LastPass on häkitud: siin on, mida peate tegema
Miscellanea / / February 12, 2022
Meile oli LastPass nii väga meeldinud, et olime seda tegelikult kutsunud Parim paroolihaldur. Niisiis, kui häkkimise lugu puhkes mõni aeg tagasi, olime kõik šokiseisundis. Kuid kas see tähendab, et kõik peaksid LastPassist loobuma ja kasutama midagi muud? Kas teie paroolid on pilves turvalised? Kas saame ettevõtet uuesti usaldada? Seda me püüame välja selgitada.
Ärge sattuge paanikasse
Ütlematagi selge, et see on esimene asi, mida tuleb teha. Paanika või mis veelgi hullem, valeteabe levitamine mis tahes meediumi kaudu ei ole lihtsalt õige viis kriisile reageerimiseks. Kuigi on loomulik, et tunnete sellist uudist lugedes hirmu, peate mõistma, et tarbetul paanikal pole lihtsalt mingit eesmärki. Nendes ajaveebi postitus, LastPass on selle selgeks teinud ja ma tsiteerin,
Oma uurimise käigus ei leidnud me ühtegi tõendit selle kohta, et krüptitud kasutajahoidla andmeid oleks võetud ega ka LastPassi kasutajakontodele juurdepääsu kohta.
Jah, see ütleb edasi
Uurimine on siiski näidanud, et LastPassi konto e-posti aadressid, parooli meeldetuletused, serveri kasutajapõhised soolad ja autentimisräsid olid ohustatud.
Aga, mida kas see tähendab, küsite? Lihtsamalt öeldes tähendab see, et kuigi kõik teie paroolid on turvalised, ei pruugi muu teave olla ohutu. Mille jaoks jällegi on blogipostituses juba paar kasulikku näpunäidet välja toodud.
Jah, paroolihaldurite andmed salvestatakse pilve, kuid teave krüpteeritakse otse teie arvutis. Ja kuigi pilvandmetöötluse arhitektuur sisaldab väikest riski, võite siiski rahulikult olla, teades, et kõiki krüptitud andmeid sinna kunagi ei salvestata. Mis hõlmavad kõik teie paroolid.
Kasulik nõuanne: Vaadake meie Paroolide ülim juhend et teada saada kõike Internetis paroolide loomise ja haldamise kohta.
Ennetamine on alati parem kui ravi
See vana kõnekäänd ei saa kunagi olla asjakohasem kui praegusel Interneti-nuhkmise ja privaatsuse kaotamise ajal. Siin on mõned sammud, mida peaksite oma LastPassi konto puhul järgima, et te ei kaotaks selliste juhtumite tõttu und.
Muuda peaparooli
LastPassi peaparooli muutmiseks klõpsake lihtsalt nuppu Eelistused, kust leiate vasakult jaotise Konto seaded. Sellel klõpsamine annab teile võimaluse Konto seadete käivitamiseks klõpsake siin nagu allpool näidatud.
Sellel klõpsamisel avaneb uus vahekaart, kus peate vaid vajutama nuppu Muuda peaparooli nuppu ja valige uuem (ja tugevam) alternatiiv.
See on kõik, kõige olulisem samm, mida peaksite pärast selle intsidendi tegemist tegema!
2-faktoriline autentimine ja muud turbevalikud
Leiame, et see on hea mõte kasutage 2-faktorilist autentimist kus vähegi võimalik ja eriti kohtades, kus hoitakse tundlikke andmeid. LastPassil on selle teenuse kasutamise soovitamisel täiesti õigus ja leiame, et peaksite seda tegema kohe pärast põhiparooli muutmist. Tegelikult kaaluge kaheastmelise autentimise teguri lisamist kõigile kasutatavatele teenustele, mis sisaldavad tundlikke andmeid.
LastPassist leiate Mitmefaktorilised valikud Konto seadetes (vt ülal). Siit leiate valikud oma LastPassi konto veelgi turvalisemaks muutmiseks. Samuti näete Võrgu autentimise valik millest oleme varemgi kirjutanud.
Riigipõhine piirang
Teine turvakiht, mida LastPass paneb oma kasutajatele uurima, on riigipõhine piirangupoliitika. Kui see on lubatud, pääsevad see teie LastPassi andmetele juurde ainult teie elukohariigist pärit seadmetel. Kui mõnest teisest riigist pärit seade proovib sellele juurde pääseda, kuvatakse tõrketeade. Meil on käsitles seda üksikasjalikult ja te peaksite seda kindlasti lugema, kui te pole seda juba teinud.
