LastPass 4.0

Fate attenzione a dove inserite la vostra password di LastPass!

Giuseppe Tripodi

LastPass è uno dei più famosi gestori di password, che ha di recente ricevuto un importante aggiornamento e che ci permette di dimenticarci dei nostri dati di accesso, collegando tutte le nostre parole chiave alla cosiddetta Master Password, l’unica che dobbiamo ricordare.

Come molti altri servizi del genere, anche LastPass utilizza una gestione in cloud delle password, il che potrebbe non essere necessariamente un vantaggio. Durante la conferenza hacker ShmooCon, il CTO dell’azienda di sicurezza Praesidio Sean Cassidy ha mostrato quanto fosse facile ottenere tutte le password conservate in LastPass tramite un tentativo di phishing.

LEGGI ANCHE: Bug a “luci rosse” su OS X: NVIDIA dà la colpa ad Apple

 

Quando utilizziamo il  plugin di LastPass, questo ci propone una schermata di autenticazione quando non siamo autenticati su un sito di cui il gestore conosce la password. Il problema è che il pop-up proposto la LastPass è una comune pagina realizzata in HTML, CSS e Javascript, che è facilissima da riprodurre. Per questo motivo, Cassidy ha dimostrato come un malintenzionato può facilmente forzare un logout e successivamente mostrare un pop-up di autenticazione del tutto identico a quello di LastPass, ma che in realtà servirà ad ottenere tutte le password del malcapitato utente.

Uno dei due pop-up di LastPass è falso: impossibile distinguere quale
Uno dei due pop-up di LastPass è falso: impossibile distinguere quale

In generale, noi possiamo consigliarvi di autenticarvi sempre tramite il sito ufficiale di LastPass ed utilizzare la verifica in due passaggi, ma se volete saperne di più vi rimandiamo alla pagina di supporto realizzata da LastPass, in cui vengono spiegati quali siano effettivamente i rischi e come si stanno muovendo per ridurli al minimo.

Via: FastCompany