Il servizio di gestione delle password online LastPass ammette che persone non autorizzate hanno ottenuto l’accesso ai dati dei clienti quando hanno fatto irruzione in un sistema cloud di terze parti. Questi includono indirizzi e-mail e password. Tuttavia, molti dati devono essere crittografati.
All’inizio di dicembre 2022, aggressori sconosciuti hanno ottenuto l’accesso all’archiviazione cloud utilizzando i dati di LastPass. Per fare ciò, hanno attaccato un dipendente utilizzando le informazioni del codice sorgente acquisito nell’agosto 2022, ottenendo così i dati di accesso al cloud. A dicembre si diceva che le password dei clienti fossero sicure. Al momento non è noto quanti clienti siano interessati.
I dati sono stati copiati ma sono ancora protetti
LastPass sta ora facendo l’annuncio in una dichiarazione aggiornataGli aggressori hanno ottenuto l’accesso ai dati dei clienti come indirizzi e-mail, numeri di telefono e password. Si dice che i depositi delle password dei clienti copiati da un backup contengano URL non crittografati e dati crittografati come nomi utente e password. Tieni presente che gli URL possono anche contenere informazioni riservate.
I funzionari assicurano che i dati crittografati con AES a 256 bit siano efficacemente protetti da accessi non autorizzati. Per leggere i dati crittografati, gli aggressori dovrebbero derivare una chiave dalla password principale dell’utente. Tuttavia, la password principale viene memorizzata solo localmente sui dispositivi degli utenti.
Misure di sicurezza
Tuttavia, LastPass mette in guardia contro l’uso di password principali brevi e facili da indovinare. Perché poi gli aggressori possono indovinare le password tramite attacchi di forza bruta. Per rendere tali attacchi il più difficili possibile, LastPass utilizza il metodo di derivazione dipendente dalla password 2 (PBKDF2).
Inoltre, le password con una funzione hash crittografica e un valore salt vengono estese ad altre stringhe di caratteri selezionate casualmente. Il tutto viene applicato molte volte al risultato, in modo che la ricostruzione avvenga con attacchi di forza bruta e tavoli arcobaleno È diventato notevolmente più difficile.
Per impostazione predefinita, LastPass utilizza 100.100 iterazioni PBKDF2. SHA256 viene utilizzato come funzione hash. per questo gruppo Raccomanda l’Open Web Application Security Project (OWASP) 310.000 iterazioni. Gli utenti LastPass possono Imposta il valore nel tuo account.
Sicurezza garantita?
LastPass consiglia di crackare Password principali complesse create secondo le loro linee guida Insieme alla crittografia e PBKDF2 ci vorranno milioni di anni. Tuttavia, se vengono utilizzate password più deboli, i clienti devono modificarle. Inoltre, non dovresti mai utilizzare password identiche per diversi servizi online. Se questo è il caso, gli aggressori possono accedere a molti servizi con una password violata.
I clienti aziendali che utilizzano i servizi di accesso federali di LastPass non devono temere attacchi di forza bruta grazie alle misure di sicurezza aggiuntive, afferma LastPass. In caso contrario, l’ipotesi della password richiederebbe un numero significativamente inferiore di tentativi e gli utenti aziendali dovrebbero modificare le password memorizzate in LastPass.
Al fine di prevenire ulteriori incidenti di sicurezza, LastPass afferma di aver completamente ricostruito la propria infrastruttura IT con meccanismi di sicurezza aggiuntivi.
(A partire dal)
“Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore.”