LastPass feltörve: Íme, mit kell tenned

Annyira szerettük a LastPass-t, hogy tulajdonképpen el is neveztük A legjobb jelszókezelő. Tehát, amikor a a hack története kitört egy ideje, mindannyian sokkos állapotban voltunk. De ez azt jelenti, hogy mindenkinek fel kell hagynia a LastPass-szal, és valami mást kell használnia? Biztonságban vannak jelszavai a felhőben? Megbízhatunk újra a cégben? Ezt próbáljuk kideríteni.

Ne essen pánikba

Mondanom sem kell, ez az első dolog, amit meg kell tenni. A pánik, vagy ami még rosszabb, hamis információk terjesztése bármilyen médiumon keresztül, egyszerűen nem a megfelelő módja annak, hogy bármilyen válságra reagáljunk. Bár természetes, hogy félsz, amikor egy ilyen hírt olvasol, be kell látnod, hogy a felesleges pánik egyszerűen semmi célt nem szolgál. Az ő blog bejegyzés, a LastPass egyértelművé tette, és idézem,

Vizsgálatunk során nem találtunk bizonyítékot arra, hogy titkosított felhasználói tárolóadatokat vettek volna fel, sem pedig arra, hogy hozzáfértek a LastPass felhasználói fiókokhoz.

Igen, ez így megy tovább

A vizsgálat azonban kimutatta, hogy a LastPass-fiók e-mail-címei, a jelszó-emlékeztetők, a szerverenkénti sók és a hitelesítési kivonatok veszélybe kerültek.

De, mit ez azt jelenti, kérdezed? Leegyszerűsítve ez azt jelenti, hogy bár minden jelszava biztonságban van, előfordulhat, hogy más információk nem. Amihez ismét a blogbejegyzésben már elhangzott néhány hasznos tipp.

Igen, a jelszókezelők adatai a felhőben tárolódnak, de az információk közvetlenül a számítógépen vannak titkosítva. És annak ellenére, hogy a számítási felhő architektúrája némi kockázatot rejt magában, nyugodt lehet, ha tudja, hogy a titkosított adatok soha nem kerülnek tárolásra. Amelyek közé tartozik minden jelszavait.

Hasznos tipp: Nézze meg a mi Végső útmutató a jelszavakhoz hogy mindent tudjon a jelszavak létrehozásáról és kezeléséről az interneten.

A megelőzés mindig jobb, mint a gyógyítás

Ez a régi közmondás soha nem lehet relevánsabb, mint az internetes leskelődés és a magánélet elvesztése idején. Íme néhány lépés, amelyeket követnie kell LastPass-fiókjával kapcsolatban, hogy ne veszítse el álmát az ilyen események miatt.

Módosítsa a mester jelszót

A LastPass fő jelszavának megváltoztatásához egyszerűen kattintson a gombra preferenciák, ahol a bal oldalon található a Fiókbeállítások szakasz. Erre kattintva lehetőség nyílik rá Kattintson ide a fiókbeállítások elindításához az alábbiak szerint.

Ha rákattint, egy új lap nyílik meg, ahol mindössze annyit kell tennie, hogy megnyomja a Fő jelszó módosítása gombot, és válasszon egy újabb (és erősebb) alternatívát.

Ez az, a legfontosabb lépés, amit meg kell tennie az eset után!

Kéttényezős hitelesítés és egyéb biztonsági lehetőségek

Úgy érezzük, ez jó ötlet használjon 2-faktoros hitelesítést ahol csak lehetséges, és különösen olyan helyeken, ahol érzékeny adatokat tárolnak. A LastPass teljesen helyesen javasolja ennek a szolgáltatásnak a használatát, és úgy gondoljuk, hogy ezt azonnal meg kell tennie, miután megváltoztatta fő jelszavát. Valójában, ha már itt van, fontolja meg a kétlépcsős hitelesítési tényező hozzáadását az összes használt szolgáltatáshoz, amely érzékeny adatokat tartalmaz.

A LastPass-ban megtalálja Többtényezős opciók a Fiókbeállításokban (lásd fent). Itt találhat további lehetőségeket LastPass-fiókja biztonságosabbá tételére. Azt is látni fogja a Rács hitelesítési lehetőség amiről korábban írtunk.

Ország alapú korlátozás

Egy másik biztonsági réteg, amelyet a LastPass felhasználóinak fel kell fedeznie, az országalapú korlátozási politika. Ha engedélyezve van, akkor csak az Ön lakóhelye szerinti országból származó eszközök férhetnek hozzá LastPass adataihoz. Ha egy másik országból származó eszköz megpróbál hozzáférni, hibaüzenet jelenik meg. megvan ezt nagyon részletesen tárgyalta és mindenképpen el kell olvasnod, ha még nem tetted meg.