Kas olete endiselt mures?
ära ole. Siin pole enam midagi teha. LastPass on juba oma turvalisust värskendanud ja juba palub kasutajatel e-posti teel kinnitust saada, kui nad kasutavad uut seadet või uut IP-d. Selle kontrollimiseks proovisime just seda ja meil oli hea meel teatada, et see samm toimib täpselt nii, nagu reklaamitud.
Olemasolevatel kasutajatel palutakse samuti oma põhiparool muuta, kuid isegi kui te seda viipa ei saa, soovitame teil seda siiski teha. Lõpetuseks tahaksime tsiteerida Jeremi Gosneyt (parooliturbe ekspert aadressil Striktuuri rühm), kes rääkis häkkimisest Ars Technicaga –
NVIDIA GTX Titan X-i puhul, mis on praegu kiireim paroolimurdmise GPU, suudaks ründaja ühe parooliräsi kohta teha vaid vähem kui 10 000 oletust sekundis. See on õige aeglane! Isegi nõrgad paroolid on selle kaitsetasemega üsna turvalised (kui te ei kasuta absurdselt nõrka parool.) Ja see ei võta isegi arvesse kliendipoolsete iteratsioonide arvu, mis on kasutaja seadistatav. Vaikimisi on 5000 iteratsiooni, seega vaatame vähemalt 105 000 iteratsiooni. Minu jaoks on tegelikult seatud 65 000 iteratsiooni, seega on kokku 165 000 iteratsiooni, mis kaitsevad minu Diceware parooli. Nii et ei, ma kindlasti ei higista seda rikkumist. Ma ei tunne isegi vajadust oma peaparooli muutma.
Tegelikult kasutavad seda tööriista päris paljud meie enda meeskonnaliikmed ja oleme teinud täpselt samu asju, mida eespool kirjeldasime. Ja nüüd soovime levitada teadmisi võimalikult paljude inimesteni.
Kas soovite proovida alternatiive?
Olgu, kui tunnete, et olete selle kõige tõttu kaotanud usu LastPassi, siis loomulikult on alati alternatiive. Kui olete valmis investeerima natuke raha (ja osa sellest kaotatud usust), siis on see alati olemas 1 Parool. Mängus on sama arhitektuur ja turvameetmed, kuid 1Passwordi taga oleval ettevõttel Agilebitsil on paremad tulemused kui LastPassil. Selle all peame silmas, et seda pole kunagi häkitud. Ei ole teatatud, kui täpsem olla. Siiski.
Edastage oma paroolid iOS-is: Andmete ülekandmine LastPassist iOS-i 1Passwordi on lihtne, kui olete selle kohta meie kasulikku artiklit lugenud.
Kui te ei soovi midagi kulutada, on olemas tasuta alternatiiv. Seda nimetatakse KeepPass ja see on ka avatud lähtekoodiga. Ja oleme ka kirjutanud juhend LastPassi paroolide ülekandmiseks Keepassi.
Kuigi see pole nii mugav kui 1Password, saate kui olete valmis mängima, saate lisada mõned pistikprogrammid, mis vastavad selle tasulise kaaslase funktsioonidele. See nõuab siiski kannatlikkust, nii et olge valmis.
Meie 2 senti
Väga lihtne on süüdistada ettevõtet ja öelda, et nad ei olnud teie andmetega ettevaatlikud. Kuid see on sama hea kui pankade süüdistamine röövi korral. Inimesed ei ole lõpetanud oma raha sinna paigutamist ja te ei tohiks ka usaldada paroolihaldureid lihtsalt sellepärast, et ühte häkkiti.
Me isegi ei ütle, et LastPassi turvalisus oli loid, kuid nad peavad kindlasti sokid üles tõmbama. See polnud esimene kord, kui a nende süsteemis tuvastati oht, kuid mõlemal korral ei varastatud/kaota midagi suuremat. Nad tegutsesid kiiresti ja teavitasid kasutajaid viivitamatult ning on selleni viinud turvaprobleemiga juba tegelenud. Kui ise veidi rohkem ettevaatusabinõusse suhtute, saate tagada palju rõõmsama meeleseisundi. Kui saate kogu selle aja oma pangasaldole mõeldes kulutada, siis oleme kindlad, et mõtlete ka paroolidele, mis neid turvaliselt hoiavad?