Il noto gestore di password LastPass ha annunciato un'importante novità per rafforzare la sicurezza dei suoi utenti: a partire dal prossimo mese, inizierà a crittografare gli URL memorizzati nei caveau personali. Questo passo mira a migliorare la privacy e la protezione contro violazioni dei dati e accessi non autorizzati, in linea con il processo di crittografia basato sul principio della conoscenza zero dell'azienda.
Quando gli utenti visitano un sito web, LastPass confronta l'URL con quelli memorizzati nel caveau delle password per inserire automaticamente le credenziali salvate. Nel 2008, quando LastPass è stato creato, gli URL non erano crittografati per ridurre lo sforzo sulle CPU e minimizzare il consumo energetico. Tuttavia, con l'avanzamento della tecnologia, LastPass è ora in grado di criptare e decriptare gli URL in tempo reale, senza impatti sulle prestazioni del browser.
La crittografia degli URL migliorerà la privacy dei clienti e mitigando ulteriormente i rischi, garantendo che gli URL relativi a specifici servizi o account rimangano privati.
Nel 2022, LastPass ha subito due violazioni che hanno portato al furto di codice sorgente, dati dei clienti e backup di produzione, inclusi i caveau delle password crittografate. Anche se solo i clienti conoscevano la master password necessaria per decriptare i caveau, i dati rubati includevano URL non criptati, fornendo preziose indicazioni su quali caveau potevano essere mirati per rubare credenziali di servizi finanziari. In seguito, è emerso che alcuni hacker sono riusciti a decifrare master password più deboli e utilizzare le credenziali memorizzate per rubare oltre 4 milioni di dollari in criptovalute.
La prima fase dell'implementazione di questa nuova funzione avverrà il mese prossimo, con la crittografia automatica dei campi URL primari per tutti gli account esistenti e nuovi. La seconda fase, prevista per la seconda metà dell'anno, vedrà la crittografia dei restanti sei campi relativi agli URL memorizzati nei vault. Gli utenti non devono intraprendere alcuna azione per ora, ma riceveranno istruzioni dettagliate via e-mail quando il rilascio inizierà il prossimo mese.