Proteggiamo gli utenti di LastPass dal riutilizzo delle password

Come avrete già sentito più volte nelle ultime settimane, molti siti importanti, come LinkedIn e MySpace, hanno recentemente subito fughe di dati e incidenti di sicurezza. Purtroppo, con fughe di dati di questa entità, milioni di nomi utente e password sono ora a rischio di abuso da parte di chiunque. E il modo più semplice per gli attaccanti di utilizzare tali credenziali consiste nel cercare sistematicamente di accedere ad altri siti web con le stesse combinazioni di nome utente e password.

Per l’elevata frequenza con cui le persone riutilizzano le password, gli attaccanti possono ottenere rapidamente accesso agli account su altri siti web, in quello che è conosciuto come un “attacco di riutilizzo delle password”. Anche se gli altri siti web non hanno avuto problemi di sicurezza, i loro utenti sono ora a rischio in quanto hanno utilizzato le stesse password su più siti web. Siamo orgogliosi di offrire uno dei gestori di password più popolari del mercato, ma ciò non significa che il nostro servizio sia immune da questi tentativi. E poiché il riutilizzo delle password è una pratica molto comune (anche se pericolosa), facciamo tutto il possibile per proteggere i nostri utenti, anche se questo significa proteggerli da loro stessi.

Per questo motivo il nostro team di esperti in sicurezza controlla costantemente il web alla ricerca di nomi utente e password trapelati in seguito all’attacco ad altri siti web. Ogni volta che veniamo a conoscenza di nuove fughe di dati, ci procuriamo immediatamente gli elenchi di nomi utente e password trapelati e li confrontiamo con la nostra base utenti, per vedere se corrispondono agli account LastPass. Se viene individuata una corrispondenza, disattiviamo immediatamente l’account per proteggere il vault dell’utente. Questa è una cosa che il team di LastPass fa da anni per proteggere proattivamente i nostri utenti.

Quali misure abbiamo adottato?

Nel caso del recente incidente di LinkedIn, la violazione dei dati stessa si è verificata alcuni anni or sono, ma l’elenco di nomi utente e password è trapelato online solo ora. In risposta, abbiamo disattivato tutti gli account degli utenti LastPass che corrispondevano alle credenziali trapelate. Per chiarire, non vi sono state violazioni né problemi di sicurezza con LastPass, la nostra è stata semplicemente una misura proattiva per proteggere gli utenti che hanno riutilizzato le loro password su altri siti web violati.

LastPass ha la mia master password?

No, LastPass non ha le master password degli utenti. Quando le password trapelano da altri siti web, LastPass esegue su tali dati degli script che simulano un tentativo di accesso. Lo script esegue l’hash PBKDF2 standard che LastPass utilizza ad ogni accesso da parte degli utenti, e questo ci consente di sapere che la password inserita è corretta. Confrontiamo quindi i risultati dello script con gli hash delle password memorizzati nel nostro database. Se gli hash delle password corrispondono, sappiamo che la password è stata riutilizzata nell’account LastPass dell’utente e pertanto disattiviamo tale account.

Cosa possono fare gli utenti LastPass?

Se il vostro account è stato disattivato, vi verrà richiesto di accedere da una postazione affidabile per verificare e riattivare l’account. Per riattivare l’account:

  1. Accedete tramite il vault su web https://lastpass.com/
  2. Viene avviato il processo di riattivazione.
  3. Da lì, accedete mediante l’estensione o il vault su web e verrete indirizzati a ripristinare la vostra master password.

Se, quando tentate di accedere, appare un messaggio che vi dice che il vostro account è stato disattivato, andate semplicemente su https://lastpass.com per avviare il processo di verifica. Se accedete da un dispositivo sconosciuto o da una nuova postazione, vi verrà richiesto di utilizzare un dispositivo ritenuto affidabile in precedenza o di accedere da una postazione (indirizzo IP) precedente, da cui avete già effettuato l’accesso.

Una volta completata la verifica, potrete sbloccare il vostro account e aggiornare la vostra master password con una più forte.

Consigliamo vivamente di utilizzare la nostra Prova di sicurezza di LastPass per controllare se nel vostro vault sono presenti siti web con password riutilizzate. LastPass vi può poi aiutare a sostituire tali password con password più forti e uniche. Anche se non avete riutilizzato la master password di LastPass, è un buon momento per fare la Prova di sicurezza e accertare di avere una password diversa per ogni sito web che utilizzate.