Last Pass subisce attacco hacker, gli utenti devono cambiare la Master Password

da Bitdefender Security Specialists, att. 07 November 2016

"Nella nostra indagine non c'è prova che gli utenti abbiano subito un furto dei dati, né che gli account degli utenti LastPass siano stati violati" secondo Joe Siegrist, CEO di Last Pass, dal suo blog post di lunedì.

"l'indagine ha comunque mostrato  che gli indirizzi email di LastPass, le password reminder, i server e le authentication hashes  sono state compromesse".

Le password salts e hashes aiutano a criptare le password degli utenti in stringhe di caratteri impossibili da trovare - almeno in teoria.

Cosa possono fare gli hacker con la tua password LastPass?

Forzare gli account o organizzare campagne di phishing mirate con messaggi fasulli come "Aggiorna la tua master password LastPass", per esempio.

L'azienda dice che i dati criptati non sono stati presi, e che le password immagazzinate in Last Pass sono salve. Last Pass è anche sicura che gli attacchi non possono aprire lucchetti crittografati degli utenti dove sono stoccate le loro password.

"Siamo sicuri che le nostre misure di sicurezza sono sufficienti per proteggere  una vasta maggioranza di utenti" scrive Siegrist. "LastPass rafforza l'autenticazione hash con un random salt e e 100.000 rounds of server-side PBKDF2-SHA256.  L'ulteriore rafforzamento rende difficile attaccare gli hash rubati con ogni velocità significativa": 


PBKDF2-SHA256 è un algoritmo di password rafforzativa che rendono i brute-force un processo lento e intensivo.

Nondimeno, le aziende consigliano gli utenti di loggarsi al servizio da nuovi congegni o indirizzi IP per verificare le loro identità via mail o attraverso two-factor authentication.

E' una caratteristica di sicurezza che richiede all'utente di confermare l'identità inserendo un codice spedito al congegno dopo aver inserito le credenziali.

Bitdefender Security Specialists

Bitdefender Labs