LastPass: i gestori di password sono ancora consigliati?

La scorsa settimana, il noto e diffuso gestore di password LastPass ha segnalato una Lacune nella sicurezza. Secondo l'azienda, la violazione della sicurezza è avvenuta due settimane prima, quando gli aggressori si sono introdotti nel sistema in cui LastPass memorizza il codice sorgente del suo software. Da lì, gli aggressori hanno rubato parti del codice sorgente e alcune informazioni tecniche proprietarie di LastPass. I criminali informatici hanno saccheggiato il codice sorgente proprietario e la proprietà intellettuale dell'azienda, ma apparentemente non hanno avuto accesso ai dati dei clienti o dei dipendenti. Questo ha portato a domande da parte di utenti preoccupati: I gestori di password sono ancora utili? Gli esperti del fornitore di servizi di sicurezza informatica Sophos commentano come segue:

Se utilizzo LastPass, devo cambiare tutte le mie password?

Gli utenti possono naturalmente cambiare alcune o tutte le loro password, se lo desiderano. Tuttavia, secondo quanto riportato, questo incidente di sicurezza non ha nulla a che vedere con il fatto che i criminali informatici siano entrati in possesso di dati personali, tanto meno di password, che comunque non sono memorizzate in forma utilizzabile sui server di LastPass.

Come utente di LastPass, dovrei passare a un'altra soluzione?

Il fatto è che, secondo LastPass, non sono stati rubati né dati personali né password (criptate o meno), ma solo codice sorgente e informazioni protette dell'azienda stessa. L'affidabilità della sicurezza informatica di un'azienda dovrebbe basarsi sul modo in cui reagisce quando si verifica un bug o una vulnerabilità, soprattutto se l'errore dell'azienda non ha messo direttamente e immediatamente in pericolo gli utenti. Si raccomanda che il rapporto sull'incidente di LastPass e il FAQ e decidere su questa base un'ulteriore fiducia.

Il codice sorgente rubato non significa che gli hacker e gli exploit sono destinati a verificarsi?

Il codice sorgente è molto più facile da leggere e da capire rispetto all'equivalente "binario" compilato, soprattutto se è ben commentato e utilizza nomi significativi per elementi quali variabili e funzioni all'interno del software. In altre parole, questa fuga di codice sorgente potrebbe aiutare un po' i potenziali aggressori, ma in primo luogo quasi certamente non così tanto come si potrebbe pensare inizialmente, e in secondo luogo non fino al punto di consentire nuovi attacchi che non avrebbero mai potuto essere scoperti senza il codice sorgente.

Devo rinunciare del tutto ai gestori di password?

Le preoccupazioni fondamentali sarebbero giustificate se i gestori di password conservassero copie esatte di tutte le password sui propri server, dove potrebbero essere lette dagli aggressori o interrogate dalle forze dell'ordine. Ma nessun gestore di password basato sul cloud funziona in questo modo.

Perché dovrei usare un gestore di password?

• Un buon gestore di password semplifica l'uso delle password. Risolve il problema di scegliere e ricordare decine o forse centinaia di password, eventualmente rafforzate da 2FA.
• Un buon gestore di password non consente di utilizzare due volte la stessa password. Questo perché quando i criminali informatici scoprono una password, ad esempio compromettendo un sito web, utilizzano questa o altre password simili per cercare di accedere ad altri account.
• Un buon gestore di password può generare e memorizzare centinaia o addirittura migliaia di password lunghe, pseudocasuali, complesse e completamente diverse.
• Un buon gestore di password non permette di inserire la password corretta nella pagina sbagliata. Questo protegge gli utenti dal phishing, ad esempio.

Nota dell'editore: Un post dettagliato sul blog di Paul Ducklin, esperto di sicurezza di Sophos, con risposte dettagliate alle domande è disponibile all'indirizzo Sophos Naked Security per trovare.