Impegno per la sicurezza

La sicurezza è la massima priorità per noi di LastPass, il che include risposte e risoluzioni rapide alle segnalazioni di bug o vulnerabilità. LastPass è capace di ottenere un elevato di sicurezza per i suoi utenti anche grazie alla nostra community, che mette alla prova la nostra tecnologia. Apprezziamo l’importante lavoro della community dei ricercatori di sicurezza nonché le segnalazioni responsabili dei problemi. Crediamo inoltre che quando il processo di sicurezza funziona come previsto, tutti ne traiamo vantaggio.

Nota: Se sei un utente LastPass e temi che il tuo account possa essere stato violato, compromesso o sia a rischio in altro modo, contatta il team del supporto di LastPass. Esamineremo il tuo problema e ce ne occuperemo nella maniera più adatta.

Invio di un report sulla sicurezza

Se sei un ricercatore ed esperto di sicurezza e ritieni di aver individuato un bug di sicurezza o una vulnerabilità in LastPass, ti preghiamo di seguire questi passaggi:

Leggi le FAQ sulla sicurezza di LastPass per accertare che il problema che hai individuato non sia già stato affrontato.
Invia il tuo report tramite BugCrowd, il nostro programma di bug bounty per segnalare problemi.
Includi un esempio di codice e uno screencast che dimostri chiaramente la falla, laddove possibile.
Illustra chiaramente in che modo il bug o la vulnerabilità influisca sui dati degli utenti o sui sistemi di LastPass.
Prima di postare pubblicamente quanto hai scoperto, concedici il tempo di esaminare il tuo report e risponderti, e di coordinarci ai fini della revisione e approvazione della segnalazione.
Evita di accedere ai dati degli utenti, di modificarli o di sottrarli illecitamente, ed evita altresì di perturbare la disponibilità di LastPass (inclusi gli attacchi DdoS).

Nel segnalare potenziali problemi, ti preghiamo di fornirci informazioni sufficienti a ricreare quanto hai individuato. Queste informazioni possono includere i passaggi esatti per riprodurre il bug, qualsiasi collegamento su cui hai fatto clic, le pagine che hai visitato, gli URL e qualsiasi indirizzo e-mail dell’account coinvolto. Includi anche un esempio di codice e delle immagini o una registrazione video che dimostrino chiaramente la falla da te scoperta.

Per crittografare le informazioni sensibili, puoi usare questa chiave pubblica:

visualizza la chiave pubblica

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.12 (GNU/Linux)

