Хакнат LastPass: Ето какво трябва да направите

Толкова много обичахме LastPass, че всъщност го нарекхме Най-добрият мениджър на пароли. Така че, когато история за хака избухна преди малко, всички бяхме в състояние на шок. Но това означава ли, че всеки трябва да се откаже от LastPass и да използва нещо друго? Безопасни ли са вашите пароли в облака? Можем ли отново да се доверим на компанията? Това се опитваме да разберем.

Не се паникьосвайте

Излишно е да казвам, че това е първото нещо, което трябва да се направи. Паниката или още по-лошо, разпространението на фалшива информация чрез която и да е среда, просто не е правилният начин за реагиране на криза. Макар че е естествено да се чувствате уплашени, когато четете новини като тази, трябва да осъзнаете, че ненужната паника просто няма никаква цел. В техните блог пост, LastPass изясниха и цитирам,

В нашето разследване не открихме доказателства, че са били взети криптирани данни от потребителския трезор, нито че е осъществяван достъп до потребителските акаунти на LastPass.

Да, продължава да се казва това

Разследването обаче показа, че имейл адресите на акаунта в LastPass, напомнянията за пароли, солите на сървър за потребител и хешовете за удостоверяване са били компрометирани.

Но, Какво това означава ли, питате? Казано просто, това означава, че докато всичките ви пароли са безопасни, друга информация може да не е. За което отново публикацията в блога вече съдържа няколко полезни съвета.

Да, данните от мениджърите на пароли се съхраняват в облака, но информацията е криптирана направо на вашия компютър. И въпреки че архитектурата на облачните изчисления включва лек риск, все пак можете да сте спокойни, знаейки, че всички криптирани данни никога не се съхраняват там. Които включват всичко вашите пароли.

Полезен съвет: Разгледайте нашите Крайно ръководство за пароли да знаете всичко за създаването и управлението на пароли в интернет.

Превенцията винаги е по-добра от лечението

Тази стара поговорка никога не би могла да бъде по-актуална, отколкото в тези времена на интернет подслушване и загуба на поверителност. Ето някои стъпки, които трябва да следвате, когато става въпрос за вашия LastPass акаунт, за да сте сигурни, че няма да загубите съня си при подобни инциденти.

Променете главната парола

За да промените главната парола на LastPass, просто щракнете върху Предпочитания, където ще намерите секцията Настройки на акаунта вляво. Щракването върху него ще ви даде възможност да Щракнете тук, за да стартирате настройките на акаунта както е показано по-долу.

Щракването върху него ще отвори нов раздел, където всичко, което трябва да направите, е да натиснете Промяна на главната парола бутон и отидете на по-нова (и по-силна) алтернатива.

Това е най-важната стъпка, която трябва да направите, след като този инцидент приключи!

2-факторна автентификация и други опции за сигурност

Смятаме, че е добра идея да използвайте 2-факторна автентификация където е възможно и особено на места, където се съхраняват чувствителни данни. LastPass е абсолютно правилен като предлага използването на тази услуга и смятаме, че трябва да направите това веднага, след като промените главната си парола. Всъщност, докато сте на това, помислете за добавяне на фактора за удостоверяване в 2 стъпки към всички услуги, които използвате, които съхраняват чувствителни данни.

В LastPass ще намерите Многофакторни опции в Настройки на акаунта (вижте по-горе). Тук ще намерите опции за допълнителна защита на вашия LastPass акаунт. Вие също ще видите Опция за удостоверяване на мрежата за които сме писали преди.

Ограничение според държавата

Друг слой сигурност, който LastPass изисква от своите потребители да изследват, е политиката за ограничаване в страната. След като бъде активирано, това ще позволи достъп до вашите LastPass данни само на устройства, произхождащи от държавата на вашето пребиваване. Ако устройство от друга държава се опита да получи достъп до него, те ще покажат съобщение за грешка. ние сме обхвана това много подробно и определено трябва да го прочетете, ако още не сте го направили.

Все още се притеснявате?

не бъди. Тук няма какво повече да се направи. LastPass вече актуализира своята сигурност и вече подканва потребителите да бъдат потвърдени по имейл, ако използват ново устройство или нов IP. За да проверим това, опитахме точно това и с радост съобщихме, че тази стъпка работи точно както се рекламира.

Съществуващите потребители също са подканени да променят своята главна парола, но дори и да не получите тази подкана, ние ви призоваваме все пак да го направите. И накрая, бихме искали да цитираме Джереми Госни (експерт по сигурността на паролите в Група стриктура), който говори пред Ars Technica за хака –

На NVIDIA GTX Titan X, който в момента е най-бързият графичен процесор за разбиване на пароли, нападателят ще може да направи само по-малко от 10 000 предположения в секунда за един хеш на парола. Това е правилно бавно! Дори слабите пароли са доста сигурни с това ниво на защита (освен ако не използвате абсурдно слаба парола.) И това дори не отчита броя на повторенията от страна на клиента, което е конфигурируеми от потребителя. По подразбиране е 5 000 итерации, така че като минимум разглеждаме 105 000 итерации. Всъщност моята е настроена на 65 000 итерации, така че това са общо 165 000 итерации, защитаващи моя пропуск за Diceware. Така че не, определено не се потя на това нарушение. Дори не се чувствам длъжен да променя главната си парола.

Всъщност доста членове на нашия собствен екип използват инструмента и ние сме направили точно същите неща, които посочихме по-горе. И сега искаме да разпространим знанията на възможно най-много хора.

Искате ли да опитате алтернативи?

Добре, ако смятате, че сте загубили вяра в LastPass поради всичко това, тогава, разбира се, винаги има алтернативи. Ако сте готови да инвестирате малко пари (и част от тази загубена вяра), тогава винаги има 1Парола. Играта е същата архитектура и мерки за сигурност, но Agilebits, компанията зад 1Password, има по-добър опит от LastPass. С това имаме предвид, че никога не е бил хакнат. Не е докладван, по-точно. Още.

Прехвърлете паролите си в iOS: Лесно е да прехвърлите вашите данни от LastPass към 1Password за iOS, след като прочетете нашата полезна статия за него.

Ако не желаете да харчите нищо, тогава има безплатна алтернатива. Нарича се KeepPass и също е с отворен код. И ние също сме писали ръководство за прехвърляне на вашите LastPass пароли в Keepass.

Въпреки че не е толкова удобен като 1Password, ако желаете да играете, могат да бъдат добавени няколко плъгина, които да съответстват на функционалността на неговия платен партньор. Това обаче изисква известно търпение, така че бъдете готови.

Нашите 2 цента

Много е лесно да обвините компания и да кажете, че не са били внимателни с вашите данни. Но това е толкова добре, колкото да обвинявате банките, когато има грабеж. Хората не са спрели да влагат парите си там и не трябва да спирате да се доверявате на мениджъри на пароли, само защото един е бил хакнат.

Дори не казваме, че сигурността е била слаба от страна на LastPass, но те определено трябва да вдигнат чорапите си. Не беше за първи път а заплаха е открита в тяхната система, но и двата пъти нищо сериозно не е откраднато/изгубено. Те действаха бързо и своевременно уведомиха потребителите и вече са се справили с проблема със сигурността, който доведе до това. С малко повече предпазни мерки можете да си осигурите много по-щастливо състояние на ума. Ако можете да прекарате цялото това време в мислене за банковото си салдо, сигурни сме, че можете да отделите няколко мисли и за паролите, които ги пазят?