LastPass Hacked: Zde je to, co musíte udělat

LastPass jsme milovali natolik, že jsme ho vlastně nazvali Nejlepší správce hesel. Takže, když příběh o hacku před chvílí vypuklo, byli jsme všichni v šoku. Znamená to ale, že by se každý měl vzdát LastPass a použít něco jiného? Jsou vaše hesla v cloudu v bezpečí? Můžeme firmě znovu věřit? To se snažíme zjistit.

Nepropadejte panice

Netřeba dodávat, že je to první věc, kterou je třeba udělat. Panikaření, v horším případě šíření nepravdivých informací prostřednictvím jakéhokoli média, prostě není správný způsob, jak reagovat na jakoukoli krizi. I když je přirozené cítit strach, když čtete zprávy, jako je tato, musíte si uvědomit, že zbytečná panika prostě nemá žádný účel. V jejich blogový příspěvek, LastPass to objasnil a cituji,

Při našem vyšetřování jsme nenašli žádné důkazy o tom, že by byla pořízena zašifrovaná data uživatelského trezoru, ani o tom, že by byl přístup k uživatelským účtům LastPass.

Ano, říká se to dál

Vyšetřování však ukázalo, že byly ohroženy e-mailové adresy účtů LastPass, připomenutí hesla, soli serveru na uživatele a ověřovací hash.

Ale, co to znamená, ptáš se? Jednoduše řečeno, znamená to, že zatímco všechna vaše hesla jsou v bezpečí, ostatní informace nemusí být. K čemuž opět příspěvek na blogu již uvedl několik užitečných tipů.

Ano, data ze správců hesel jsou uložena v cloudu, ale informace jsou šifrovány přímo ve vašem počítači. A přestože architektura cloud computingu s sebou nese mírné riziko, stále můžete být v klidu s vědomím, že v ní nejsou nikdy uložena všechna šifrovaná data. Který zahrnuje Všechno vaše hesla.

Užitečný tip: Podívejte se na naše Konečný průvodce hesly vědět vše o vytváření a správě hesel na internetu.

Prevence je vždy lepší než léčba

Toto staré pořekadlo nemůže být nikdy relevantnější než v dnešní době internetového šmírování a ztráty soukromí. Zde je několik kroků, které byste měli dodržovat, pokud jde o váš účet LastPass, abyste se ujistili, že kvůli takovým incidentům neztratíte spánek.

Změňte hlavní heslo

Chcete-li změnit hlavní heslo LastPass, jednoduše klikněte na Předvolby, kde vlevo najdete sekci Nastavení účtu. Kliknutím na to získáte možnost Kliknutím sem spustíte nastavení účtu Jak je ukázáno níže.

Kliknutím se otevře nová karta, kde vše, co musíte udělat, je stisknout Změňte hlavní heslo a přejděte na novější (a silnější) alternativu.

To je ono, nejdůležitější krok, který byste měli udělat, až bude tento incident hotový!

2-faktorové ověřování a další možnosti zabezpečení

Cítíme, že je to dobrý nápad použijte 2-faktorové ověření všude tam, kde je to možné, a zejména na místech, kde jsou uložena citlivá data. LastPass naprosto správně navrhuje použití této služby a máme pocit, že byste to měli udělat ihned po změně hlavního hesla. Ve skutečnosti, když už jste u toho, zvažte přidání faktoru 2-Step Authentication Factor ke všem službám, které používáte a které uchovávají citlivá data.

V LastPass najdete Vícefaktorové možnosti v Nastavení účtu (viz výše). Zde najdete možnosti dalšího zabezpečení svého účtu LastPass. Uvidíte také Možnost autentizace mřížky o kterém jsme již psali.

Omezení podle země

Další vrstvou zabezpečení, kterou LastPass vyžaduje, aby její uživatelé prozkoumali, je politika omezení podle země. Po aktivaci to umožní přístup k vašim datům LastPass pouze zařízením pocházejícím ze země vašeho bydliště. Pokud se zařízení z jakékoli jiné země pokusí o přístup, zobrazí chybovou zprávu. my jsme popsal to velmi podrobně a určitě byste si to měli přečíst, pokud jste to ještě neudělali.

