LastPass hakiran: Evo što trebate učiniti
Miscelanea / / February 12, 2022
Toliko smo voljeli LastPass da smo ga zapravo nazvali Najbolji upravitelj lozinki. Dakle, kada je priča o haku izbio maloprije, svi smo bili u stanju šoka. No, znači li to da bi svi trebali napustiti LastPass i koristiti nešto drugo? Jesu li vaše lozinke sigurne u oblaku? Možemo li opet vjerovati tvrtki? To je ono što pokušavamo saznati.
Ne paničarite
Nepotrebno je reći da je ovo prva stvar koju treba učiniti. Panika, ili još gore, širenje lažnih informacija putem bilo kojeg medija, jednostavno nije pravi način da se odgovori na bilo kakvu krizu. Iako je prirodno osjećati strah kada čitate ovakvu vijest, morate shvatiti da nepotrebna panika jednostavno nema nikakvu svrhu. U njihovom blog post, LastPass su jasno dali do znanja i citiram,
U našoj istrazi nismo pronašli dokaze da su uzeti šifrirani podaci korisničkog trezora, niti da se pristupilo LastPass korisničkim računima.
Da, to se dalje govori
Istraga je, međutim, pokazala da su e-mail adrese LastPass računa, podsjetnici za lozinke, soli poslužitelja po korisniku i hešovi za autentifikaciju bili ugroženi.
Ali, što da li to znači, pitate se? Jednostavno rečeno, to znači da dok su sve vaše lozinke sigurne, ostale informacije možda neće biti. Za što je, opet, na blogu već navedeno nekoliko korisnih savjeta.
Da, podaci iz upravitelja lozinki pohranjeni su u oblaku, ali informacije su šifrirane izravno na vašem računalu. I iako arhitektura računalstva u oblaku uključuje mali rizik, još uvijek možete biti mirni znajući da se svi šifrirani podaci nikada tamo ne pohranjuju. Koji uključuju svi svoje lozinke.
Koristan savjet: Provjerite naše Ultimativni vodič za lozinke znati sve o stvaranju i upravljanju lozinkama na internetu.
Prevencija je uvijek bolja od liječenja
Ova stara poslovica nikada ne bi mogla biti relevantnija nego u ovim vremenima internetskog njuškanja i gubitka privatnosti. Evo nekoliko koraka koje biste trebali slijediti kada je u pitanju vaš LastPass račun, kako ne biste izgubili san zbog takvih incidenata.
Promijenite glavnu lozinku
Za promjenu glavne lozinke LastPass-a, jednostavno kliknite na Preference, gdje ćete s lijeve strane pronaći odjeljak Postavke računa. Klikom na to dobit ćete mogućnost da Kliknite ovdje za pokretanje postavki računa kao što je prikazano niže.
Klikom na to otvorit će se nova kartica na kojoj sve što trebate učiniti je pritisnuti Promijenite glavnu lozinku gumb i idite na noviju (i jaču) alternativu.
To je to, najvažniji korak koji biste trebali učiniti nakon što se ovaj incident završi!
2-faktorska provjera autentičnosti i druge sigurnosne opcije
Smatramo da je to dobra ideja koristite 2-faktorsku autentifikaciju gdje god je to moguće, a posebno na mjestima gdje se pohranjuju osjetljivi podaci. LastPass je potpuno ispravan kada predlaže korištenje ove usluge i smatramo da biste to trebali učiniti odmah, nakon što promijenite svoju glavnu lozinku. Zapravo, dok ste već kod toga, razmislite o dodavanju faktora provjere autentičnosti u 2 koraka svim uslugama koje koristite i koje sadrže osjetljive podatke.
U LastPass-u ćete pronaći Višefaktorske opcije u Postavkama računa (vidi gore). Ovdje ćete pronaći opcije za dodatno osiguranje vašeg LastPass računa. Također ćete vidjeti Opcija mrežne provjere autentičnosti o kojoj smo već pisali.
Ograničenje temeljeno na zemlji
Još jedan sloj sigurnosti koji LastPass zahtijeva od svojih korisnika da istraže je politika ograničenja u zemlji. Jednom omogućeno, ovo će omogućiti samo uređajima koji potječu iz zemlje vašeg prebivališta da pristupe vašim LastPass podacima. Ako mu uređaj iz bilo koje druge zemlje pokuša pristupiti, prikazat će poruku o pogrešci. jesmo obradio ovo dosta detaljno i svakako biste ga trebali pročitati, ako već niste.
