LastPass ha subito un grave attacco nel 2022 dopo che gli hacker hanno ottenuto l’accesso ai dati sensibili degli utenti attraverso un exploit trovato sul computer di uno degli ingegneri che lavorano per l’azienda. A più di due anni da questo incidente, LastPass ha ora annunciato nuove misure per proteggere meglio i dati degli utenti, ai quali verrà ora richiesto di impostare una password principale più complessa.
LastPass ora richiede una password principale più complessa
In un post sul proprio blog, LastPass ha affermato che agli utenti verrà ora chiesto di impostare una nuova password principale per proteggere il proprio account sulla piattaforma. Questa nuova password deve contenere almeno 12 caratteri, mentre in precedenza la password principale doveva essere lunga solo 8 caratteri. La password deve inoltre contenere almeno un carattere speciale, un numero e una lettera maiuscola.
Secondo l’azienda, mentre il National Institute of Standards and Technology (NIST) afferma che le password devono essere lunghe almeno 8 caratteri, tecniche più avanzate di cracking delle password e forza bruta hanno motivato l’azienda a stabilire un nuovo standard più forte.
L’azienda sottolinea che dallo scorso anno a tutti i nuovi utenti o agli utenti esistenti che avevano bisogno di reimpostare la propria password principale veniva già chiesto di impostare una password di 12 caratteri. Con la modifica di oggi, a tutti verrà richiesto di aggiornare la propria password principale LastPass. LastPass afferma inoltre che controllerà un database per assicurarsi che la nuova password non sia stata divulgata in precedenza.
Applicando ora un requisito minimo di password principale di 12 caratteri, insieme agli aumenti dell’iterazione PBKDF2 che abbiamo fornito all’inizio di quest’anno, stiamo aiutando in modo proattivo i nostri clienti a creare chiavi di crittografia più forti e più resilienti per accedere e crittografare i loro dati del deposito LastPass.
Un grave incidente di sicurezza
LastPass non menziona esplicitamente l’incidente di sicurezza che ha colpito l’azienda nel 2022, affermando solo che i cambiamenti “vengono implementati in risposta all’ambiente delle minacce informatiche in costante cambiamento”.
All’epoca, gli hacker avevano accesso a dati quali password, nomi, e-mail, indirizzi, numeri di telefono e altro ancora dei clienti LastPass. L’anno scorso, LastPass ha rivelato che le credenziali per i server Amazon AWS utilizzati dall’azienda sono state rubate a un ingegnere DevOps attraverso una vulnerabilità trovata nella piattaforma multimediale Plex.
Sono state compromesse più di 15 milioni di password. In seguito all’incidente, LastPass ha adottato una serie di misure per prevenire attacchi futuri. L’ingegnere è stato aiutato a rafforzare la sicurezza della propria rete personale mentre ai sistemi LastPass venivano aggiunte nuove autenticazioni a più fattori.
Se aveste perso la fiducia in LastPass (anche a seguito delle nuove limitazione agli account gratuiti) e vorreste avere un’idea di quali altri password manager sono disponibili, vi invitiamo a visionare la nostra guida dettagliata.
