[ Leggi dalla fonte originale]
I gestori automatici delle password sono diventati sempre più importanti nelle nostre vite digitali all’aumentare dei servizi e degli account che siamo costretti a usare quotidianamente. LastPass è uno dei più famosi e popolari, che nell’ultimo periodo sta vivendo una transizione.
LastPass ha recentemente cambiato le politiche di gestione degli account, in favore di un incremento degli abbonamenti a pagamento restringendo le funzionalità offerte a coloro che usano gli account gratuiti. Nelle ultime ore sono emerse delle inquietanti novità per alcuni utenti del servizio, i quali si sono visti forzare le proprie password principali senza un’apparente spiegazione.
LastPass, come tanti altri password manager, memorizza l’archivio password dei suoi utenti sui suoi server ma l’accesso all’account LastPass è protetto da una Master Password senza la quale non si può accedere a tutte le password sincronizzate con il proprio account. Tale password principale non sarebbe memorizzata sui server dell’azienda.
Nelle ultime ore sono tante le segnalazioni degli utenti LastPass che hanno ricevuto un’email secondo la quale era stato tentato l’accesso al proprio account tramite Master Password. Un messaggio molto inquietante perché è presagio di un possibile furto di tutte le password memorizzate sul manager e di conseguenza di tutti gli account ad esse collegati.
Fortunatamente tali accessi sono stati bloccati perché la mancata conferma della posizione geografica. Rimane però da spiegare come sia stato possibile che le Master Password siano trapelate. Qualcuno potrebbe insinuare che i server di LastPass siano stati violati e che l’azienda abbia memorizzato anche le Master Password.
LastPass ha precisato che sui suoi server non sono state rilevate attività anomale e che il furto delle Master Password potrebbe essere una conseguenza di attività illecite su altri servizi. Servizi sui quali gli utenti hanno usato come password proprio la Master Password oggetto del furto.
La situazione rimane ancora incerta: da una parte è difficile non credere alla buona fede di LastPass, dall’altra è difficile credere alla coincidenza in cui tanti utenti hanno usato la stessa Master Password su vari servizi e che gli stessi abbiano subito una violazione degli account non collegati a LastPass.