L’idea di salvare tutte le nostre credenziali d’accesso (sia username e password) in un’unica grande cassaforte, per poi usarle sui siti in maniera del tutto automatica è il fulcro del successo di LastPass: non dovremo più ricordare tutte le password a memoria, basterà ricordarci la master password di LastPass per salvare/recuperare ogni accesso.
L’utilizzo di uno strumento online per le password però richiede una maggiore attenzione all’aspetto sicurezza: LastPass è relativamente sicuro, ma i nostri comportamenti errati possono vanificare i nostri sforzi, lasciando alla mercé dei malintenzionati tutte le nostre credenziali. Se siete amanti del servizio LastPass ma desiderate tenere al sicuro le password, ecco i consigli da seguire per migliorare sensibilmente la sicurezza della nostra cassaforte.
Guida LastPass
Scaricare l’estensione e le app mobile
Possiamo scaricare le estensioni per browser dai seguenti link.
DOWNLOAD | LastPass (per Google Chrome)
DOWNLOAD | LastPass (per Mozilla Firefox)
Per smartphone e tablet possiamo utilizzare le seguenti app gratuite.
DOWNLOAD | LastPass (Android)
DOWNLOAD | LastPass (iOS)
DOWNLOAD | LastPass (Windows Mobile/Windows Phone)
Inserire un timeout
Normalmente LastPass lascia attiva la cassaforte anche dopo la chiusura del browser. Questo comportamento può essere lesivo per la sicurezza delle nostre password, specie se un altro utente usa lo stesso browser o lo stesso PC. Inserendo un timeout potremo chiudere la nostra cassaforte dopo un tot di tempo in cui siamo inattivi sul browser e/o dopo un tot di tempo dalla chiusura del browser.
Basta aprire l’estensione di LastPass (da loggati) e portarci nel menu Preferenze->Generali.
Consiglio di impostare la prima voce con 5 minuti (timeout per chiusura browser) mentre alla seconda voce possiamo impostare 10 minuti di timeout, ma siamo liberi di impostare i valori che ci aggradano.
NOTA: il timeout è regolato solo sul PC e/o sul browser corrente. Bisogna ripetere la procedura su ogni PC e/o ogni browser su cui usiamo il nostro account LastPass!
Usare l’autenticazione a due fattori
Un modo per aumentare sensibilmente la sicurezza è usare un sistema d’autenticazione a due vie: oltre alla master password sarà necessario inserire un codice generato da un’app apposita per smartphone, Google Authenticator.
DOWNLOAD | Google Authenticator (Android)
Per attivare la funzionalità basta aprire l’estensione LastPass, portarsi nella cassaforte tramite “La mia cassaforte di LastPass”e aprire nel menu Impostazioni Account il tab Multifactor Options.
Clicchiamo sul simbolo a forma di matita di lato all’opzione Google Authenticator per abilitare la procedura d’autenticazione a due fattori. D’ora in avanti per ogni accesso a LastPass sarà necessaria sia la master password sia uno smartphone configurato con il nostro personale Google Authenticator (che fornirà l’ulteriore codice d’accesso). A prova di phishing, malintenzionati e spioni.
Password usa e getta
Se il sistema a due vie vi sembra scomodo da applicare, possiamo benissimo usare (quando siamo su un PC pubblico o su un PC “estraneo”) delle password usa e getta! In questo modo anche se la password fosse prelevata (da occhi indiscreti o da un malware sul PC pubblico) non sarà più utilizzabile, essendo valida per un solo utilizzo.
Vien da sé che bisogna conservare con estrema cura il foglio (stampabile) delle password usa e getta, pena la perdita della sicurezza. In ogni caso possiamo annullare le OTP generate fino a quel punto ed ottenere delle nuove password usa e getta ad ogni occasione (consiglio di cambiarle ogni 30 giorni o dopo ogni utilizzo).
Per ottenere le OTP basta andare al seguente indirizzo Web ed autenticarsi con il proprio account LastPass.
LINK | OTP LastPass
Verificare accessi
LastPass ha introdotto di default la notifica via email per ogni nuovo device che accede al vostro account LastPass, indicando indirizzo IP, origine e sistema operativo. Scovare eventuali accessi non autorizzati è davvero molto semplice grazie a questa notifica, ma se vogliamo comunque disattivare qualche accesso passato (magari da qualche PC su cui non avremo mai più accesso fisico) e rimuovere accessi non autorizzati possiamo gestirle tutte aprendo l’estensione LastPass (da loggati) e portandoci su Altre Opzioni->Avanzato->Altre sessioni
Da questa finestra potremo disattivare tutte le sessioni finora attive di LastPass, lasciando o meno quella corrente.
Il miglior modo per chiudere una sessione attiva a distanza!
Occhio al phishing
Girano numerose le email truffa (phishing) in cui viene chiesto agli utenti di inserire le proprie credenziali LastPass per convalidare l’accesso. LastPass non chiede mai di inserire le proprie credenziali via email: occhio a non cadere nelle trappole tese da malintenzionati, pronti a sfruttare la nostra disattenzione o ingenuità!
Seguendo alla lettera i consigli di questa guida sarete comunque al riparo da eventuali tentativi d’accesso non autorizzati, ma sempre meglio verificare che la pagina LastPass a cui siamo stati reindirizzati e in cui desideriamo inserire le credenziali sia cifrata e sia identificata da un certificato valido come mostrato nell’immagine in basso.
Il nostro browser è in grado di capire se il server che siamo contattando è originale o un sito truffa, basta cliccare sul lucchetto verde nella barra degli indirizzi, meglio ancora se andiamo a leggere il certificato autenticato da enti predisposti allo scopo.