LastPassのハッキング:これがあなたがする必要があることです
その他 / / November 29, 2021
私たちはLastPassをとても愛していたので、実際にそれを呼んでいました 最高のパスワードマネージャー. だから、 ハックの話 しばらく前に勃発し、私たちは皆ショック状態にありました。 しかし、それは誰もがLastPassを捨てて何か他のものを使うべきだという意味ですか? パスワードはクラウドで安全ですか? もう一度会社を信頼できますか? それが私たちが見つけようとしていることです。
パニックにならないで
言うまでもなく、これが最初に行う必要があることです。 パニック、またはさらに悪いことに、あらゆる媒体を介して虚偽の情報を広めることは、危機に対応するための正しい方法ではありません。 このようなニュースを読んだときに恐怖を感じるのは当然ですが、不必要なパニックは何の役にも立たないことを理解する必要があります。 彼らの中で ブログ投稿、LastPassはそれを明確にしました、そして私は引用します、
私たちの調査では、暗号化されたユーザーボールトデータが取得されたという証拠も、LastPassユーザーアカウントがアクセスされたという証拠も見つかりませんでした。
はい、それは続けてそれを言います
ただし、調査の結果、LastPassアカウントの電子メールアドレス、パスワードのリマインダー、ユーザーごとのサーバーソルト、および認証ハッシュが危険にさらされていることが判明しました。
しかし、 何 これはどういう意味ですか? 簡単に言うと、すべてのパスワードは安全ですが、他の情報は安全ではない可能性があることを意味します。 繰り返しになりますが、ブログ投稿にはすでにいくつかの役立つヒントが記載されています。
はい、パスワードマネージャーからのデータはクラウドに保存されますが、情報はコンピューター上で直接暗号化されます。 また、クラウドコンピューティングアーキテクチャにはわずかなリスクが伴いますが、暗号化されたすべてのデータがそこに保存されることはないので、安心してご利用いただけます。 これは含まれて 全て あなたのパスワード。
役立つヒント: 私たちをチェックしてください パスワードに関する究極のガイド インターネット上でのパスワードの作成と管理に関するすべてを知ること。
予防は常に治療よりも優れています
この古い格言は、インターネットの詮索とプライバシーの喪失の時代よりも関連性が高いことはありません。 このような事件で眠りを失わないようにするために、LastPassアカウントに関して従うべきいくつかのステップがあります。
マスターパスワードを変更する
LastPassのマスターパスワードを変更するには、をクリックするだけです 環境設定、左側に[アカウント設定]セクションがあります。 それをクリックすると、次のオプションが表示されます アカウント設定を開始するには、ここをクリックしてください 以下に示すように。
それをクリックすると、新しいタブが開きます。ここで、あなたがする必要があるのは、 マスターパスワードの変更 ボタンを押して、より新しい(そしてより強力な)代替手段を探してください。
これで、このインシデントが完了した後に実行する必要がある最も重要な手順です。
2要素認証およびその他のセキュリティオプション
私たちはそれが良い考えだと感じています 2要素認証を使用する 可能な限り、特に機密データが保存されている場所。 LastPassは、このサービスの使用を提案するのに絶対に正しいので、マスターパスワードを変更した後、すぐにこれを行う必要があると考えています。 実際、その間、機密データを保持する使用するすべてのサービスに2段階認証要素を追加することを検討してください。
LastPassには、 マルチファクターオプション アカウント設定(上記を参照)。 ここに、LastPassアカウントをさらに保護するためのオプションがあります。 また、 グリッド認証オプション 私たちが以前に書いたこと。
国ベースの制限
LastPassがユーザーに探求を必要とするもう1つのセキュリティ層は、国ベースの制限ポリシーです。 有効にすると、居住国から発信されたデバイスのみがLastPassデータにアクセスできるようになります。 他の国のデバイスがそのデバイスにアクセスしようとすると、エラーメッセージが表示されます。 私たちは これを非常に詳細にカバーしました まだ読んでいない場合は、必ず読んでください。
まだ心配ですか?
しないでください。 ここで行うことはこれ以上ありません。 LastPassはすでにセキュリティを更新しており、ユーザーが新しいデバイスまたは新しいIPを使用している場合は、電子メールで確認するようにユーザーに促しています。 これを確認するために、私たちはそれを試し、このステップが宣伝どおりに機能することを報告しました。
既存のユーザーにもマスターパスワードの変更を求めるメッセージが表示されますが、そのプロンプトが表示されない場合でも、とにかく変更することをお勧めします。 最後に、Jeremi Gosney(パスワードセキュリティの専門家 Stricture Group)ハックについてArs Technicaに話しかけた人–
現在パスワードクラッキング用の最速のGPUであるNVIDIAGTX Titan Xでは、攻撃者は1つのパスワードハッシュに対して1秒あたり10,000未満の推測しかできません。 それは適切に遅いです! 弱いパスワードでも、そのレベルの保護でかなり安全です(非常に弱いパスワードを使用している場合を除く) パスワード。)そして、これはクライアント側の反復回数も考慮していません。 ユーザー設定可能。 デフォルトは5,000回の反復であるため、少なくとも105,000回の反復を検討しています。 私は実際に65,000回の反復に設定しているので、合計165,000回の反復でDicewareパスフレーズを保護します。 いいえ、私は間違いなくこの違反に汗を流していません。 マスターパスワードを変更せざるを得ないとさえ感じていません。
実際、私たち自身のチームのかなりの数のメンバーがツールを使用しており、上記とまったく同じことを行っています。 そして今、私たちはできるだけ多くの人々に知識を広めたいと思っています。
代替案を試してみませんか?
さて、これらすべてのためにLastPassへの信頼を失ったと感じた場合は、もちろん、常に代替手段があります。 あなたが少しのお金(そしてその失われた信仰のいくつか)を投資する気があるなら、常にあります 1Password. これは同じアーキテクチャとセキュリティ対策ですが、1Passwordの背後にある会社であるAgilebitsは、LastPassよりも優れた実績を持っています。 つまり、ハッキングされたことがないということです。 より正確には、報告されていません。 まだ。
iOSでパスワードを転送する: LastPassからiOS用の1Passwordにデータを転送するのは簡単です。 あなたがそれに関する私たちの役に立つ記事を読んだら。
何かを使いたくない場合は、無料の代替手段があります。 それは呼ばれています KeepPass オープンソースでもあります。 そして私達はまた書いた LastPassのパスワードをKeepassに転送するためのガイド.
1Passwordほど便利ではありませんが、遊んでみたい場合は、有料のピアの機能に合わせていくつかのプラグインを追加できます。 ただし、ある程度の忍耐が必要ですので、準備してください。
私たちの2セント
会社を非難し、彼らがあなたのデータに注意を払っていなかったと言うのは非常に簡単です。 しかし、それは強盗があったときに銀行を非難するのと同じくらい良いです。 人々はそこにお金を入れるのをやめませんでしたし、ハッキングされたという理由だけでパスワードマネージャーを信頼するのをやめるべきでもありません。
LastPassのセキュリティが緩いと言っているわけではありませんが、彼らは間違いなく靴下を引き上げる必要があります。 初めてではありませんでした 彼らのシステムで脅威が検出されました、しかしどちらの場合も、大きなものは何も盗まれたり失われたりしませんでした。 彼らは迅速かつ迅速にユーザーに通知し、これにつながるセキュリティの問題にすでに対処しています。 あなた自身にもう少し注意を払うことで、あなたははるかに幸せな心の状態を確実にすることができます。 銀行の残高について考えることに時間を費やすことができれば、パスワードを安全に保つためにいくつかの考えを惜しまないでしょうか。