Nel panorama dei password manager, LastPass è senza dubbio uno dei big, sia per popolarità che per qualità complessiva. Prodotto dalla nota azienda LogMeIn, uno dei più importanti sviluppatori di SaaS al mondo, LastPass vanta oltre 30 milioni di clienti, fra cui 85 mila lato business.
E non è un caso: come avremo modo di vedere, LastPass è uno dei password manager più completi sul mercato, le cui funzioni di base, ovvero quelle incluse come standard nei piani di abbonamento, sono in grado di soddisfare sia le esigenze dei privati che quelle degli utenti business.
Certo, questa qualità arriva a un prezzo, letteralmente, dato che i piani sono fra i più costosi del settore, mentre la versione gratuita si limita a un unico dispositivo. Le funzioni più avanzate inoltre sono disponibili solo sui piani di fascia superiore, o tramite componenti aggiuntivi. Detto questo, però, LastPass rimane sicuramente uno dei migliori gestori delle password attualmente sul mercato.
Tuttavia, LastPass ha subito una recente violazione, come avremo modo di dire più sotto. Tecnicamente, non ci dovrebbero essere risvolti negativi per l'utente finale, ma è doveroso da parte nostra segnalarvi la situazione.
LastPass - Piani e prezzi
Come dicevamo, i piani di LastPass si suddividono in due macro-categorie, Personale e Aziendale, abbastanza auto esplicative. Il piano business prevede strumenti avanzati come il controllo e la distribuzione dei metodi di autenticazione per onboarding e offboarding, report di sicurezza per gli amministratori e molto altro. Il piano Aziendale offre 14 giorni di prova gratuita, mentre per l'acquisto occorre registrarsi e contattare l'ufficio vendite per un preventivo.
Passando al piano Personale, le opzioni di abbonamento sono due, il piano Premium che, alle funzionalità garantite dal piano gratuito, aggiunge l'accesso da tutti i dispositivi dell'utente, condivisione da uno a molti, 1 GB di spazio di archiviazione criptato e molto altro.
Il piano Families, invece, offre fino a 6 vault singoli, con un pannello di controllo di amministrazione, affinché un utente principale possa gestire e controllare utenti e sicurezza della famiglia. Entrambi i piani personali offrono 30 giorni di prova gratuita.
Piani e prezzi:
- LastPass Premium: 2,90€ al mese con fatturazione annuale
- LastPass Families: 3,90€ al mese con fatturazione annuale
- Piani aziendali: solo su preventivo
LastPass - Installazione, app e prestazioni
LastPass, come tutti i password manager di alta qualità, offre un'esperienza utente intuitiva e piacevole: la registrazione è veloce e, una volta completata, è possibile scaricare le app per Windows, macOS, Linux, iOS e Android.
Tuttavia, il servizio da il meglio di sé con le estensioni per browser, disponibili per Google Chrome, FireFox, Micorosft Edge e Opera. Vale la pena sottolineare che è disponibile anche una versione per Edge nelle sue edizioni precedenti a Chromium.
L'aspetto migliore dell'esperienza su browser è la tecnologia SSO: dopo aver inserito la master password, l'estensione compilerà automaticamente password e credenziali su tutti i viti memorizzati. Sembra scontato, ma non tutti i password manager garantiscono questa funzione con questo tale di efficacia.
In ogni caso, vale la pena comunque scaricare le app, dato che è qui che potrete gestire tutte le impostazioni dell'account e i dati. Come dicevamo, download e utilizzo sono operazioni semplici e lineari e l'accesso richiede solo la master password. In alternativa, potete usare i dati biometrici, mentre da relativamente poco è stato introdotto anche l'accesso passwordless, tramite tecnologia FIDO.
Le prestazioni delle app sono notevoli, nei nostri test non abbiamo riscontrato rallentamenti né problemi su nessuno dei dispositivi che abbiamo associato all'account e il passaggio dalle app al browser è davvero fluido, come promesso dall'azienda.
