Uso Lastpass. Oggi ho ricevuto un'email da loro che mi dicevano che i loro server erano hackato e probabilmente è stato copiato un database con indirizzi email e suggerimenti per il recupero.
Dear LastPass User,
We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.
We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.
We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.
Quanto è sicuro il metodo di recupero?
Proprio ora mi sono disconnesso dal mio account Lastpass e ho fatto un recupero. Si scopre che Lastpass memorizza una password una tantum sulla mia macchina (e su ogni macchina che ho usato per accedere a Lastpass), attivata da un link di ripristino inviato all'indirizzo di posta utilizzato per l'account Lastpass. Basta fare clic sul collegamento è sufficiente per sbloccare il database locale. Il link ha un identificatore lungo. Immagino che questo ID sia necessario per sbloccare la password locale una volta - se non la password potrebbe semplicemente essere copiata e abusata.
- Domanda: quanto è sicuro questo metodo, con quelle password una tantum su tutte le macchine in cui ho effettuato l'accesso?
Abuso di indirizzi email rubati
Gli indirizzi email rubati - quale rischio pongono?
Naturalmente non va bene che ancora una volta vengano rubati migliaia o milioni di indirizzi di posta validi e possano essere sfruttati per spam. Inoltre, poiché si tratta di tutti gli utenti di Lastpass, possono essere inviati via mail a Lastpass e indotti a inserire la loro password principale.
Quando accedo a lastpass, scarica il database utente e lo sblocca. Se questo accade in questo ordine, posso scaricare tutti i database per tutti gli utenti senza avere le loro password. Potrei quindi provare a sbloccare i database utilizzando un elenco di password standard come "password" e "1234567890", le solite cattive password. Questo si aprirà parecchio, e non notificherà Lastpass visto che non vedono molti tentativi.
Se il database non viene scaricato prima che la password sia convalidata, significa che il database è sbloccato in remoto, che non è quello che ci dicono. Destra?
- Domanda: si tratta di uno scenario possibile o questo metodo è protetto in qualche modo?
La connessione tra il browser addon e Lastpass è ovviamente crittografata, e non so se in qualche modo proteggono un database appena scaricato per evitare qualcosa del genere, ma alcune persone davvero intelligenti non saranno in grado di aggirare il problema crittografia?
Consigli per aggiornare la password principale
Mentre scrivono nella posta, Lastpass controlla ogni volta che qualcuno accede da una posizione sconosciuta e invia una mail per verificare che sia legittima. Questa è ovviamente una buona pratica. Quindi scrivono che richiederanno agli utenti di aggiornare la loro password principale. Perché? Non capisco. In che modo ciò impedirà ai criminali di sbloccare gli account più di quanto non sia attualmente? Lastpass dice che non vengono scaricate password, il che dovrebbe essere comunque impossibile perché non vengono memorizzate.
- Domanda: Allora, perché abbiamo bisogno di cambiare la password principale e in che modo renderla più difficile per i criminali?
impatto Hack
Questo "hack" può essere fatto senza avere tutti quegli indirizzi. Basta accedere utilizzando un indirizzo email casuale e seguire lo stesso scenario. La differenza è l'efficienza.
- Domanda: Se Lastpass è sicuro che protegga correttamente i miei dati e io uso una password sicura, nulla è cambiato, tranne che alcune organizzazioni criminali hanno ricevuto il mio indirizzo email, se non l'hanno già fatto?
Altri rischi?
Mi manca qualcosa? Quali altri rischi ci sono?