Lastpass hackerato: ecco cosa devi fare

LastPass ci è piaciuto così tanto che lo abbiamo definito il miglior gestore di password. Quindi, quando la storia dell'hack è scoppiata poco fa, eravamo tutti in stato di shock. Ma questo significa che tutti dovrebbero abbandonare LastPass e usare qualcos'altro? Le tue password sono sicure nel cloud? Possiamo fidarci di nuovo della compagnia? Questo è quello che stiamo cercando di scoprire.

Non fatevi prendere dal panico

Inutile dire che questa è la prima cosa da fare. Il panico, o peggio, la diffusione di informazioni false su qualsiasi supporto, non è il modo giusto per rispondere a qualsiasi crisi. Mentre è naturale sentirsi spaventati quando leggi una notizia come questa, devi capire che il panico inutile non serve a nulla. Nel loro post sul blog, LastPass lo ha chiarito e cito,

Nella nostra indagine, non abbiamo trovato prove del fatto che siano stati acquisiti dati crittografati del vault dell'utente né che sia stato effettuato l'accesso agli account utente di LastPass.

Sì, continua a dirlo

L'indagine ha dimostrato, tuttavia, che gli indirizzi e-mail dell'account LastPass, i promemoria password, i sali server per utente e gli hash di autenticazione sono stati compromessi.

Ma cosa significa, chiedi? In poche parole, significa che mentre tutte le tue password sono al sicuro, altre informazioni potrebbero non esserlo. Per cui, ancora una volta, il post sul blog ha già indicato alcuni suggerimenti utili.

Sì, i dati dei gestori password sono archiviati nel cloud, ma le informazioni sono crittografate direttamente sul tuo computer. E anche se l'architettura del cloud computing comporta un leggero rischio, puoi comunque stare tranquillo sapendo che tutti i dati crittografati non vengono mai archiviati lì. Che includono tutte le tue password.

Suggerimento utile: consulta la nostra guida definitiva sulle password per sapere tutto sulla creazione e gestione delle password su Internet.

Prevenire è sempre meglio che curare

Questo vecchio adagio non potrebbe mai essere più rilevante che in questi tempi di ficcanaso su Internet e perdita di privacy. Ecco alcuni passaggi che dovresti seguire quando si tratta del tuo account LastPass, per assicurarti di non perdere il sonno a causa di tali incidenti.

Cambia la password principale

Per modificare la password principale di LastPass, fai semplicemente clic su Preferenze, dove troverai la sezione Impostazioni account sulla sinistra. Facendo clic su questo ti darà la possibilità di fare clic qui per avviare le impostazioni dell'account come mostrato di seguito.

Facendo clic su questo si aprirà una nuova scheda, in cui tutto ciò che devi fare è premere il pulsante Modifica password principale e cercare un'alternativa più recente (e più forte).

Questo è tutto, il passo più importante che dovresti fare dopo aver fatto questo incidente!

Autenticazione a 2 fattori e altre opzioni di sicurezza

Riteniamo che sia una buona idea utilizzare l'autenticazione a 2 fattori ove possibile, e specialmente in luoghi in cui sono archiviati dati sensibili. LastPass è assolutamente corretto nel suggerire l'uso di questo servizio e riteniamo che dovresti farlo subito, dopo aver cambiato la tua password principale. Infatti, mentre ci sei, considera di aggiungere il fattore di autenticazione in due passaggi a tutti i servizi che utilizzi che contengono dati sensibili.

In LastPass, troverai le opzioni multifattore nelle Impostazioni account (vedi sopra). Qui troverai le opzioni per proteggere ulteriormente il tuo account LastPass. Vedrai anche l'opzione Grid Authentication di cui abbiamo già parlato.

Limitazione per paese

Un altro livello di sicurezza che LastPass richiede agli utenti di esplorare è la politica di restrizione basata sul paese. Una volta abilitato, ciò consentirà solo ai dispositivi originari del paese di residenza di accedere ai dati LastPass. Se un dispositivo di un altro Paese tenta di accedervi, mostrerà un messaggio di errore. L'abbiamo trattato in modo molto dettagliato e dovresti assolutamente leggerlo, se non l'hai già fatto.

