La notizia che la sicurezza della rete LastPass è stata compromessa è, ovviamente, un problema serio. Il fatto che la società violata fosse una che fornisce un servizio di gestione delle password aumenta la serietà di una tacca, o dieci. Allora perché io, qualcuno che ha costruito una carriera scrivendo di sicurezza informatica, senza strapparmi i capelli? Ben al di là del fatto che non ne ho nessuno a cui strattonare, la violazione di LastPass non è un grosso problema per alcuni di noi come lo è per altri.
Non abbiamo trovato prove che siano stati presi dati crittografati del caveau degli utenti né che sia stato effettuato l'accesso agli account utente LastPass, ci dice un portavoce di LastPass. Allora, di cosa si tratta, potresti chiedere: dov'è il rischio? Beh, è duplice per come la vedo io. Innanzitutto, poiché gli indirizzi e-mail e i promemoria delle password associati sono stati compromessi, mi aspetto di vedere tentativi di phishing mirati sotto forma di falsi messaggi di reimpostazione della password principale. Mi piace pensare che non mi innamorerei di quelli.
come si ottengono più pagine di rune in lol?
Per quanto riguarda il secondo rischio, le password principali deboli saranno attualmente soggette a tentativi di cracking di forza bruta, per gentile concessione dei salt per utente del server e degli hash di autenticazione a cui si accede. Per quanto riguarda tali tentativi di cracking, il fatto che LastPass rafforzi quegli hash di autenticazione con un sale casuale e generi ulteriori 100.000 round di PBKDF2-SHA256 lato server per buona misura rende più difficile romperli. Tuttavia, se la password principale è scarsa, sarà comunque aperta agli attacchi di forza bruta; ci vorrà solo un po' più di tempo per romperlo.
Quindi LastPass sta forzando una modifica della password principale sulla maggior parte degli utenti e richiede la verifica dell'e-mail da coloro che accedono da un nuovo dispositivo o indirizzo IP. Tuttavia, non cambierò la mia password principale, né (diamo un'occhiata) da 442 giorni perché è casuale, è complessa, è lunga più di 25 caratteri, non viene utilizzata da nessun'altra parte e io può ricordarlo a memoria. Inoltre, è supportato dalle seguenti due parole magiche: autenticazione a più fattori.
Boom! Per quanto mi riguarda, tutto quello sforzo per entrare nella periferia della rete LastPass è inutile perché utilizzo una password principale complessa supportata dall'autenticazione a più fattori. Anche se la mia password principale fosse stata in qualche modo compromessa, l'attaccante avrebbe dovuto accedere alla mia YubiKey (un token fisico) per decrittografare il mio caveau delle password. Queste impostazioni avanzate sono gratuite e disponibili per gli utenti da un po' di tempo, inoltre non è necessario acquistare una YubiKey; se lo desideri, puoi utilizzare un'app scaricabile gratuitamente come Google Authenticator. Perché non dovresti utilizzare l'autenticazione a due fattori (2FA) in qualsiasi sito o servizio in cui viene offerta? No sul serio?
Parlando di impostazioni avanzate, ce n'è un'altra che uso che mi fornisce un ulteriore livello di fiducia nel fatto che i miei dati siano ragionevolmente al sicuro con LastPass, e questo è un blocco dell'accesso geografico. Puoi impostare restrizioni nazionali che ti consentono di decidere i paesi da cui è possibile accedere al tuo archivio di password. Lo tengo bloccato nel Regno Unito a meno che non stia viaggiando all'estero, nel qual caso abilito quella posizione specifica prima di partire. Oh, e non permetto nemmeno gli accessi dalle reti Tor. Paranoico, moi? No, solo ragionevole limitare l'accesso a quelle chiavi del regno. Come dovresti essere anche tu.
Ciò che mi preoccupa di più del compromesso LastPass non è, stranamente, il compromesso stesso ma la risposta ad esso; e soprattutto quello dei media, sia professionali che sociali. Sembra che ci sia una sensazione di piacere di fondo nel prendere a calci LastPass, e molti ti hanno detto di questo tipo di segnalazione. Ma cosa ci hai detto esattamente? Cosa è successo esattamente qui? Per quanto possiamo vedere, nessun dato crittografato della password è stato compromesso e LastPass è stato abbastanza trasparente nel divulgare l'evento e mettere in atto misure per garantire ulteriormente la fiducia degli utenti.
Cosa ci farebbero fare gli oppositori dei media? Tornare a carta e penna o magari a una soluzione più tecnica di cifratura? Ho visto entrambi suggeriti e nessuno dei due riduce il rischio per il Joe medio, anzi, proprio l'opposto. Forse passare a un altro provider di gestione delle password? Ancora una volta, in che modo questo aiuta quando non sai come risponderebbero quando – non se – subiranno una violazione? Almeno sai che LastPass è in gamba quando si tratta di rispondere alla violazione.
Per me, un gestore di password rimane l'opzione più sicura per la maggior parte delle persone e se segui il mio esempio e combini una password principale forte con l'autenticazione a più fattori e alcune opzioni di blocco dell'accesso, riduci il rischio di compromissione per quanto umanamente possibile.
E questo, caro lettore, è il motivo per cui non ho bisogno di cambiare la mia password principale; o il mio gestore di password per quella materia.