Un team dell'Applied Cryptography Group presso l'ETH Zurich ha analizzato tre popolari gestori di password cloud: Bitwarden, Lastpass e Dashlane. I tre fornitori coprono insieme circa 60 milioni di utenti e detengono il 23% del mercato.
I ricercatori hanno costruito server che si comportavano come se fossero violati e hanno adottato un modello di minaccia basato su server malevoli. Hanno dimostrato 12 attacchi su Bitwarden, 7 su Lastpass e 6 su Dashlane. Gli attacchi andavano da obiettivi su singole cassaforti utente alla compromissione completa di tutte le cassaforti di un'organizzazione. In molti casi il team è riuscito ad accedere alle password e talvolta a modificarle.
Il gruppo ha osservato che funzionalità user-friendly, come il recupero delle password e la condivisione, hanno aumentato la complessità del codice e la superficie d'attacco. I ricercatori hanno seguito la divulgazione responsabile e hanno dato 90 giorni ai fornitori per correggere i problemi. Tra le raccomandazioni: aggiornare i sistemi, offrire migrazione ai clienti esistenti e usare audit esterni e crittografia end-to-end attiva per default.
Parole difficili
- analizzare — esaminare attentamente per trovare problemi o errorianalizzato
- gestore — servizio che salva e organizza le password degli utentigestori
- server — computer che fornisce servizi e dati su una rete
- minaccia — possibile pericolo che può compromettere la sicurezza
- cassaforte — spazio protetto dove si conservano password o daticassaforti
- divulgazione — comunicazione controllata di problemi di sicurezza ai fornitori
- crittografia — tecnica che rende i dati illeggibili per estranei
- migrazione — spostamento dei clienti a un nuovo sistema o servizio
Suggerimento: passa il mouse o tocca le parole evidenziate nell’articolo per vedere definizioni rapide mentre leggi o ascolti.
Domande di discussione
- Preferisci un gestore di password con molte funzionalità user-friendly o uno più semplice e sicuro? Perché?
- Se il tuo gestore di password fosse violato, cosa faresti subito?
- Pensi che le aziende dovrebbero attivare la crittografia end-to-end per default? Spiega brevemente.
Articoli correlati
Controversie sul vaccino contro la peste suina nelle Filippine
La peste suina africana minaccia l'allevamento e la sicurezza alimentare nelle Filippine. Il governo presenta kit diagnostici e ha importato il vaccino AVAC dal Vietnam, ma esperti e allevatori contestano i risultati e la sicurezza.