuni malintenzionati hanno attaccato l’infrastruttura alla base del celebre gestore password remoto. Questa volta, però, i danni non sarebbero gravissimi.
Lo scorso Venerdì il team di sicurezza di LastPass ha rilevato attività sospetta sulle sue reti, pur rassicurando i suoi utenti che le cassaforti cifrate contenenti le credenziali d’accesso ed i relativi siti web sono al sicuro; a trapelare, invece, altri dati come gli indirizzi email ed i cosiddetti “password reminders”, ovvero gli indizi che gli utenti scelgono per ricordare la propria password.
Nonostante ciò non sia lesivo per la sicurezza delle password, la fuga di indirizzi email potrebbe portare a fenomeni di spam – tra l’altro già confermati da numerosi utenti di LastPass a partire dall’8 Giugno, che a questo punto potrebbe rappresentare una potenziale data d’inizio dell’attacco.
Contiamo sul fatto che gli algoritmi di cifratura che utilizziamo possano proteggere a sufficienza i nostri utenti
scrive LastPass nell’email, che continua avvisando gli utenti di aver abilitato automaticamente la verifica via email: nel caso in cui ci si loggherà in LastPass usando un indirizzo IP e/o un dispositivo non conosciuto, verrà richiesto un ulteriore codice di autenticazione da ricevere tramite posta elettronica. Inoltre, in via del tutto preventiva, agli utenti sarà suggerito di modificare anche la master password.
Cosa significa questo per noi utenti LastPass? Principalmente 3 cose:
- le casseforti sono al sicuro, per cui nessuna password né username né sito web associati alla nostra identità è in mani sbagliate;
- verrà attivata una sorta di autenticazione a due fattori nel caso si entri in LastPass da un IP o da un dispositivo precedentemente sconosciuto, questo per limitare al minimo potenziali intrusioni non autorizzate;
- è caldamente consigliato modificare la master password di LastPass come misura aggiuntiva di sicurezza.
Considerazione personale: Io stessa sono e resterò una felice utente di LastPass, tuttavia sono questi i casi in cui pubblicizzo la scelta di tenere al sicuro i dati più importanti – ad esempio le credenziali dell’indirizzo di posta principale, le coordinate del sistema di home banking, il pin della carta di credito e via dicendo – direttamente nella mia testa oppure in un gestore password completamente offline quale potrebbe essere KeePass.