LastPass 4.0

Fate attenzione a dove inserite la vostra password di LastPass!

Giuseppe Tripodi

LastPass è uno dei più famosi gestori di password, che ha di recente ricevuto un importante aggiornamento e che ci permette di dimenticarci dei nostri dati di accesso, collegando tutte le nostre parole chiave alla cosiddetta Master Password, l’unica che dobbiamo ricordare.

Come molti altri servizi del genere, anche LastPass utilizza una gestione in cloud delle password, il che potrebbe non essere necessariamente un vantaggio. Durante la conferenza hacker ShmooCon, il CTO dell’azienda di sicurezza Praesidio Sean Cassidy ha mostrato quanto fosse facile ottenere tutte le password conservate in LastPass tramite un tentativo di phishing.

LEGGI ANCHE: Bug a “luci rosse” su OS X: NVIDIA dà la colpa ad Apple

 

Quando utilizziamo il  plugin di LastPass, questo ci propone una schermata di autenticazione quando non siamo autenticati su un sito di cui il gestore conosce la password. Il problema è che il pop-up proposto la LastPass è una comune pagina realizzata in HTML, CSS e Javascript, che è facilissima da riprodurre. Per questo motivo, Cassidy ha dimostrato come un malintenzionato può facilmente forzare un logout e successivamente mostrare un pop-up di autenticazione del tutto identico a quello di LastPass, ma che in realtà servirà ad ottenere tutte le password del malcapitato utente.

Uno dei due pop-up di LastPass è falso: impossibile distinguere quale
Uno dei due pop-up di LastPass è falso: impossibile distinguere quale

In generale, noi possiamo consigliarvi di autenticarvi sempre tramite il sito ufficiale di LastPass ed utilizzare la verifica in due passaggi, ma se volete saperne di più vi rimandiamo alla pagina di supporto realizzata da LastPass, in cui vengono spiegati quali siano effettivamente i rischi e come si stanno muovendo per ridurli al minimo.

Via: FastCompany
  • Timothy

    In realtà avendoli così a fianco è facile riconoscere che sono diversi. La spaziatura tra i Button Cancel e Log In in basso è differente, ed è lo stesso per quasi tutti gli elementi. Ovvio che però se uno non li avesse così a fianco sarebbe facilissimo confonderli. Fortuna che conservo ancora l’utilizzo della memoria per tutte le mie password. XD

    • a’ndre ‘ci

      qualche ora di studio pixel a pixel e sono identiche xD
      ma è uno sbattimento inutile xD

      • Davide

        infatti…sembra più una dimostrazione del rischio reale in cui si potrebbe incorrere!
        (anche il rosso è differente, ma parliamo di pixel, tonalità di colore, spazi: non mi sorprenderebbe se queste differenze le avessero messe loro stessi!)

    • Ramollo Camollo

      Che memoria! Io però 100 password non saprei nemmeno da dove cominciare a memorizzarle!

  • Ramollo Camollo

    Come dice l’articolo, basta usare l’autenticazione 2-step e si è a posto.

  • Luigi Papino

    Boh, io su chrome vedo la finestra sovrapposta alla bookmarks bar ed alla address bar, in più una freccetta che indica l’icona di Lastpass. Una pagina html non può disegnare lì.
    Forse è un problema di Firefox o non so, che non permette di distringuere i contenuti che provengono dai plugins e dalle pagine.