Tutti noi abbiamo centinaia di password che dobbiamo ricordare e gestire come social, siti, forum e anche conti bancari e carte di credito. Per evitare ciò molti di voi useranno un servizio per gestire le password come LastPass, ma attenzione usare questi servizi non è così sicuro come potreste pensare.
Infatti Sean Cassidy, esperto di sicurezza informatica, durante la conferenza ShmooCon ha mostrato come LastPass potrebbe essere facilmente colpito da un attacco pishing. Quando ci connetteremo ad un sito in cui vorremo accedere con il nostro account, LastPass ci chiederà di inserire la password principale per poter accedere. Questo meccanismo avviene tramite un pop-up che utilizza un normale codice di programmazione HTML. Ed è proprio qui il probelma, infatti un hacker potrebbe replicare alla perfezione lo stesso pop-up e quindi farci inserire le nostre credenziali in un sito malevolo e in un attimo tutte le password che avremo salvato ci verranno rubate. Per spiegare meglio tutto ciò, Sean Cassidy ha mostrato un esempio e, come potete vedere dall’immagine qui sotto, non si può capire quali dei due pop-up sia quello reale.
Il rischio pishing non certo è da imputare ad una particolare vulnerabilità di LastPass ma, in base al tipo di servizio offerto, in questo caso il rischio è maggiore. Il team di LastPass, una volta venuto a conoscenza del probelma, ha dichiarato di aver preso dei provvedimenti per cercare di limitare ulteriormente il rischio di pishing. È bene però ricordare che bisogna sempre prestare molta attenzione alle pagine in cui inseriamo le nostre credenziali, controllando che il sito sia sicuro, e, se usiamo un servizio che gestisca le nostre password, dovremo farlo con ancora più attenzione.