Notizia @jdannychadwick
29 dicembre 2022, 14:13 EST | 1 minuto di lettura
Maor_Winetrob/Shutterstock Il gestore di password LastPass è stato coinvolto in uno scandalo di fuga di dati, con ogni aggiornamento che peggiora la situazione. Nel suo post più recente, la società ha assicurato agli utenti che le loro password erano al sicuro fintanto che seguivano le linee guida di LastPass. Oggi, il concorrente 1Password ha rilasciato una feroce confutazione.
Per riassumere lo scandalo della violazione dei dati, torna ad agosto, LastPass ha informato gli utenti di aver subito una violazione dei dati, ma che i dati e gli account dei clienti erano al sicuro. Tuttavia, al inizio dicembre, la società ha ammesso che gli hacker sono stati “in grado di ottenere l’accesso a determinati elementi delle informazioni sui clienti”, ma non ha specificato che tipo di informazioni potrebbero essere. E la scorsa settimanala società ha rivelato che gli hacker hanno ottenuto un “backup dei dati del caveau del cliente” ma che le informazioni contenute nel backup sarebbero inaccessibili se i clienti avessero una password principale complessa.
In particolare, LastPass ha affermato che se gli utenti seguissero le migliori pratiche, gli hacker impiegherebbero “milioni di anni” per indovinare una password principale.
Il concorrente di LastPass (e la nostra prima scelta per gestori di password), 1Password, ha contestato tale affermazione. In un post sul blogil Principal Security Architect dell’azienda, Jeffrey Goldberg, ha spiegato perché è fuorviante affermare che una password principale generata dall’utente richiederebbe milioni di anni per essere indovinata.
Sottolinea che le password generate dagli utenti sono intrinsecamente più decifrabili rispetto alle loro controparti generate dalla macchina perché gli esseri umani non generano password casualmente come fanno i computer. E che gli hacker sofisticati non proverebbero prima a decrittografare le password generate dal computer. Come usano generalmente gli umani dispositivi mnemonici per ricordare le password, gli hacker cercheranno prima di indovinare quei tipi di password.
Per rendere le cose più semplici, Goldberg ha utilizzato quella che chiama una “stupida analogia” (che in realtà è abbastanza adatta a comprendere l’affermazione). Supponi di essere andato al cinema e di aver dimenticato dove hai parcheggiato la macchina. Il primo posto in cui cercheresti il tuo veicolo sarebbe il parcheggio del teatro, non l’intera superficie della Terra. Nell’analogia, il parcheggio del teatro rappresenta le password principali mnemoniche generate dall’utente e l’intera superficie della Terra rappresenta le password principali casuali generate dal computer.
Se sono intelligenti (e probabilmente lo sono), gli hacker cercheranno prima le password più deboli generate dagli utenti piuttosto che provare a violare le password più forti generate casualmente. E hanno tentativi illimitati per ogni singolo utente nel database di backup.
Inutile dire che le cose continuano a non andare bene per LastPass. E sfortunatamente, se le tue informazioni fanno parte di quella violazione dei dati e hai utilizzato un metodo non casuale per creare la tua password principale, dovresti cercare modi per proteggerti dal potenziale crimine informatico.
Fonte: 1Password