Scegliere il gestore di password più adatto alle proprie esigenze in un mercato che ne offre una miriade può sembrare un’impresa ardua. In un contesto pandemico che favorisce l’aumento delle minacce informatiche, serve una soluzione per la gestione delle password che incorpori le migliori pratiche in materia di sicurezza e crittografia e sia in grado di far fronte a un panorama di cibersicurezza in continua evoluzione.
Un gestore di password ha lo scopo di ridurre il rischio di una violazione dei dati e aiutare le imprese a proteggersi. Bisogna assicurarsi che la soluzione adottata sia essa stessa adeguatamente protetta e offra gli strumenti necessari per poter effettivamente applicare politiche aziendali migliori.
Abbiamo basato LastPass su pilastri solidi come l’affidabilità e la sicurezza proattiva per proteggere in ogni momento ciò che gli utenti vi memorizzano in modo che possano affidarci i loro dati sensibili.
LastPass mette a disposizione di oltre 70.000 imprese una soluzione per la gestione delle password che possono usare e gestire in modo semplice per ridurre le difficoltà dei dipendenti e acquisire, allo stesso tempo, un quadro più chiaro e maggiore controllo.
«La sicurezza delle password è un problema che salta sempre fuori, ma con LastPass depenniamo la questione e andiamo avanti. Non riesco a pensare a un altro prodotto che sceglieremmo per gestire le nostre password o che sia anche solo minimamente paragonabile», racconta Jason Muir, responsabile delle operazioni informatiche presso MOQdigital.
Scopriamo come LastPass è progettato per tenere le vostre aziende al sicuro.
Come garantiamo protezione ai dati dei nostri clienti?
La protezione di un account comincia nel momento stesso in cui lo si crea. Il funzionamento di LastPass si fonda su un modello di sicurezza basato sul principio della conoscenza zero che assicura la protezione dei dati. Quando un utente crea la sua password principale, questa viene utilizzata per generare una chiave di crittografia univoca. Sia la password principale che la chiave di crittografia rimangono esclusivamente sul dispositivo dell’utente e non vengono mai trasmesse ai nostri server né condivise con LastPass. Senza la chiave di crittografia, i dati crittografati presenti nella relativa cassaforte sono privi di significato. Per garantire la massima sicurezza ai dati dei nostri clienti, adottiamo inoltre le migliori pratiche elencate di seguito:- Crittografia endpoint: i dati vengono crittografati esclusivamente a livello di dispositivo, prima di essere sincronizzati con LastPass per un’archiviazione sicura, per cui soltanto i legittimi proprietari sono in grado di decrittografarli.
- Crittografia AES a 256 bit: questo algoritmo viene ampiamente considerato impenetrabile ed è lo stesso tipo di crittografia utilizzata dalle banche e dall’esercito.
- Protocollo TLS per il trasferimento sicuro dei dati: anche se i dati sensibili sono già crittografati con AES a 256 bit, questo protocollo protegge la connessione con LastPass per salvaguardare ulteriormente i dati degli utenti.
- Processo di hashing con 100.100 iterazioni di PBKDF2 SHA-256 contro gli attacchi di forza bruta: rafforziamo la password principale e la chiave di crittografia contro gli attacchi di forza bruta su larga scala rallentando la possibilità di indovinarla.
- Password principale privata: LastPass non trasmette né memorizza mai la password principale per assicurare che l’accesso ai dati sensibili contenuti nella cassaforte rimanga protetto.
- Modello basato sul principio della conoscenza zero: i servizi di accesso federato di LastPass hanno lo scopo di assicurare che le credenziali fornite all’utente dal gestore dell’identità digitale non vengano rese note a LastPass e che tutti i dati salvati vengano crittografati sui server di LastPass.
Come teniamo la nostra infrastruttura al sicuro?
LastPass adotta le migliori pratiche anche per proteggere la nostra infrastruttura, aggiornandone ad esempio i sistemi regolarmente e utilizzando centri dati ridondanti al fine di ridurre il rischio che si verifichino tempi di inattività e singoli punti di errore. Per consentire ai clienti di considerare affidabile la nostra infrastruttura di sicurezza, adottiamo quanto segue:- Test di penetrazione e controlli regolari: ci avvaliamo dei servizi affidabili e all’avanguardia offerti da aziende terze operanti nel settore della sicurezza per effettuare test e controlli di routine del servizio e dell’infrastruttura di LastPass.
- Programma di bug bounty: il nostro programma di bug bounty incentiva le segnalazioni responsabili dei migliori ricercatori di sicurezza perché si traducono in un miglioramento del nostro servizio.
- Intervento trasparente sugli incidenti di sicurezza: il nostro team reagisce prontamente alle segnalazioni di bug e vulnerabilità e comunica con la nostra community in modo trasparente.
