Nel 2022, il servizio di gestione delle password LastPass ha subito la sua ultima violazione significativa, che ha comportato la perdita dei dati del caveau del cliente (vedere”LastPass Shares Details of Security Breach”, 24 dicembre 2022). Mesi dopo, l’azienda ha finalmente fornito molte più informazioni sulla violazione, quali dati sono stati compromessi e come gli utenti dovrebbero rispondere. Le nuove informazioni sono utili, ma non mi fanno pentire di essere passato a 1Password.
In un post di blog accuratamente formulato, il CEO di LastPass Karim Toubba presenta una sequenza temporale più dettagliata di due incidenti concatenati, con il prima ponendo le basi per secondo. Quindi indirizza i lettori a un paio di bollettini sulla sicurezza con le azioni consigliate: uno per Utenti LastPass Free, Premium e Families e un altro per Utenti LastPass Business. Infine, riassume le azioni intraprese da LastPass per proteggere meglio i suoi sistemi. Ho particolarmente apprezzato l’ampio elenco di tutti i tipi di dati a cui è stato effettuato l’accesso, con note su quali campi sono stati crittografati e che non lo erano.
In particolare, la società afferma di non aver ricevuto notizie dall’aggressore né di aver visto alcuna indicazione dell’utilizzo dei dati.
Non c’è stata alcuna contatti o richieste effettuate e non è stata rilevata alcuna attività sotterranea credibile che indichi che l’autore della minaccia è attivamente impegnato nel marketing o nella vendita di qualsiasi informazione ottenuta durante uno dei due incidenti.
Se sei interessato a roba di sicurezza, vale la pena leggere i vari post e LastPass ha fatto un lavoro molto migliore nel comunicare questa volta, anche se è in ritardo. In particolare, se stai ancora utilizzando LastPass, ti consiglio seguire i consigli dell’azienda per:
Garantire la solidità della password principale Aumentare il numero di iterazioni della password Attivare o reimpostare l’autenticazione a più fattori Rivedere la dashboard di sicurezza Attivare il monitoraggio del dark web
LastPass non ha ha ancora reso disponibili le ultime due opzioni agli utenti di LastPass Free, ma la società afferma che le abiliterà a breve. È interessante notare che LastPass ha notevolmente aumentato il numero di iterazioni della password. Alcuni utenti di lunga data erano ancora impostati su quello che ora è un assurdamente basso 5.000, mentre i nuovi utenti avevano 100.000 iterazioni. Il valore predefinito ora è 600.000: è un grande cambiamento.
Mi chiedo cosa stia passando Karim Toubba. È entrato a far parte di LastPass come CEO nell’aprile 2022 e la prima violazione si è verificata pochi mesi dopo, nell’agosto 2022. La società è stata probabilmente in crisi da allora e l’entità dei cambiamenti (combinata con l’effettiva violazione, ovviamente!) suggerisce che la sua precedente posizione sulla sicurezza fosse problematica. Ci auguriamo che gli adulti siano ora al comando e stiano adottando le misure giuste per prevenire future violazioni.
Passaggio a 1Password da LastPass e Authy
Oltre alla mia irritazione per l’interfaccia e la funzionalità di LastPass e affidabilità, la violazione è stata l’ultima goccia, quindi sono passato a 1Password e ha importato i miei dati da LastPass. Ho scelto l’approccio di esportare i dati da LastPass e importarli in 1Password perché la funzionalità di importazione diretta di 1Password non funziona se hai attivato l’autenticazione a più fattori in LastPass. Non mi sentivo a mio agio nel disabilitarlo, nemmeno temporaneamente.
Non sono ancora pronto per eliminare tutti i miei dati da LastPass, ma questo è nella mia lista una volta che sono sicuro che 1Password ha tutte le funzionalità che desidero. Mi rendo conto che alcune persone non sono state contente dei cambiamenti in 1Password 8, ma come persona che non utilizzava particolarmente le versioni precedenti, non sono stato turbato. Sebbene non sia perfetto, 1Password è stato significativamente più elegante di LastPass, che non ha mai fornito nulla che assomigli a un’esperienza Mac o iOS nativa. Ciò è stato particolarmente vero nelle ultime settimane in cui ho utilizzato LastPass, quando sembrava che l’azienda stesse apportando rapidi cambiamenti nel tentativo di mostrare agli utenti che stava facendo qualcosa.
