Vitalii Vodolazskyi/Shutterstock.com Se hai seguito il Fuga di dati LastPass scandalo, sai che c’è qualcosa di terribilmente sbagliato nella sicurezza di Internet. Le password non sono mai state una soluzione ideale per accedere ai tuoi account, ma è la migliore che abbiamo trovato dagli anni ’60. Siamo nel 21esimo secolo. È ora di andare avanti.
Cosa è successo con LastPass? Per riassumere la violazione dei dati di LastPass: gli hacker hanno rubato tutto. La società di gestione delle password ha subito una violazione dei dati torna ad agostoe, all’epoca, LastPass affermava che i dati dei clienti, gli account, i dati crittografati del caveau e le password principali erano al sicuro.
Tuttavia, con l’avvicinarsi del 2022, abbiamo appreso che quasi nulla di tutto ciò è vero. In successivi post sul blogla società ha ammesso che gli hacker sono stati “in grado di ottenere l’accesso a determinati elementi delle informazioni dei nostri clienti”. E più tardi di aver ottenuto un “backup dei dati del caveau del cliente”.
Secondo il post sul blog, i dati di backup contenevano “informazioni di base sull’account del cliente e relativi metadati, inclusi nomi di società, nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui i clienti accedevano al servizio LastPass”. Abbiamo contattato LastPass per ulteriori informazioni sui contenuti del backup rubato.
Durante tutta la saga, LastPass ha insistito sul fatto che le informazioni rubate rimanessero crittografate e che gli hacker potessero ottenere le informazioni sui clienti solo se avessero la password principale dell’utente. E se i clienti seguissero quelli di LastPass migliori pratiche, ci vorrebbero “milioni di anni” per decifrare le informazioni. Tale affermazione era smontato pochi giorni dopo dal concorrente di LastPass, 1Password.
Dove finiscono i clienti LastPass? Non in un buon posto. Per lo meno, dovrebbero cambiare manualmente ogni singola password negli account che utilizzano. Ma questo non aiuterà contro le informazioni che gli hacker hanno già rubato, il che è uno scenario da incubo. Non c’è davvero molto da fare se non sperare che gli hacker non rompano la password principale.
Come stai creando le tue password? Pattier_Stock/Shutterstock.com Ma non sono solo i clienti LastPass a doversi preoccupare. Indipendentemente dal fatto che tu utilizzi o meno un gestore di password, la sicurezza delle password si riduce a un punto centrale di errore: come crei le tue password e le password principali.
Creare una password complessa non è così semplice come si pensa. Solo le password veramente casuali sono al sicuro dagli attacchi di forza bruta, quando gli hacker effettuano più tentativi di password utilizzando migliaia o milioni di possibilità. In genere, questi tipi di attacchi vengono contrastati da tentativi di password limitati. Ma quando gli hacker hanno tentativi illimitati (come con i dati LastPass), è solo una questione di tempo prima che possano violare qualsiasi password.
Quindi, come crei la tua password principale o, se non usi un gestore di password, tutte le tue password? Generalmente, le persone usano dispositivi mnemonici per aiutarli a ricordare le loro password. Ad esempio, se usi il titolo del tuo film preferito per ricordare la tua password, Star Trek II: L’ira di Khan potrebbe diventare “$t4rTr3K2:7h#wR@tH0FkH@n.”
Sembra una password piuttosto complessa, vero? Sfortunatamente no. Come Jeffrey Goldberg sottolinea nella sua rimozione dell’affermazione sulla sicurezza di “milioni di anni” di LastPass, sono proprio quei tipi di password mnemoniche che gli hacker cercheranno di indovinare per primi.
A volte, gli utenti che non utilizzano gestori di password avranno uno schema di password piuttosto complesso per più account. Creano una password più o meno casuale, ma cambiano un carattere o due a seconda del loro servizio. Così “j$0&,81)*b?-” diventa “j$0&,81)*b?-Fb” per Facebook e “j$0&,81)*b?-tW” per Twitter, ecc. Questo potrebbe sembrare un buon schema, ma se solo una delle tue password viene violata con questo metodo, non ci vorrà molto per gli hacker intelligenti per dedurre tutte le tue password.
I gestori di password sono un’ottima soluzione per alcuni I gestori di password sono un’ottima soluzione a questo problema. E per la maggior parte, servizi come 1Password forniscono una sicurezza eccezionale e dispongono di più livelli di protezione e ridondanze per proteggere le tue password generate casualmente. Vale la pena sottolineare che 1Password non ha mai subito una violazione dei dati, tanto meno catastrofica, come ha appena subito LastPass.
