LastPass è stato hackerato, le password salvate sono a rischio

LastPass hackerato: cos'è successo?

Ieri LastPass ha comunicato in un suo post che hanno notato un accesso non autorizzato al loro cloud di dati.

Tra i dati sottratti ci sono quelli personali degli utenti (numero di telefono, indirizzo e-mail, indirizzo IP, indirizzo di fatturazione) e i vault contenenti siti e password crittografati.

Il fatto che siano crittografati implica che, affinché gli hacker possano ottenerli in chiaro, debbano conoscere la master password, ovvero la password utilizzata per proteggere tutte le altre password.
Ovviamente non la conoscono, ma questo comunque espone a rischi, perché potrebbero provare a fare bruteforcing (tentare password a caso finché non la azzeccano) oppure utilizzare altre tecniche di recupero della stessa.

Approfondiamo, in quanto le tue password potrebbero essere a rischio.

Quali rischi si corrono?

LastPass afferma nel comunicato che è estremamente difficile fare bruteforcing della master password.

Se l’utente segue le buone pratiche suggerite da LastPass, in particolare l’uso di una master password forte di almeno 12 caratteri con lettere, numeri e simboli, ci vorrebbero milioni di anni per il bruteforcing.

Altrettanto importante è che l’utente non utilizzi MAI la master password di LastPass su altri siti.
Questo perché la prima operazione che gli hacker fanno solitamente è cercare di incrociare i dati recuperati con altri leak che si trovano online, e provare a usare tali leak come master password.

Esempio: se sei stato oggetto di un data leak su Facebook e usavi la stessa mail di LastPass e password “password123”, la prima password che proveranno ad inserire come master sarà proprio quella.

Questa è la ragione per cui non bisogna mai e poi mai riciclare le stesse password su più siti, idealmente neanche le stesse mail o username per il login.