mQINBFRbmIEBEADRJNnM4zOZAXZa+STtZU1P84DIaHuvkwTIvwJgM8uEvsPPte8b
RGGFsH8TgosVEORXtPlumd+kNtZvncpMIE0FBnQ4NmX+guHKG/mVE9mDmRn5Qxad
TCZBZ/t/G0ZCZHZvdNyJjKPDq1SyN2ZeXPg+yfZkE8mQNS27NjFw2dtE/fzvBHaA
+OcH5Lj5Jyhd2oKNGIO9ipknmOb3uSYY+KZoTHUAo95J4PKJLAk6EK6d3vGhyNOZ
ssOu/lwq7FbNcahuP0WN+Hot1qxUwfGiOHJNEyz9Dq/kDMfgulANap+wkDtzrqN8
PhjkoZcYEW3iRlAybNS2g7mOjqRi1223zR6lEWjJ7alk08Ae6ahoKO1ZNYAGos5z
R+G2Vs6rN6omjYQEjZSUcanlr+StQFmN36GwxjAFLVFqYTnqB4BW6yuA5DJUxbJ0
Cr/b8GLwXYVTmZzkj3PVuvgVf68s4bK+fGkoqdLP9SVBKePGzUCWcLIv0+Jr4I8n
or9rvVXUxnzzVBXK/isrGclyVxFmIGNsrM+Apcs6Jk6JDDGb+VLcgcmcSShPsLbr
LvheOUeA9dqBmcnnJiQorJ5ht8xGe8hpy150BZVaU2CJkj5R7IMle2SNBrlaA+FX
3R9oSRaFYtmlcayqmnlPEWR5x7mhKuawuIhffvOefikT0YApQI8gITRp2wARAQAB
tC5MYXN0UGFzcyBTZWN1cml0eSBUZWFtIDxzZWN1cml0eUBsYXN0cGFzcy5jb20+
iQI9BBMBCgAnBQJUW5iBAhsDBQkJZgGABQsJCAcDBRUKCQgLBRYDAgEAAh4BAheA
AAoJEDPqE9cwQ3hUqK0QAKTSyv60uESScgabtjeHEo7GsWWnDEPZprTZaSBrhPq5
4XQWFk7e9fRwe/guucJt1A6CGf0Kpnc1SBHfMUV6Z91sV4syE5p/o0gW3gAlmxIl
T6zSJUvHVlxN1f+9Ae3WmlwgMA/L5zzBOGk2Cm4OedBVQmf+KZGwq/5CSwrX2k+S
h8xGgDNO8zv7+eNSBS7556pcBGRY1EQ/FvPpL/ACCI7fDSAj5rYOn94Kq8ebdeBZ
X8n9mvREKEbSmSkU/+t8cxWOIMPT0LUXI4Ev8Bn+c5KPKUx3IS+hMSHThWOQJcWL
CSOss7gywby02ejSDRfQ3Z4pMA2JaBrNu2GiBmyXzYLFKsoIN2Wlvzyo54mul2LV
alrEjwNSk2jxnMsCkaQZyBwnGH/nxzAWalLfAaU4Yk48sT0//Iep/i0Psz+X5btg
SZr/jJcQuy6SZpM2yqsDW6+eYMUtqGp89Lez0JauMrxL/2c3kypw3/QVB88ava4P
1f+dFtV23eNIFKQhxfp9V8ZVcxxWfsPk4roF3SV1BROr9zpa2h6rrOXSrmgbGQpI
TvEKLInuIcB8QzuuswkX5Lmg35mKGgNwj/QKRfmPn71YkaEpJ2ZLdGJPQ3028ozX
fdQ757dAGovq0lLnr1sI5ez+QhAAtubprd1lhDKW0TWjif0iOpLHthZUixp+2Up8
uQINBFRbmIEBEAC+hazKNyvlwSmV2tWK1UkpYDmzDdZrfUH8RcTQRbES23tB+rAY
XCJ7XIWDFdaobmmnP70PJ6rRzvfkvY4jazi/fc84vIKanh1K0o+/9LpaBkrtbZ40
uhTsHFXDqnpnc7mEbkWaABbsD3ggPgWynnQordhXtyBGSpkMaUk2luV/Ct5GVJog
Q38D87sveVIEckpBRom2GEkQUqXQdt+WCutL6bRnI0LoebPry0wlim9ZYOxBFaJr
DwRtWqcLmdUmx+SCpiAmKCG+qfrYoL3LJrYcJjvskRXowJOC2BS659nhmi4bBptz
H1vRDtttejBi2h/KRf+epbrkF1ES7NO/A5/zaH3B8BLbFLwjOQlJ9SwpgM1aGggD
CQyJ2aGfqC4iffro0L8673mx/7mgT5DJsO6duXRZP7ty6aF765Fn/Reh4g8cZhBz
XftzuLqd6Wb7ET0BxkDOeOz4b87WzQ7d1iz2qTqOXwyaxANJAINDyKm9b7oTs7k9
2cZc3N1dyyegCROVAWDS58zUSihyl7Cmq5V8uRUpz04jhe4v+IOK4KdzeMNwe/Lo
l4sssoBbmzj8Xet2TriEY0oMRh5hQHWSghLU7BrZvS4qEDDabJHGThym332MdDkQ
NezwxYt9SeiFwRyz2onUiBNzww6nFpuVv8xCYVYURUAv5eaVoHq9G6W82QARAQAB
iQIlBBgBCgAPBQJUW5iBAhsMBQkJZgGAAAoJEDPqE9cwQ3hUC0cQAKCemgzjGXK7
vwqExQTgKbytbS3+Diie+9yIcCXv/EYViFVatnjHp1tltpOcwUvaVBpJ8Vxj0p+y
y9V5cZA1I1jTcVxnV5Qnje+Xw4mgpN1ooWC3ZKJVZ/TTW95IjV19PbsWYwM+FsGs
Dm7GgjP+6/XqSg0EXBplCPueOQjRhtwtbxUIw6p3DF2Ueska+UdCNvE0wjLZirNM
h9jUn3strA/tQ2MNluF7u/di15Z3W4wHdeXx3JV4ccjxFDPX27aP7E/+vRMogc1u
aPzC/Qjhm4PrZuo1UYI4ZveRjZlpTd4WT5/kD+zVkttv9MRiH8eS6UpDBTOVDkmh
2FW0EiacCEP01Ws5iDeF4WGcBhdXoHpWw+Aj/0HE7Tz1kfzAsMUhlXCNtKB6BEvX
YLaEQyRJwHC8vfriZ6uTxfz1Kkyr6/iRxLKCfRmu3DhpC/H8bpKcEgslqseQ3PlT
2K70m1xBcbkrQRAZkjZ9kbgny28ogKzYHrmeazrLCVPGLm9DxGvjTG9VCpVEdrg9
cbY3ajrHSgXEXh9VlTmIcrs2z9JgLD65V0wN0N8yKA9cBwUb/b77WIwdwQ1crQ+M
Q9ZsNE+rzOhLgnSRHInrbM+prjI8ejxOj3UbAJWhZwqwPV7eVUBwl5hrzG6HN3E9
G+0VDkYx8QGax0PeiKAFd0Dr5+PNyjTr
=ZmTr
-----END PGP PUBLIC KEY BLOCK-----

Nota: Se per individuare le vulnerabilità hai impiegato strumenti automatici, tieni in considerazione che tali strumenti segnalano spesso falsi positivi.