Még mindig aggódik?

ne légy. Itt már nincs mit tenni. A LastPass már frissítette a biztonságát, és már kéri a felhasználókat, hogy e-mailben ellenőrizzenek, ha új eszközt vagy új IP-t használnak. Ennek ellenőrzésére megpróbáltuk ezt, és örömmel jelentjük, hogy ez a lépés a hirdetett módon működik.

A meglévő felhasználókat a rendszer arra kéri, hogy változtassák meg fő jelszavukat, de még ha nem is kapja meg ezt a felszólítást, akkor is javasoljuk, hogy tegye meg. Végül szeretnénk idézni Jeremi Gosney-t (jelszóbiztonsági szakértő a Stricture Group), aki az Ars Technicának beszélt a feltörésről –

Az NVIDIA GTX Titan X-en, amely jelenleg a leggyorsabb GPU a jelszavak feltörésére, a támadó csak másodpercenként 10 000-nél kevesebb tippet tudna végrehajtani egyetlen jelszókivonat esetén. Ez rendesen lassú! Még a gyenge jelszavak is meglehetősen biztonságosak ilyen szintű védelem mellett (kivéve, ha abszurd módon gyenge jelszavakat használunk jelszó.) És ez még csak nem is számol a kliensoldali iterációk számával, ami van felhasználó által konfigurálható. Az alapértelmezett 5000 iteráció, tehát minimum 105 000 iterációt nézünk. Valójában az enyémet 65 000 iterációra állítottam be, tehát ez összesen 165 000 iteráció védi a Diceware jelszavamat. Szóval nem, határozottan nem izzadok meg emiatt. Még csak nem is érzem magam késztetésnek, hogy módosítsam a mesterjelszavamat.

Valójában a saját csapatunkból jónéhány tagja használja az eszközt, és mi is pontosan ugyanazt tettük, amit fentebb leírtunk. És most szeretnénk a tudást minél több emberhez eljuttatni.

Alternatívákat szeretne kipróbálni?

Oké, ha úgy érzi, hogy mindezek miatt elvesztette a LastPass-ba vetett hitét, akkor természetesen mindig vannak alternatívák. Ha hajlandó befektetni egy kis pénzt (és ennek egy részét elvesztette hitét), akkor mindig van 1 Jelszó. Ugyanaz az architektúra és a biztonsági intézkedések, de az Agilebits, az 1Password mögött álló cég jobb eredményekkel rendelkezik, mint a LastPass. Ez alatt azt értjük, hogy soha nem törték fel. Pontosabban nem jelentették be. Még.

Jelszavak átvitele iOS rendszeren: Könnyen átviheti adatait a LastPass-ból az 1Password for iOS rendszerbe, ha egyszer elolvasta hasznos cikkünket arról.

Ha nem hajlandó semmit sem költeni, akkor van egy ingyenes alternatíva. Ezt hívják KeepPass és ez is nyílt forráskódú. És írtunk is útmutató a LastPass jelszavak Keepass-ba való átviteléhez.

Annak ellenére, hogy ez nem olyan kényelmes, mint az 1Password, ha hajlandó játszani, hozzáadhat néhány bővítményt, hogy megfeleljen a fizetős társa funkcióinak. Ehhez azonban némi türelem kell, ezért készülj fel.

A mi 2 centünk

Nagyon könnyű egy céget hibáztatni, és azt mondani, hogy nem voltak óvatosak az Ön adataival. De ez olyan jó, mint a bankokat hibáztatni, ha rablás történik. Az emberek nem hagyták abba a pénzüket, és nem szabad abbahagyni a jelszókezelőkben való megbízást, csak azért, mert az egyiket feltörték.

Még azt sem mondjuk, hogy a biztonság laza volt a LastPass részéről, de mindenképpen fel kell húzniuk a zoknijukat. Nem ez volt az első alkalom, hogy a fenyegetést észleltek a rendszerükben, de mindkét alkalommal semmi komolyat nem loptak/vesztek el. Gyorsan cselekedtek, és azonnal értesítették a felhasználókat, és már kezelték az ehhez vezető biztonsági problémát. Egy kicsit több elővigyázatossággal Ön sokkal boldogabb lelkiállapotot biztosíthat. Ha ennyi időt a banki egyenlegére fordíthat, akkor biztosak vagyunk benne, hogy néhány gondolatot megspórolhat a biztonságukat védő jelszavakra is?