LastPass: per 1Password non protegge abbastanza gli utenti

L’ultima violazione a cui è andata incontro LastPass ha fatto e sta facendo ampiamente discutere e ad esprimersi sulla questione è stata anche l’azienda concorrente 1Password, produttrice di un noto e ampiamente apprezzato password manager di natura commerciale. A detta del competitor, non vi è sufficiente protezione dei clienti.

LastPass: per 1Password i clienti non sono abbastanza protetti

Jeffrey Goldberg, Principal Security Architect di 1Password, ha infatti redatto un intervento apposito sul sito della sua azienda riguardo la rassicurazione diffusa da LastPass in merito al fatto che scegliendo le impostazioni di sicurezza predefinite gli hacker avrebbero impiegato milioni di anni per indovinare la password principale utilizzando la tecnologia di cracking delle password generalmente disponibile. Ciò sarebbe decisamente fuorviante.

Riportiamo di seguito, in forma tradotta, quanto dichiarato da Jeffrey Goldberg sulla questione.

Se si prendono in considerazione le possibili password di 12 caratteri, ci sono circa 2 elevato alla 72esima possibilità. Ci vorrebbero molti milioni di anni per provarle tutte. In realtà ci vorrebbe molto più tempo. Ma chi viola le password create dall'uomo non agisce in questo modo. Configurano i loro sistemi per provare prima le password più probabili.

Viene altresì fatto presente che la maggior parte della password generate dall'uomo può essere violata in circa di 10 miliardi di tentativi adottando un processo che a un malintenzionato costa circa 100 dollari.

Per Jeffrey Goldberg sarebbe possibile aggiungere un ulteriore livello di sicurezza che rende l'accesso al vault più complesso. 1Password, dal canto suo, prevede l’adozione di una password principale e di una chiave segreta generata dal dispositivo dell’utente che non è nota a nessuno e per poter accedere al valut bisogna usare entrambe.