Risposta ai report

In seguito alla ricezione di un report, intraprendiamo subito le azioni necessarie ad analizzarlo e determinarne la gravità. Nel tentare di risolvere il problema identificato, in base alla sua gravità, potremmo contattarti per richiederti informazioni aggiuntive. Distribuiremo le correzioni necessarie agli utenti interessati in base alla gravità del problema e al suo potenziale impatto. Chiuderemo quindi il report una volta risolto il problema o stabilito altrimenti che è chiuso.

FAQ sulla sicurezza di LastPass

Ho l’opzione di autenticazione a più fattori abilitata, ma LastPass ha inserito le mie credenziali in un sito prima che io immettessi il mio token di autenticazione multifattoriale. È un problema di sicurezza?

Perché l’autenticazione a più fattori possa convalidare il tuo token di autenticazione multifattoriale, è necessario disporre di una connessione Internet: se non fornisci un token di autenticazione multifattoriale valido, LastPass non ti consentirà di accedere ai dati decrittografati. A ogni modo, LastPass opera anche in modalità offline: archivia nella cache locale del tuo dispositivo una copia crittografata dei tuoi dati in modo che possa accedervi anche quando non disponi dell’accesso a Internet. Quando effettui l’accesso a LastPass, il software ti connette prima in modalità offline alla copia dei tuoi dati archiviata nella cache locale e poi tenta di connetterti in modalità online. Di conseguenza, possono verificarsi casi in cui LastPass inserisce le tue credenziali prima che tu immetta il tuo token di autenticazione multifattoriale. Se desideri che ciò non si verifichi, puoi eseguire la seguente procedura:

Accedi a LastPass.
Nel browser, seleziona l’icona di LastPass e poi Altre opzioni > Avanzato > Svuota cache locale.
Disconnettiti da LastPass.

Clicca qui per saperne di più.

Il mio programma antivirus mi ha avvertito che LastPass è un virus, un trojan o un file sospetto. Dovrei preoccuparmi?

Gran parte dei moderni programmi antivirus si affida a una rete fiduciaria per stabilire se un file rappresenti una minaccia. Sebbene tutti gli eseguibili da noi distribuiti siano firmati con un certificato digitale, dunque, ogni volta che rilasciamo una nuova versione del nostro software, i programmi antivirus solitamente la contrassegnano come sospetta fino a quando non viene distribuita a migliaia di utenti e/o gli utenti finali non aggiornano le definizioni dei virus. Se riscontri questo problema, ti preghiamo di eseguire la seguente procedura:

Scarica nuovamente i file in questione dalla pagina dedicata di LastPass.
Carica i file sospetti su Virus Total, un servizio che ricorre a decine di motori antivirus di prim’ordine per analizzare i file. A meno che i risultati indichino che molti di questi motori antivirus li considerano infetti, è probabile che i file siano sicuri.
Clicca con il tasto destro sui file e seleziona “Proprietà” dal menu contestuale, quindi scegli la scheda “Firme digitali”. Assicurati che i file dispongano di una firma digitale valida appartenente a “LastPass” e, se necessario, visualizzane il certificato. Ciò accerta che i file sono stati creati da LastPass e non sono stati modificati da terzi non autorizzati.
Se dopo questa procedura ritieni ancora che i file siano infetti o che non siano stati creati da LastPass, contattaci all’indirizzo security@lastpass.com.

Un utente ha condiviso un sito con me senza selezionare l’opzione “Permetti ai destinatari di vedere la password”, ma sono riuscito a visualizzarla ugualmente.

Quando le password memorizzate su LastPass vengono inserite in un browser come credenziali, il software non è più in grado di proteggerle. Di conseguenza, se un utente ricorre a LastPass per immettere una password condivisa su Chrome, ad esempio, il software non è più in grado di garantirne la sicurezza, che potrebbe venire compromessa dal browser, da un virus o dalla rete, oppure perfino dal sito Web finale cui viene inviata, come indicato anche nella nostra documentazione.
Il concetto dietro la protezione delle credenziali condivise attraverso LastPass ha una natura ben più ampia: se utilizzi LastPass per condividere password con i dipendenti o gli amici, ma in seguito ne revochi l’accesso, LastPass ti offre la possibilità di aggiornarle successivamente in modo facile e veloce. Dunque, anche se LastPass non può garantire una completa protezione delle password condivise al di fuori della sua sfera di azione (perché la sua portata si limita al browser), è tuttavia in grado di aiutarti a proteggerle consentendoti di modificarle rapidamente e distribuendo automaticamente tali modifiche a tutti gli utenti coinvolti nella condivisione.

Come funziona

Personale

Business

Prezzi

Risorse

Accedi

Report sulla sicurezza di LastPass