LastPass გატეხილია: აი, რა უნდა გააკეთოთ
Miscellanea / / November 29, 2021
ჩვენ ისე გვიყვარდა LastPass, რომ მას რეალურად ვუწოდებდით პაროლის საუკეთესო მენეჯერი. ასე რომ, როდესაც ჰაკის ამბავი ატყდა ცოტა ხნის წინ, ყველანი შოკში ვიყავით. მაგრამ ეს ნიშნავს, რომ ყველამ უნდა დატოვოს LastPass და გამოიყენოს რაღაც სხვა? თქვენი პაროლები უსაფრთხოა ღრუბელში? შეგვიძლია ისევ ვენდოთ კომპანიას? ეს არის ის, რის გარკვევას ვცდილობთ.
ნუ პანიკა
ზედმეტია იმის თქმა, რომ ეს არის პირველი, რაც უნდა გაკეთდეს. პანიკა ან უარესი, ცრუ ინფორმაციის გავრცელება ნებისმიერი მედიით, უბრალოდ არ არის სწორი გზა ნებისმიერ კრიზისზე რეაგირებისთვის. მიუხედავად იმისა, რომ ბუნებრივია, რომ შეგეშინდეთ მსგავსი ამბების წაკითხვისას, უნდა გესმოდეთ, რომ ზედმეტი პანიკა უბრალოდ არანაირ მიზანს არ ემსახურება. მათში ბლოგის პოსტიLastPass-მა ნათლად აჩვენა და მე ციტირებს,
ჩვენს გამოძიებაში, ჩვენ ვერ ვიპოვნეთ მტკიცებულება, რომ დაშიფრული მომხმარებლის სარდაფის მონაცემები იქნა აღებული და არც LastPass მომხმარებლის ანგარიშებზე წვდომა.
დიახ, ასე გრძელდება
თუმცა, გამოძიებამ აჩვენა, რომ LastPass-ის ანგარიშის ელ.ფოსტის მისამართები, პაროლის შეხსენებები, სერვერი თითო მომხმარებლის სალტები და ავტორიზაციის ჰეშები დაზიანებულია.
მაგრამ, რა ეს ნიშნავს, გეკითხებით? მარტივად რომ ვთქვათ, ეს ნიშნავს, რომ სანამ თქვენი ყველა პაროლი უსაფრთხოა, სხვა ინფორმაცია შეიძლება არ იყოს. რისთვისაც, ისევ და ისევ, ბლოგის პოსტში უკვე მითითებულია რამდენიმე სასარგებლო რჩევა.
დიახ, პაროლის მენეჯერების მონაცემები ინახება ღრუბელში, მაგრამ ინფორმაცია დაშიფრულია პირდაპირ თქვენს კომპიუტერში. და მიუხედავად იმისა, რომ ღრუბლოვანი გამოთვლითი არქიტექტურა შეიცავს მცირე რისკს, თქვენ მაინც შეგიძლიათ მშვიდად იყოთ იმის ცოდნა, რომ ყველა დაშიფრული მონაცემი იქ არასოდეს ინახება. Რომელიც შეიცავს ყველა თქვენი პაროლები.
სასარგებლო რჩევა: შეამოწმეთ ჩვენი საბოლოო გზამკვლევი პაროლების შესახებ იცოდეთ ყველაფერი ინტერნეტში პაროლების შექმნისა და მართვის შესახებ.
პრევენცია ყოველთვის უკეთესია, ვიდრე განკურნება
ეს ძველი გამონათქვამი ვერასოდეს იქნება უფრო აქტუალური, ვიდრე ინტერნეტის ჩაძირვისა და კონფიდენციალურობის დაკარგვის დროს. აქ მოცემულია რამდენიმე ნაბიჯი, რომელიც უნდა დაიცვათ, როდესაც საქმე ეხება თქვენს LastPass ანგარიშს, რათა უზრუნველყოთ, რომ არ დაკარგოთ ძილი ასეთი ინციდენტების გამო.
შეცვალეთ ძირითადი პაროლი
LastPass-ის ძირითადი პაროლის შესაცვლელად, უბრალოდ დააწკაპუნეთ პრეფერენციები, სადაც მარცხნივ იპოვით ანგარიშის პარამეტრების განყოფილებას. მასზე დაწკაპუნება მოგცემთ შესაძლებლობას დააწკაპუნეთ აქ ანგარიშის პარამეტრების გასაშვებად როგორც ქვემოთაა ნაჩვენები.