Još uvijek ste zabrinuti?
nemoj biti. Ovdje se više ništa ne može učiniti. LastPass je već ažurirao svoju sigurnost i već traži od korisnika da se verificiraju putem e-pošte, ako koriste novi uređaj ili novi IP. Kako bismo to potvrdili, pokušali smo upravo to i rado smo izvijestili da ovaj korak funkcionira baš onako kako se oglašava.
Postojeći korisnici također su pozvani da promijene svoju glavnu lozinku, ali čak i ako ne dobijete taj upit, pozivamo vas da to ipak učinite. Na kraju, željeli bismo citirati Jeremija Gosneyja (stručnjaka za sigurnost lozinki na Grupa za strikturu) koji je za Ars Technicu razgovarao o hakiranju –
Na NVIDIA GTX Titan X, koji je trenutno najbrži GPU za razbijanje lozinke, napadač bi mogao napraviti samo manje od 10.000 pogađanja u sekundi za jedan hash lozinke. To je pravo sporo! Čak su i slabe lozinke prilično sigurne s tom razinom zaštite (osim ako ne koristite apsurdno slabu lozinka.) I to čak ne uzima u obzir broj iteracija na strani klijenta, što jest konfigurirati korisnik. Zadana postavka je 5.000 iteracija, tako da najmanje gledamo na 105.000 iteracija. Ja sam zapravo svoju postavio na 65.000 iteracija, tako da je to ukupno 165.000 iteracija koje štite moju šifru za Diceware. Dakle, ne, definitivno se ne oznojim zbog ove povrede. Čak se ne osjećam prisiljenim promijeniti svoju glavnu lozinku.
Zapravo, dosta članova našeg vlastitog tima koristi alat, a mi smo učinili potpuno iste stvari koje smo naveli gore. A sada želimo proširiti znanje na što više ljudi.
Želite isprobati alternative?
U redu, ako smatrate da ste zbog svega toga izgubili vjeru u LastPass, onda naravno uvijek postoje alternative. Ako ste voljni uložiti malo novca (i nešto od te izgubljene vjere), uvijek postoji 1Lozinka. Radi se o istoj arhitekturi i sigurnosnim mjerama, ali Agilebits, tvrtka koja stoji iza 1Passworda, ima bolje rezultate od LastPass-a. Pod tim mislimo da nikada nije hakiran. Nije prijavljen, točnije. Još.
Prenesite svoje lozinke u iOS: Lako je prenijeti svoje podatke s LastPass-a na 1Password za iOS, nakon što pročitate naš korisni članak o tome.
Ako niste voljni ništa potrošiti, postoji besplatna alternativa. To se zove KeepPass a također je i open source. I mi smo također pisali vodič za prijenos vaših LastPass lozinki u Keepass.
Iako nije tako prikladan kao 1Password, ako ste voljni poigrati se, može se dodati nekoliko dodataka koji odgovaraju funkcionalnosti svog plaćenog peer-a. Ipak je potrebno malo strpljenja, stoga budite spremni.
Naša 2 centa
Vrlo je lako okriviti tvrtku i reći da nisu bili oprezni s vašim podacima. Ali to je jednako dobro kao i okrivljavanje banaka kada dođe do pljačke. Ljudi nisu prestali stavljati svoj novac tamo, a ni vi ne biste trebali prestati vjerovati upraviteljima lozinki, samo zato što je jedan hakiran.
Čak i ne kažemo da je zaštita bila slaba s LastPass-ove strane, ali svakako moraju navući čarape. Nije bilo prvi put da je a prijetnja je otkrivena u njihovom sustavu, ali oba puta ništa bitno nije ukradeno/izgubljeno. Djelovali su brzo i pravovremeno obavijestili korisnike i već su se pozabavili sigurnosnim problemom koji je doveo do toga. Uz malo više opreza, možete osigurati puno sretnije stanje duha. Ako svo to vrijeme možete provesti razmišljajući o svom bankovnom saldu, sigurni smo da možete razmisliti i o zaporkama koje ih čuvaju?