A livello di design, le interfacce sono chiare, semplici e facilissime da consultare. Un punto particolarmente meritevole è l'ordine con cui i dati vengono organizzati nelle varie opzioni di menu. In questo modo, è facilissimo catalogare password, carte di credito, note e indirizzi in maniera ordinata.
Sì, perché, LastPass permette di salvare molto di più, oltre alle sole password, e tutti i dati sono facilmente condivisibili con altre persone in modo sicuro.
Un gradito extra è il monitoraggio del Dark Web, in cerca di possibili violazioni delle vostre password, inoltre il centro sicurezza di LastPass vi segnalerà password ripetute o troppo deboli.
Nel caso delle aziende, poi, ci sono delle ottime funzionalità aggiuntive, come 1 GB di spazio di storage criptato, l'integrazione dei servizi MFA per la protezione dei punti d'accesso dei dispositivi aziendali, con single sign-on per più di 1.200 applicazioni preintegrate.
Le opzioni di personalizzazione a disposizione degli amministrazioni, poi, sono numerose, con la possibilità di sfruttare più di 100 criteri per la gestione di utenti e dati.
Sicurezza
Passando alla sicurezza, LastPass ha un'ottima reputazione, grazie alla crittografia end-to-end tramite lo standard AES a 256 bit, con l'impiego della tecnologia TLS avanzata per la prevenzione degli attacchi in-transit.
LastPass non archivia le master password né le chiavi di autenticazione né in locale né sui propri server, inoltre l'azienda commissiona di frequente audit esterni ed è molto trasparente nella gestione degli incidenti. Di recente, LastPass ha subito una violazione, tuttavia, grazie ai meccanismi di sicurezza, spiegati nel dettaglio da parte dell'azienda, nessun dato dei clienti è risultato compromesso e, nonostante gli hacker abbiano avuto ben 4 giorni di accesso ai sistemi, la sicurezza degli utenti non è mai stata a rischio. Tuttavia, l'azienda ha da poco confermato che, durante l'attacco, sono stati rubati i vault dei clienti. Gli hacker hanno avuto accesso a una copia di backup dei vault, tuttavia, la policy di zero-knowledge di LastPass significa che nessuno a esclusione degli utenti, può avere accesso alla master password. Questo significa che gli hacker non possono accedere a questi vault, a meno che non riescano a ottenere le chiavi di sblocco tramite attacchi brute-force. Ma in questo caso, i criminali dovrebbero sperare che gli utenti abbiano usato una master password inefficace, una pratica che non è imputabile a LastPass. Se siete già clienti dell'azienda, assicuratevi di cambiare la master password immediatamente e di revisionare anche le password più importanti salvate nel vostro vault.
L'azienda si è rivolta a degli specialisti di sicurezza e ha comunicato la violazione agli enti pubblici preposti a questa funzione, inoltre ha continuato a comunicare tramite il suo blog, spiegando nel dettaglio cosa è accaduto e cosa si sta facendo per porvi rimedio. Nonostante la gravità dell'attacco, non ci sono dati che suggeriscano l'abbandono del servizio.
Conclusione
Non c'è dubbio: LastPass è uno dei migliori password manager in circolazione, sia per la qualità delle app e dei servizi, sia per gli elevati livelli di sicurezza e trasparenza raggiunti. Certo, esistono soluzioni meno costose, tuttavia, i piani individuali non sono irragionevoli e, soprattutto nei periodi di promozione, possono essere particolarmente appetibili.
In ogni caso, avete a disposizione 30 giorni (14 per le aziende) di prova gratuita per saggiare personalmente l'elevata qualità di LastPass.
In merito all'incidente occorso ad agosto, sebbene la violazione sia grave, non ci sono elementi che ci spingano a sconsigliare il servizio, dato che l'azienda adotta una seria policy di zero-knowledge circa le master password. E finché vi assicuriate di rispettare le basilari regole di sicurezza per la creazione di password uniche ed efficaci, è altamente improbabile che il vostro vault venga violato.