Una settimana fa, LastPass aveva confermato che lo scorso agosto degli hacker avevano avuto accesso alle casseforti di password degli utenti, che tuttavia restavano criptate e inacessibili. Ma in questi giorni, diversi esperti di sicurezza criticano l’ammissione della società, che sembra dare l’impressione che tutto sia sotto controllo. Quando invece il problema di sicurezza e la preoccupazione, secondo gli analisti di cybersecurity, restano.
Le casseforti di password di LastPass, gli esperti criticano la società
Il post del 22 dicembre di LastPass ha spiegato come gli hacker abbiano avuto accesso alle “vault” degli utenti. L‘attacco dello scorso agosto ha sottratto solo alcune informazioni tecniche. Che poi gli hacker hanno utilizzato per prendere di mira un dipendente di LastPass per ottenere privilegi sulla piattaforma, rubando informazioni sugli utenti e anche le loro casseforti di password. Che tuttavia restano criptate e sbloccabili solo con la vostra Master Password, che avendo almeno 12 caratteri diversi richiederebbe milioni di anni per essere sbloccata con la forza bruta.
Un’ammissione dell’attacco subito, che tuttavia ha tranquillizzato in parte gli utenti: gli hacker hanno le casseforti, ma non hanno modo di aprirle. Tuttavia, alcuni esperti pensano che queste dichiarazioni minimizzino il rischio per gli utenti.
I dubbi degli esperti
Waldimir Palant, un ricercatore di sicurezza che ha sviluppato software come AdBlock Pro, ha di recente criticato le parole di LastPass in un blog. Secondo lui, l’annuncio è “pieno di omissioni, mezze verità e bugie spudorate”.
La prima critica riguarda il fatto che la compagnia sembra trattare l’attacco di agosto e quello al suo dipendente per ottenere privilegi di amministratore come due eventi separati. Quando invece si tratta di una tattica comune da parte degli hacker. Inoltre, sottolinea che non sono solo le casseforti di password il problema: LastPass ammette che gli hacker hanno avuto accesso agli “indirizzi IP da cui i clienti accedono ai servizi di LastPass”. Il che permetterebbe di “creare un profilo completo dei movimenti” di un utente, se la piattaforma registra ogni indirizzo IP in cui fa login.
Un altro ricercatore, Jeremi Gosney, critica l’azineda perché pubblicizzare “la policy ‘conoscenza zero’ è una bugia spudorata”. Perché dice che induce gli utenti a pensare che le casseforti di password di LastPass siano completamente criptate, mentre sono un file di testo in cui solo alcuni campi sono cifrati.
L’importanza della Master Password
Palant contesta anche un’altra parte del discorso del CEO di LastPass, Karim Toubba. Nel post ufficiale infatti si legge che “servirebbero milioni di anni per indovinare la Master Password usando tecnologia di forzatura generalmente disponibile”. A meno che gli utenti “non abbiano utilizzato la Master Password per altri siti”, cosa che LastPass sconsiglia.
Secondo Palant, questo prepara il terreno affinché LastPass possa spostare la colpa verso gli utenti nel caso qualche cassaforte fosse forzata: colpa degli utenti che non hanno seguito le best practice consigliate.
Jeffrey Golberg, a capo della sicurezza della rivale 1Password, ha criticato inoltre la dichiarazione secondo cui servano “milioni di anni” per sbloccare una password a dodici caratteri. Infatti spiega che quei tempi sarebbero forse validi per una password di 12 caratteri generata in maniera casuale, mentre le password create dagli umani non sono altrettanto sicure.
Palant concorda, spiegando che le password create con il metodo XKCD, facili da ricordare per gli umani ma difficili da sbloccare per le macchine, potrebbero essere craccate in 25 minuti da un giusto software con una potente GPU. Componendo la password tirando dei dati, servirebbero 3 anni. Avendo raccolto anche i dati utente oltre che le cassaforti delle password, Palant pensa che servirebbe molto meno tempo agli hacker per entrare negli account LastPass.
Le critiche alla cifratura delle casseforti di password di LastPass
Gosney inoltre accusa LastPass di aver commesso ogni “errore da principiante della crittografia” nel proteggere le casseforti. Palant sostiene che l’algoritmo di rinforzamento password di LastPass risulta meno sicuro rispetto la competenza, spiegando che il numero di interazioni possibili da “indovinare” per sbloccarlo richiede meno interazioni dei servizi rivali.
Infatti lo standard PBKDF2 di LastPass utilizza 100 mila interazioni. Bitwarden, un rivale open-source, utilizza 100.001 interazioni nella creazione password, per poi aggiungerne altre 100 mila quando archivia nel cloud la password, arrivando a 200.001. Mentre 1Password utilizza 100 mila interazioni ma richiede anche una chiave segreta insieme alla Master Password, aumentando la sicurezza dell’account.
Palant inoltre fa notare che gli utenti che hanno registrato l’account prima del 2018, c’erano solo 5 mila iterazioni possibili di cifratura. All’epoca inoltre LastPass chiedeva solo 8 caratteri come minimo per le Master Password. Questo ridurrebbe la sicurezza degli account, anche perché Palant spiega che LastPass non ha richiesto agli utenti di aggiornare la password con notifiche.
I ricercatori inoltre spiegano che, sebbene le password sia criptate, gli URL dei siti registrati non lo sono. Questo permetterebbe agli hacker di tracciare un profilo degli utenti, che oltre a essere un problema per la privacy, renderebbe più semplice trovare le password.
Casseforti password rubate di LastPass: cosa fare?
Gli esperti di sicurezza sottolineano l’importanza di cambiare la vostra passoword per accedere alle casseforti, oltre che cambiare le password dei siti di maggior importanza, come quelli bancari, in modo da evitare problemi nel caso in cui gli hacker riuscissero a entrare nel vostro caveaut digitale.
Ma spiegano che questa breach non dovrebbe far perdere fiducia sui password manager archiviati in cloud. Non solo sono più comodi di archivi offline o taccuini pieni di password, ma sono più sicuri se gestiti nel modo migliore.
- Sbaraglia, Giorgio (Autore)
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🎁 La guida ai regali di Natale di Techprincess
🏆 I prodotti tech più interessanti del 2024
🎮 Quale console acquistare a fine 2024?
🕹️ Tutti i trailer e gli annunci dei Game Awards 2024
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!