Fate attenzione a dove inserite la vostra password di LastPass!

Fate attenzione a dove inserite la vostra password di LastPass!
Giuseppe Tripodi
Giuseppe Tripodi

LastPass è uno dei più famosi gestori di password, che ha di recente ricevuto un importante aggiornamento e che ci permette di dimenticarci dei nostri dati di accesso, collegando tutte le nostre parole chiave alla cosiddetta Master Password, l'unica che dobbiamo ricordare.

Come molti altri servizi del genere, anche LastPass utilizza una gestione in cloud delle password, il che potrebbe non essere necessariamente un vantaggio. Durante la conferenza hacker ShmooCon, il CTO dell'azienda di sicurezza Praesidio Sean Cassidy ha mostrato quanto fosse facile ottenere tutte le password conservate in LastPass tramite un tentativo di phishing.

style="padding-left: 30px"

Quando utilizziamo il  plugin di LastPass, questo ci propone una schermata di autenticazione quando non siamo autenticati su un sito di cui il gestore conosce la password. Il problema è che il pop-up proposto la LastPass è una comune pagina realizzata in HTML, CSS e Javascript, che è facilissima da riprodurre. Per questo motivo, Cassidy ha dimostrato come un malintenzionato può facilmente forzare un logout e successivamente mostrare un pop-up di autenticazione del tutto identico a quello di LastPass, ma che in realtà servirà ad ottenere tutte le password del malcapitato utente.

Uno dei due pop-up di LastPass è falso: impossibile distinguere quale

Uno dei due pop-up di LastPass è falso: impossibile distinguere quale

style="text-align: left"

Commenta