მასზე დაწკაპუნებით გაიხსნება ახალი ჩანართი, სადაც ყველაფერი რაც თქვენ უნდა გააკეთოთ არის დააჭიროთ შეცვალეთ ძირითადი პაროლი დააწკაპუნეთ და გადადით უფრო ახალ (და უფრო ძლიერ) ალტერნატივაზე.
ეს არის ის, ყველაზე მნიშვნელოვანი ნაბიჯი, რომელიც უნდა გააკეთოთ ამ ინციდენტის დასრულების შემდეგ!
2-ფაქტორიანი ავთენტიფიკაცია და უსაფრთხოების სხვა პარამეტრები
ჩვენ ვგრძნობთ, რომ ეს კარგი იდეაა გამოიყენეთ 2-ფაქტორიანი ავთენტიფიკაცია სადაც ეს შესაძლებელია და განსაკუთრებით ისეთ ადგილებში, სადაც სენსიტიური მონაცემები ინახება. LastPass აბსოლუტურად სწორია ამ სერვისის გამოყენების შემოთავაზებაში და მიგვაჩნია, რომ თქვენ ეს უნდა გააკეთოთ დაუყოვნებლივ, თქვენი ძირითადი პაროლის შეცვლის შემდეგ. სინამდვილეში, სანამ მასში ხართ, განიხილეთ 2-ფაზიანი ავთენტიფიკაციის ფაქტორის დამატება ყველა იმ სერვისზე, რომელსაც იყენებთ, რომლებიც შეიცავს მგრძნობიარე მონაცემებს.
LastPass-ში ნახავთ მრავალფაქტორიანი პარამეტრები ანგარიშის პარამეტრებში (იხ. ზემოთ). აქ ნახავთ ვარიანტებს თქვენი LastPass ანგარიშის შემდგომი დაცვისთვის. თქვენ ასევე ნახავთ Grid Authentication ვარიანტი რომლებზეც ადრეც ვწერდით.
ქვეყანაში დაფუძნებული შეზღუდვა
უსაფრთხოების კიდევ ერთი ფენა, რომელსაც LastPass აიძულებს მის მომხმარებლებს შეისწავლონ, არის ქვეყანაში დაფუძნებული შეზღუდვის პოლიტიკა. ჩართვის შემდეგ, ეს საშუალებას მისცემს მხოლოდ თქვენი საცხოვრებელი ქვეყნიდან წარმოშობილ მოწყობილობებს, მიიღონ წვდომა თქვენს LastPass-ის მონაცემებზე. თუ მოწყობილობა სხვა ქვეყნიდან შეეცდება მასზე წვდომას, ის აჩვენებს შეცდომის შეტყობინებას. ჩვენ გვაქვს დაწვრილებით დაფარა ეს და აუცილებლად უნდა წაიკითხო, თუ ჯერ არ გაქვს წაკითხული.
ჯერ კიდევ აწუხებს?
არ იყოს. აქ მეტი არაფერია გასაკეთებელი. LastPass-მა უკვე განაახლა თავისი უსაფრთხოება და უკვე მოუწოდებს მომხმარებლებს დაადასტურონ ელექტრონული ფოსტით, თუ ისინი იყენებენ ახალ მოწყობილობას ან ახალ IP-ს. ამის გადასამოწმებლად ჩვენ სწორედ ეს ვცადეთ და სიამოვნებით შეგვატყობინეთ, რომ ეს ნაბიჯი მუშაობს ისევე, როგორც რეკლამირებული.
არსებულ მომხმარებლებს ასევე სთხოვენ შეცვალონ ძირითადი პაროლი, მაგრამ მაშინაც კი, თუ თქვენ არ მიიღებთ ამ მოთხოვნას, ჩვენ მოგიწოდებთ მაინც გააკეთოთ ეს. და ბოლოს, ჩვენ გვინდა ციტატა ჯერემი გოსნი (პაროლის უსაფრთხოების ექსპერტი სტრიქტურ ჯგუფი) ვინც ისაუბრა Ars Technica-ს ჰაკერზე -
NVIDIA GTX Titan X-ზე, რომელიც ამჟამად არის პაროლის გატეხვის ყველაზე სწრაფი GPU, თავდამსხმელს მხოლოდ 10000-ზე ნაკლები გამოცნობა შეუძლია წამში ერთი პაროლის ჰეშისთვის. ეს სათანადო ნელია! სუსტი პაროლებიც კი საკმაოდ დაცულია დაცვის ამ დონით (თუ არ იყენებთ აბსურდულად სუსტს პაროლი.) და ეს არც კი ითვალისწინებს კლიენტის მხრიდან გამეორებების რაოდენობას, რაც არის მომხმარებლის-კონფიგურირებადი. ნაგულისხმევი არის 5000 გამეორება, ასე რომ მინიმუმ 105000 გამეორებას ვუყურებთ. მე რეალურად მაქვს დაყენებული 65,000 გამეორებაზე, ასე რომ, ეს არის 165,000 გამეორება, რომელიც იცავს ჩემს Diceware პაროლის ფრაზას. ასე რომ, არა, მე ნამდვილად არ ვფლობ ამ დარღვევას. მე არც კი ვგრძნობ იძულებას შევცვალო ჩემი ძირითადი პაროლი.
