LastPass ha affermato che ci vorrebbero milioni di anni per decifrare la password principale di un utente, ma una società rivale afferma che il processo non richiederà così tanto tempo e potrebbe essere eseguito per soli $ 100.
LastPass, una famosa società di gestione delle password, è stata recentemente presa di mira quando i depositi dei dati dei clienti sono stati ottenuti tramite un attacco ad agosto.
Ora, il rivale dell’azienda, 1Password, reclami che LastPass non protegge abbastanza i dati dei clienti.
Un post sul blog del principale architetto della sicurezza di 1Password, Jeffrey Goldberg, spiega l’importanza di utilizzare password generate dalla macchina piuttosto che password generate dall’utente.
“Se si considerano tutte le possibili password di 12 caratteri, ci sono circa 272 possibilità. Ci vorrebbero molti milioni di anni per provarle tutte. In effetti, ci vorrebbe molto più tempo”, scrive.”Ma le persone che violano le password create dall’uomo non lo fanno in questo modo. Configurano i loro sistemi per provare prima le password più probabili.”
Goldberg osserva che la maggior parte delle password create dagli utenti può essere decifrata in meno di 10 miliardi di tentativi attraverso un processo che costa solo circa $ 100.
Questa è una cattiva notizia per l’utente medio, che in genere crea una password più breve e meno complessa di quella generata da una macchina.
Sottolinea che 1Password aggiunge un ulteriore livello di protezione: la chiave segreta. La chiave segreta di un cliente viene creata sul dispositivo, non viene mai inviata a 1Password ed è necessaria per decrittografare i dati dell’utente.
Quindi, sebbene un hacker possa teoricamente essere in grado di ottenere la password principale di un utente 1Password, è inutile senza la chiave segreta.
Il blog termina rassicurando gli utenti che 1Password ha fatto di tutto per proteggere i propri dati, anche se gli utenti non seguono le migliori pratiche e utilizzano password generate dalla macchina.
“Non siamo stati violati e non prevediamo di essere violati. Ma comprendiamo che dobbiamo pianificare di essere violati”, scrive Goldberg.”La chiave segreta di 1Password potrebbe non essere l’aspetto più user-friendly del nostro design incentrato sull’uomo, ma significa che possiamo affermare con piena fiducia che i tuoi segreti rimarranno al sicuro in caso di violazione.”
LastPass è stato criticato in passato per pratiche di sicurezza discutibili.
Nel dicembre 2021, i membri di LastPass hanno segnalato più tentativi di accesso utilizzando password principali corrette da varie località. La società ha assicurato ai clienti che gli attacchi erano il risultato di password trapelate in violazioni di terze parti.
