Maor_Winetrob/ShutterstockIl gestore di password LastPass è stato coinvolto in uno scandalo di fughe di dati, con ogni aggiornamento che peggiora la situazione. Nel suo post più recente, la società ha assicurato agli utenti che le loro password erano al sicuro purché seguissero le linee guida di LastPass. Oggi, il concorrente 1Password ha rilasciato una feroce confutazione.
Per riassumere lo scandalo della violazione dei dati, ad agosto LastPass ha informato gli utenti di aver subito una violazione dei dati, ma che i dati e gli account dei clienti erano al sicuro. Tuttavia, all'inizio di dicembre, la società ha ammesso che gli hacker sono stati “in grado di ottenere l'accesso a determinati elementi delle informazioni sui clienti” ma non ha specificato che tipo di informazioni potrebbero essere. E la scorsa settimana, la società ha rivelato che gli hacker hanno ottenuto un “backup dei dati del caveau del cliente” ma che le informazioni contenute nel backup sarebbero inaccessibili se i clienti disponessero di una password principale complessa.
In particolare, LastPass ha affermato che se gli utenti seguissero le migliori pratiche, gli hacker impiegherebbero “milioni di anni” per indovinare una password principale.
Il concorrente di LastPass (e la nostra prima scelta per i gestori di password), 1Password, ha contestato tale affermazione. In un post sul blog, il Principal Security Architect dell'azienda, Jeffrey Goldberg, ha spiegato perché è fuorviante affermare che una password principale generata dall'utente richiederebbe milioni di anni per essere indovinata.
Sottolinea che le password generate dagli utenti sono intrinsecamente più decifrabili rispetto alle loro controparti generate dalla macchina perché gli esseri umani non generano password in modo casuale come fanno i computer. E che gli hacker sofisticati non tenterebbero prima di decrittografare le password generate dal computer. Poiché gli esseri umani generalmente utilizzano dispositivi mnemonici per ricordare le password, gli hacker cercheranno prima di indovinare quei tipi di password.
Per rendere le cose più semplici, Goldberg ha utilizzato quella che chiama una “stupida analogia” (che in realtà è abbastanza adatto a comprendere l'affermazione). Supponi di essere andato al cinema e di aver dimenticato dove hai parcheggiato la macchina. Il primo posto in cui cercheresti il tuo veicolo sarebbe il parcheggio del teatro, non l'intera superficie della Terra. Nell'analogia, il parcheggio del teatro rappresenta le password principali mnemoniche generate dall'utente e l'intera superficie della Terra rappresenta le password principali casuali generate dal computer.
RELATEDI 5 migliori gestori di password del 2022
Se sono intelligenti (e probabilmente lo sono), gli hacker lo faranno cerca prima le password più deboli generate dall'utente piuttosto che cercare di infrangere le password più forti generate casualmente. E hanno tentativi illimitati per ogni singolo utente nel database di backup.
Inutile dire che le cose continuano a non andare bene per LastPass. E sfortunatamente, se le tue informazioni fanno parte di quella violazione dei dati e hai utilizzato un metodo non casuale per creare la tua password principale, dovresti cercare modi per proteggerti da potenziali crimini informatici.
Fonte: 1Password