Gli utenti di LastPass che hanno password principali deboli potrebbero dover aggiornare le proprie chiavi di accesso che hanno salvato con il servizio.
Secondo un annuncio del 23 dicembre della società, il servizio di gestione delle password LastPass è stato violato nell’agosto 2022 e l’aggressore ha acquisito le password crittografate degli utenti. Ciò indica che l’attaccante potrebbe essere in grado di utilizzare l’ipotesi della forza bruta per violare le password del sito Web di alcuni utenti LastPass.
Quando la violazione è divenuta pubblica per la prima volta da LastPass nell’agosto 2022, sembrava che l’aggressore avesse ottenuto solo dati tecnici e codice sorgente, non dati sui consumatori. Ma dopo aver condotto un’indagine, l’azienda ha appreso che l’aggressore ha utilizzato queste conoscenze tecniche per hackerare il dispositivo di un altro dipendente. Il tutto al fine di rubare le chiavi di crittografia per i dati dei clienti conservati in un sistema di archiviazione cloud.
A causa di ciò, i metadati dei clienti non crittografati, inclusi “nomi aziendali, nomi degli utenti finali, indirizzi di fatturazione, indirizzi e-mail, numeri di telefono e indirizzi IP da cui gli utenti utilizzavano il servizio LastPass”, sono stati messi a disposizione dell’attaccante.
Sono stati prelevati anche depositi crittografati appartenenti ad alcuni clienti. Ogni cliente che utilizza il servizio LastPass memorizza le password del proprio sito Web in questi depositi. Fortunatamente, i caveau hanno una password principale che li crittografa, impedendo all’intruso di leggerli.
La dichiarazione di LastPass
Secondo una dichiarazione di LastPass, il sito utilizza una crittografia all’avanguardia per rendere assolutamente impossibile per un utente malintenzionato leggere i file del vault senza la password principale e afferma in particolare:
Questi campi crittografati sono ancora protetti dalla crittografia AES a 256 bit e possono essere sbloccati solo utilizzando una chiave di crittografia speciale derivata dalla password principale di ogni utente che utilizza la nostra architettura Zero Knowledge. Ricorda che LastPass non ha mai accesso e non tiene traccia della password principale.
Tuttavia, secondo LastPass, se un utente ha scelto una password principale debole, un utente malintenzionato potrebbe essere in grado di utilizzare la forza bruta per indovinare questa password. Oltre a decrittografare il caveau e ottenere tutte le password del sito Web dell’utente. LastPass spiega:
È fondamentale ricordare che se la tua password principale non segue le [migliori pratiche consigliate dall’organizzazione], ci vorranno molti meno tentativi per indovinarla correttamente. In questa situazione, dovresti prendere in considerazione ulteriori precauzioni di sicurezza modificando le password di tutti i siti Web salvati.
Con Web3, è possibile fermare gli hack dei gestori di password?
L’attacco LastPass dimostra un punto su cui gli sviluppatori Web3 hanno discusso per anni. Gli accessi al portafoglio blockchain dovrebbero prendere il posto del meccanismo di accesso convenzionale con nome utente e password.
Gli accessi con password tradizionali, secondo l’opinione dei sostenitori dell’accesso al portafoglio crittografico, sono fondamentalmente insicuri poiché richiedono l’archiviazione degli hash delle password sui server cloud. Questi hash possono venire interrotti se vengono presi. Un utente che utilizza la stessa password su molti siti web corre il rischio che tutti i suoi account vengano compromessi se solo una delle sue password viene rubata. Tuttavia, la maggior parte degli utenti fa fatica a ricordare numerose password per vari siti web.
Le soluzioni offerte dal web3
Le applicazioni Web3 offrono una soluzione alternativa al problema. Non hanno bisogno di salvare una password nel cloud utilizzando portafogli di estensione del browser come Metamask o Trustwallet per accedere utilizzando una firma crittografica.
In ogni caso, finora solo le applicazioni decentralizzate sono state supportate dalla standardizzazione di questo metodo. Al momento non esiste un protocollo stabilito per l’utilizzo di portafogli crittografici per gli accessi nelle app tradizionali che richiedono un server centralizzato.
Tuttavia, un’attuale Ethereum Improvement Proposal (EIP) cerca di cambiare questa situazione. La proposta “EIP-4361” mira a fornire uno standard di accesso web onnicomprensivo che funzioni sia per le applicazioni centralizzate che per quelle decentralizzate.
Se l’industria Web3 adotta e aderisce a questo standard, i sostenitori prevedono che alla fine tutti i siti Web elimineranno gli accessi con password. Riducendo così la possibilità di hack del gestore di password come quello che si è verificato a LastPass.