Ma questo non significa che non lo faranno mai. E mentre teniamo in grande considerazione 1Password a Recensione Geek, nel mondo del crimine ad alta tecnologia, nulla è mai totalmente sicuro. I malintenzionati stanno lavorando tanto per sconfiggere queste protezioni quanto i professionisti della sicurezza devono costruirle. Ci sono troppi soldi e troppo potere da avere nel rubare le informazioni personali delle persone.
E c’è il problema della fiducia. A molte persone non piacciono i gestori di password perché non amano che tutti i loro dati risiedano presso una terza parte, non importa quanto sia buona la sicurezza. E la violazione dei dati di LastPass non farà che alimentare ulteriormente questa sfiducia.
L’autenticazione a due fattori è sufficiente? Jirsak/Shutterstock.com Tutto questo può sembrare accademico per coloro che utilizzano l’autenticazione a due fattori (2FA) per i propri account Internet. 2FA aggiunge un ulteriore livello di protezione, come l’invio di un messaggio di testo o la richiesta di utilizzare un’app come Authenticator (iOS, Androide) per ricevere un codice univoco ogni volta che accedi. Questo aiuta nel caso in cui malintenzionati indovinino la tua password. Verranno interrotti quando raggiungono la fase di accesso 2FA. Può anche fungere da segnale di avvertimento anticipato che qualcuno sta tentando di accedere ai tuoi account.
Servizi come istituzioni finanziarie, social media, datori di lavoro e molti altri consigliano vivamente (e in alcuni casi richiedono) agli utenti di abilitare questo livello di protezione. E si è rivelato un modo efficace per proteggere i tuoi account.
Ma 2FA non è infallibile. È buono quanto l’utente che lo utilizza. Ad esempio, i codici 2FA sono soggetti ad attacchi di phishing. Gli hacker intelligenti possono indurre gli utenti a fornire le proprie informazioni. A volte, i cattivi attori avranno accesso al tuo telefono e potranno accedere al codice 2FA in questo modo. In rari casi, gli hacker potrebbero persino falsificare il tuo numero di telefono per intercettare il tuo codice 2FA. E ci saranno sicuramente altri modi per sovvertire la protezione dei codici 2FA man mano che gli hacker diventano ancora più abili nel rubare informazioni.
Inserisci Passkey Yasu31/Shutterstock.com I professionisti della tecnologia conoscono queste debolezze nelle password da molto tempo. E l’anno scorso, giganti della tecnologia, incluso Apple, Google e Microsoft, tutti impegnati a introdurre una nuova misura di sicurezza nota come “passkey” per proteggere i dati dei propri clienti. I loro sforzi sono stati elaborati attraverso una joint-venture a livello di settore tecnologico nota come the Alleanza FIDO.
Una passkey è un metodo di autenticazione memorizzato localmente sul tuo dispositivo, come uno smartphone o un laptop. Quando crei la tua passkey, il tuo dispositivo diventa il tuo metodo di autenticazione e utilizza dati biometrici come scanner facciali, lettori di impronte digitali, scanner dell’iride e riconoscimento vocale per verificare la tua identità. Ciò significa che non dovrai mai più creare o ricordare una password. E, almeno per ora, le passkey non sono vulnerabili ai tradizionali metodi di hacking come attacchi di forza bruta e truffe di phishing.
Ma cosa succede se perdi il tuo dispositivo di autenticazione? La cosa grandiosa delle passkey è che le aziende che le sviluppano manterranno un backup sicuro della tua passkey nel caso in cui tu abbia bisogno di recuperarla. Ad esempio, Apple eseguirà il backup della tua passkey sul tuo portachiavi iCloud e potrai trasferirla tra dispositivi, anche nuovi, se necessario.
Mela e Google entrambi hanno introdotto Passkeys quest’anno. Microsoft ha introdotto la propria soluzione senza password nel 2021. I servizi tecnologici in tutto il mondo si stanno muovendo rapidamente per implementare la tecnologia per proteggere i propri clienti. Anche ai gestori di password piace 1Password, Dashlane persino LastPass, stanno adottando la tecnologia.
Quindi, ora che il 2022 sta volgendo al termine, è tempo di lasciarsi alle spalle il modello arcaico delle password e abbracciare un nuovo mondo online più sicuro.