Stále se bojíte?

nebuď Tady už není co dělat. LastPass již aktualizoval své zabezpečení a již vyzývá uživatele k ověření prostřednictvím e-mailu, pokud používají nové zařízení nebo novou IP. Abychom to ověřili, zkusili jsme to a rádi jsme oznámili, že tento krok funguje tak, jak je inzerováno.

Stávající uživatelé jsou také vyzváni ke změně hlavního hesla, ale i když tuto výzvu neobdržíte, vyzýváme vás, abyste to přesto udělali. Nakonec bychom rádi citovali Jeremiho Gosneyho (odborníka na zabezpečení hesel v Striktní skupina), který mluvil s Ars Technica o hacku –

Na NVIDIA GTX Titan X, která je v současné době nejrychlejším GPU pro prolomení hesla, by byl útočník schopen provést méně než 10 000 uhodnutí za sekundu pro jeden hash hesla. To je pořádně pomalé! Dokonce i slabá hesla jsou s touto úrovní ochrany poměrně bezpečná (pokud nepoužíváte absurdně slabá hesla heslo.) A to ani nezapočítává počet iterací na straně klienta, což je uživatelsky konfigurovatelné. Výchozí hodnota je 5 000 iterací, takže se díváme minimálně na 105 000 iterací. Ve skutečnosti mám moje nastaveno na 65 000 iterací, takže to je celkem 165 000 iterací chránících mou přístupovou frázi Diceware. Takže ne, tohle porušení rozhodně nepotkám. Ani se necítím nucen změnit své hlavní heslo.

Ve skutečnosti tento nástroj používá několik členů našeho vlastního týmu a my jsme udělali přesně totéž, co jsme uvedli výše. A nyní si přejeme rozšířit znalosti mezi co nejvíce lidí.

Chcete vyzkoušet alternativy?

Dobře, pokud máte pocit, že jste kvůli tomu všemu ztratili důvěru v LastPass, pak samozřejmě vždy existují alternativy. Pokud jste ochotni investovat trochu peněz (a trochu té ztracené víry), pak vždy existuje 1Heslo. Ve hře je stejná architektura a bezpečnostní opatření, ale Agilebits, společnost stojící za 1Password, má lepší výsledky než LastPass. Tím myslíme, že nikdy nebyl hacknut. Nebylo hlášeno, abych byl přesnější. Dosud.

Přeneste svá hesla v iOS: Přenos dat z LastPass do 1Password pro iOS je snadný, jakmile si přečtete náš užitečný článek o něm.

Pokud nejste ochotni cokoliv utratit, pak existuje bezplatná alternativa. Jmenuje se to KeepPass a je to také open source. A také jsme psali průvodce přenosem vašich hesel LastPass do Keepass.

I když to není tak pohodlné jako 1Password, pokud si chcete pohrát, lze přidat několik pluginů, které odpovídají funkčnosti jeho placeného partnera. Chce to však trochu trpělivosti, takže buďte připraveni.

Naše 2 centy

Je velmi snadné obvinit společnost a říci, že nebyla s vašimi údaji opatrná. Ale to je stejně dobré jako obviňovat banky, když dojde k loupeži. Lidé tam nepřestali dávat své peníze a ani vy byste neměli přestat důvěřovat správcům hesel jen proto, že jeden byl hacknut.

Neříkáme ani, že zabezpečení bylo ze strany LastPass laxní, ale rozhodně si musí vytáhnout ponožky. Nebylo to poprvé a v jejich systému byla zjištěna hrozba, ale v obou případech nebylo nic zásadního ukradeno/ztraceno. Jednali rychle a okamžitě informovali uživatele a již řešili bezpečnostní problém, který k tomu vedl. S trochou větší opatrnosti si můžete zajistit mnohem šťastnější stav mysli. Pokud dokážete strávit všechen ten čas přemýšlením o svém bankovním zůstatku, jsme si jisti, že si také ušetříte pár myšlenek na hesla, která je udrží v bezpečí?