LastPass sta introducendo degli aggiornamenti per gli account, ecco perché.

Forse hai notato che ultimamente abbiamo chiesto ai nostri clienti di applicare alcune modifiche ai loro account LastPass. Alcuni esempi includono l’obbligo di impostare una password principale più lunga e più complessa per soddisfare i requisiti di conformità alle buone prassi raccomandate, nonché la richiesta agli utenti di eseguire nuovamente la registrazione con l’autenticazione a più fattori (MFA). Tutte queste modifiche hanno l’obiettivo di offrire maggiore protezione ai nostri clienti e ora vogliamo contestualizzarle, condividendo maggiori informazioni sul motivo delle nostre richieste, ovvero un panorama delle minacce che continua a evolversi. I nostri clienti potranno così comprendere meglio PERCHÉ queste modifiche sono importanti. Per offrire maggiore chiarezza, parleremo di queste novità recenti, indicando quali sono le minacce che le hanno rese necessarie e come questi aggiornamenti siano stati appositamente progettati per difenderti. Requisiti di aggiornamento della password principale Perché sono stati introdotti? Tutti sanno che una password con un maggior numero di caratteri garantisce più protezione e resilienza. Ma questo è solo l’inizio. Il livello di sicurezza di una password è un concetto complicato, che include vari fattori diversi, quali lunghezza, complessità e imprevidibilità. Le attuali linee guida dell’Istituto nazionale per gli standard e la tecnologia (NIST) prescrivono che le password generate da esseri umani debbano includere almeno 8 caratteri (NIST 800-3B); tuttavia, alla luce delle recenti evoluzioni osservate nelle tecnologie di violazione delle password e negli attacchi di forza bruta, e considerando allo stesso tempo la naturale tendenza umana a creare password prevedibili e facili da ricordare, le raccomandazioni attuali stabiliscono la necessità di password ancora più lunghe. I nuovi requisiti di lunghezza della password principale introdotti da LastPass sono solo parte di una serie progressiva di iniziative volte ad aiutare i nostri clienti a proteggersi meglio sia dalle minacce informatiche attuali che da quelle emergenti. In passato, anche se le password principali di 12 caratteri sono l’impostazione predefinita di LastPass dal 2018, i clienti che preferivano non avvalersi di questa opzione potevano creare password principali con meno caratteri. Implementando password principali con 12 caratteri di lunghezza come requisito obbligatorio e applicando un maggior numero di iterazioni di PBKDF2 (introdotte qualche mese fa), stiamo aiutando proattivamente i nostri clienti a generare chiavi di crittografia più potenti e resilienti. Dettagli sui nuovi requisiti Da aprile 2023, tutti i nuovi clienti LastPass e i clienti che reimpostano la password principale hanno l’obbligo di usare almeno 12 caratteri per creare o aggiornare questa password. Da gennaio 2024 LastPass estenderà lo stesso requisito di 12 caratteri di lunghezza alle password principali di tutti i clienti. Per applicare questo aumento del numero minimo di caratteri, i clienti dovranno accedere al loro account LastPass per confermare uno dei due scenari seguenti:

• Per i clienti che confermano di avere già una password principale di 12 caratteri non è richiesta alcuna azione, visto che rispettano già i requisiti di conformità al nuovo criterio.
• Ai clienti che non sono ancora conformi al nuovo criterio verrà invece richiesto di creare una nuova password principale di 12 o più caratteri.

Per i clienti che dovranno aggiornare le loro password principali, ecco un elenco di buone prassi da seguire:

• Usa almeno 12 caratteri, anche se consigliamo di aggiungerne qualcuno in più.
• Usa almeno uno dei seguenti tipi di caratteri: lettere maiuscole, minuscole, numeri e caratteri speciali.
• Scegli una frase che sarai in grado di ricordare, ma che non è facile da dedurre (p.es. una passphrase).
• Accertati che sia una frase solo tua.
• Non usare il tuo indirizzo email come password principale.
• Non usare dati personali nella tua password principale.
• Non usare sequenze di caratteri (p.es. "1234") o caratteri ripetuti (p.es. "aaaa").
• Assicurati di non riutilizzare la tua password principale su altri account o applicazioni.

Perché non ho ancora ricevuto la richiesta di modificare la mia password principale? Questo criterio verrà implementato nella nostra base clienti in più fasi: i primi a ricevere le notifiche email saranno i nostri clienti Free, Premium e Families, seguiti dai clienti Teams e Business verso fine gennaio 2024. Per la comodità dei nostri utenti finali, LastPass permette ai clienti di scegliere quanto tempo deve trascorrere fra gli accessi all’account prima che venga richiesto l’inserimento della password principale. Data la presenza di queste impostazioni di accesso personalizzate, non siamo in grado di fornire una stima di quando il tasso di adozione di questa iniziativa raggiungerà il 100% di tutti i nostri clienti. Imposta le opzioni di recupero dell’account prima di modificare la password principale Come modificare la tua password principale Controllo incrociato delle nuove password principali sul dark web Il mese prossimo LastPass inizierà anche ad applicare controlli immediati sulle password principali nuove o reimpostate, confrontandole con un database di credenziali violate per garantire che la password selezionata non sia stata esposta sul dark web in passato. Se la password viene rilevata in una violazione passata, un pop-up “Avviso di sicurezza” comunicherà all’utente che la password che ha scelto è già stata esposta e che occorre selezionare un’altra password per continuare. Perché procediamo in questo modo?  La risposta è semplice: le password esposte sono facili da violare. I moderni strumenti di violazione delle password sono in grado di inserire interi elenchi di password note nei loro set di dati e questa capacità riduce drasticamente il tempo necessario per dedurre le credenziali di un account. Richiedere ai nostri utenti di selezionare una password che non sia già stata esposta ne rende molto più difficile la violazione. Cos’è il Monitoraggio del dark web? Come abilitare il Monitoraggio del dark web in LastPass Nuove registrazioni con autenticazione a più fattori (MFA) A maggio 2023 LastPass ha introdotto nuove misure per semplificare la nuova registrazione con MFA per i clienti Business non federati che usano metodi di autenticazione comuni, come Microsoft Authenticator, Google Authenticator o LastPass Authenticator. La nuova registrazione per l’autenticazione Grid sarà disponibile presto e i clienti potranno scegliere di effettuare nuovamente la registrazione con Microsoft o Google. Perché procediamo in questo modo?  Come indicato nelle nostre comunicazioni sull’incidente di sicurezza di marzo 2023, la reimpostazione dell’MFA è obbligatoria, poiché riduce il rischio derivato dall’esposizione passata del backup della base dati relativa all’MFA e alla federazione di LastPass. Se non l’hai ancora fatto, avvia manualmente una nuova registrazione all’MFA per i clienti non federati. Puoi trovare istruzioni dettagliate su come procedere nel nostro bollettino sulla sicurezza. In conclusione Ricapitolando, queste modifiche vengono applicate in risposta a un panorama delle minacce informatiche che continua a evolversi. Il nostro obiettivo è aumentare la protezione dei nostri clienti. LastPass non ti chiederà mai di intraprendere un’azione o di apportare modifiche senza uno scopo ben preciso, e faremo sempre di tutto per comunicartelo con la massima trasparenza. Segui i post del blog di LastPass per scoprire le novità future e le ultime notizie sulle minacce che colpiscono i metodi di autenticazione, sul nostro settore e sui nostri clienti.