Sei ancora preoccupato?

Non essere. Non c'è altro da fare qui. LastPass ha già aggiornato la loro sicurezza e sta già chiedendo agli utenti di essere verificati via e-mail, se utilizzano un nuovo dispositivo o un nuovo IP. Per verificarlo, abbiamo provato proprio questo e siamo stati felici di segnalare che questo passaggio funziona esattamente come pubblicizzato.

Agli utenti esistenti viene anche richiesto di modificare la loro password principale, ma anche se non ricevi tale richiesta, ti invitiamo comunque a farlo. Infine, vorremmo citare Jeremi Gosney (un esperto di sicurezza delle password di Stricture Group) che ha parlato con Ars Technica dell'hack -

Su una NVIDIA GTX Titan X, che è attualmente la GPU più veloce per il cracking delle password, un utente malintenzionato sarebbe in grado di effettuare meno di 10.000 tentativi al secondo per un singolo hash di password. È proprio lento! Anche le password deboli sono abbastanza sicure con quel livello di protezione (a meno che tu non stia usando una password assurdamente debole). E questo non tiene nemmeno conto del numero di iterazioni sul lato client, che è configurabile dall'utente. L'impostazione predefinita è 5.000 iterazioni, quindi come minimo stiamo esaminando 105.000 iterazioni. In realtà ho impostato il mio su 65.000 iterazioni, per un totale di 165.000 iterazioni che proteggono la mia passphrase di Diceware. Quindi no, sicuramente non sto sudando questa breccia. Non mi sento nemmeno obbligato a cambiare la mia password principale.

In effetti, alcuni membri del nostro team usano lo strumento e abbiamo fatto esattamente le stesse cose che abbiamo affermato sopra. E ora desideriamo diffondere la conoscenza a quante più persone possibile.

Vuoi provare alternative?

Va bene, se ritieni di aver perso la fiducia in LastPass a causa di tutto ciò, ovviamente ci sono sempre delle alternative. Se sei disposto a investire un po 'di soldi (e parte di quella perdita di fiducia), c'è sempre 1Password. È in gioco la stessa architettura e le stesse misure di sicurezza, ma Agilebits, la società dietro 1Password, ha un track record migliore di LastPass. Con ciò intendiamo che non è mai stato violato. Non è stato segnalato, per essere più precisi. Ancora.

Trasferisci le tue password in iOS: è facile trasferire i tuoi dati da LastPass a 1Password per iOS, dopo aver letto il nostro utile articolo su di esso.

Se non sei disposto a spendere qualcosa, allora c'è un'alternativa gratuita. Si chiama KeepPass ed è anche open source. E abbiamo anche scritto una guida per trasferire le password di LastPass su Keepass.

Anche se non è conveniente come 1Password, se sei disposto a giocare, è possibile aggiungere alcuni plugin per abbinare la funzionalità del suo peer a pagamento. Però ci vuole un po 'di pazienza, quindi preparati.

I nostri 2 centesimi

È molto facile incolpare un'azienda e dire che non stavano attenti ai tuoi dati. Ma va bene come incolpare le banche in caso di rapina. Le persone non hanno smesso di mettere i loro soldi lì e non dovresti smettere di fidarti dei gestori di password, solo perché uno è stato violato.

Non stiamo nemmeno dicendo che la sicurezza fosse lenta da parte di LastPass, ma hanno sicuramente bisogno di tirarsi su le calze. Non era la prima volta che veniva rilevata una minaccia nel loro sistema, ma entrambe le volte nulla di grave veniva rubato / perso. Hanno agito rapidamente e avvisato tempestivamente gli utenti e hanno già affrontato il problema di sicurezza che ha portato a questo. Con un po 'più di precauzione, puoi garantire uno stato d'animo molto più felice. Se riesci a passare tutto quel tempo a pensare al tuo saldo bancario, siamo certi che puoi risparmiare qualche pensiero anche per le password che li mantengono al sicuro?