Mi piace particolarmente usare il mio Apple Watch per sblocca 1Password sul mio iMac da 27 pollici 2020 e sul mio orologio o Touch ID sul mio MacBook Air M1. LastPass ha introdotto l’autenticazione multifattore basata su app qualche tempo fa, ma non ha mai accettato correttamente l’input dalla sua app watchOS, costringendomi a estrarre il mio iPhone ogni volta per confermare l’accesso nella sua app iOS. Successivamente ho ripristinato l’autenticazione a più fattori di LastPass per utilizzare una normale password monouso basata sul tempo (TOTP) che ho memorizzato in 1Password, che la riempie automaticamente ogni volta che accedo a LastPass sul mio Mac: un netto miglioramento rispetto al tocco di un pulsante nell’app per iPhone di LastPass.
Il supporto di 1Password per TOTP è stata una grande vittoria. Ho iniziato presto con le app di autenticazione, quando Google Authenticator era l’unico gioco in città. Quando ho saputo che i suoi dati non sarebbero stati trasferiti su un nuovo iPhone (ora può farlo se riesci a scansionare un codice QR sul vecchio dispositivo), sono passato al Authy, che ha funzionato in modo accettabile e si sincronizza su Mac, iPhone e iPad. (Ho provato brevemente LastPass Authenticator, ma è disponibile solo per iPhone e iPad e odio passare al mio iPhone quando accedo al Mac.)
Authy fornisce Authy Desktop per Mac, ma ogni volta che voglio accedere a un account che richiede l’autenticazione a due fattori, devo avviare Authy Desktop, cercare il sito web (ho avere 28 account), fare clic su un pulsante per copiare il codice, tornare al browser Web e incollare il codice. Ho pensato di automatizzare il processo con Keyboard Maestro, ma non sarebbe altro che un fragile clic di scimmia. Il modo in cui 1Password compila automaticamente il TOTP come passaggio successivo nel processo di accesso è stato un enorme sollievo.
(Glenn Fleishman mi ricorda che potresti scegliere invece di utilizzare il supporto multipiattaforma di Apple per i TOTP, ma sul Mac, funziona solo all’interno di Safari.Se usi altri browser o app Mac, devi aprire Safari > Preferenze > Password o il pannello delle impostazioni/preferenze delle password, autenticare, cercare, fare clic e copiare; vedi il suo articolo,”Aggiungi codici a due fattori alle voci della password in iOS 15, iPadOS 15 e Safari 15″, 7 ottobre 2021. E, naturalmente, c’è l’intera vulnerabilità del portachiavi iCloud se il tuo iPhone e il passcode sono stati rubati; vedi”Come un ladro con il passcode del tuo iPhone può rovinare la tua vita digitale”, 26 febbraio 2023.)
Spostare la mia configurazione di autenticazione a due fattori da Authy a 1Password è stato complicato e ha richiesto molto tempo. Amazon Web Services è stato l’unico servizio che mi ha permesso di registrare 1Password come dispositivo di autenticazione aggiuntivo. Per tutti gli altri account, ho dovuto reimpostare l’autenticazione a due fattori o disattivarla e riattivarla. La minaccia di essere completamente bloccati da un account è spaventosa, quindi sto attento ad aggiungere il nuovo TOTP sia a 1Password che ad Authy (di nuovo) prima di eliminare il vecchio account in Authy. Anche se non prevedo di utilizzare Authy dopo aver configurato tutto in 1Password, sembra un utile backup se l’archiviazione del TOTP in 1Password insieme alle credenziali dell’account sembra problematica. Ricorda di registrare codici una tantum o”scratch”se un sito li offre quando abilita l’autenticazione a due fattori: possono essere un’ancora di salvezza se hai un’esplosione TOTP.
Proprio come con la copertura del Wall Street Journal dei furti di passcode di iPhone, sono arrivato a vedere la violazione di LastPass come un’opportunità per ripensare il mio approccio alla sicurezza delle password. Non ero del tutto soddisfatto di LastPass prima della violazione, ma non riuscivo a raccogliere l’entusiasmo per il passaggio. Ripulendo organicamente i duplicati e altri errori in 1Password, poiché ho bisogno di utilizzare i siti associati, posso sgranocchiare un’attività che sarebbe troppo enorme per affrontare tutto in una volta: ho oltre 900 accessi. Alla fine riuscirò a gestire le mie password meglio che mai.
Ma sarò comunque felice se il supporto passkey: vedi”Perché le passkey saranno più semplici e più sicure delle password”, 27 giugno 2022 —si diffonde rapidamente in modo tale che non ho bisogno di tutte queste password puzzolenti!