სინამდვილეში, ჩვენი გუნდის საკმაოდ ბევრი წევრი იყენებს ხელსაწყოს და ჩვენ გავაკეთეთ ზუსტად იგივე რამ, რაც ზემოთ აღვნიშნეთ. ახლა კი გვსურს ცოდნა რაც შეიძლება მეტ ადამიანზე გავავრცელოთ.
გსურთ სცადოთ ალტერნატივები?
კარგი, თუ გრძნობთ, რომ ამ ყველაფრის გამო დაკარგეთ რწმენა LastPass-ის მიმართ, მაშინ, რა თქმა უნდა, ყოველთვის არის ალტერნატივები. თუ თქვენ მზად ხართ ჩადოთ ცოტა ფული (და დაკარგული რწმენის ნაწილი), მაშინ ყოველთვის არის 1 პაროლი. ეს არის იგივე არქიტექტურა და უსაფრთხოების ზომები, მაგრამ Agilebits, კომპანია 1Password-ის უკან, აქვს უკეთესი გამოცდილება, ვიდრე LastPass. ამით ჩვენ ვგულისხმობთ, რომ ის არასოდეს ყოფილა გატეხილი. არ არის მოხსენებული, უფრო ზუსტად. ჯერ კიდევ.
გადაიტანეთ თქვენი პაროლები iOS-ში: ადვილია თქვენი მონაცემების გადატანა LastPass-დან 1Password-ზე iOS-ისთვის, მას შემდეგ რაც წაიკითხავთ ჩვენს სასარგებლო სტატიას.
თუ არაფრის დახარჯვა არ გსურთ, მაშინ არსებობს უფასო ალტერნატივა. მას ეძახიან KeepPass და ის ასევე ღია წყაროა. და ჩვენც დავწერეთ გზამკვლევი თქვენი LastPass პაროლების Keepass-ზე გადასატანად.
მიუხედავად იმისა, რომ ეს არ არის ისეთი მოსახერხებელი, როგორც 1Password, თუ თქვენ მზად ხართ ითამაშოთ, შეიძლება დაემატოს რამდენიმე დანამატი, რათა შეესაბამებოდეს მისი ფასიანი თანატოლის ფუნქციონირებას. თუმცა ამას გარკვეული მოთმინება სჭირდება, ამიტომ მოემზადეთ.
ჩვენი 2 ცენტი
ძალიან ადვილია კომპანიის დადანაშაულება და იმის თქმა, რომ ისინი არ უფრთხილდებოდნენ თქვენს მონაცემებს. მაგრამ ეს ისეთივე კარგია, როგორც ბანკების დადანაშაულება, როდესაც არის ძარცვა. ხალხს არ შეუწყვეტია ფულის იქ ჩადება და არც თქვენ უნდა შეწყვიტოთ პაროლის მენეჯერების ნდობა, მხოლოდ იმიტომ, რომ ერთი გატეხეს.
ჩვენ არც კი ვამბობთ, რომ უსაფრთხოება იყო სუსტი LastPass-ის მხრივ, მაგრამ მათ აუცილებლად უნდა აწიონ წინდები. ეს არ იყო პირველი შემთხვევა ა მათ სისტემაში დაფიქსირდა საფრთხე, მაგრამ ორივეჯერ მნიშვნელოვანი არაფერი მოიპარეს/დაკარგეს. ისინი მოქმედებდნენ სწრაფად და დაუყონებლივ აცნობეს მომხმარებლებს და უკვე გაუმკლავდნენ უსაფრთხოების საკითხს, რამაც გამოიწვია ეს. ცოტა მეტი სიფრთხილით, თქვენ შეგიძლიათ უზრუნველყოთ ბევრად უფრო ბედნიერი გონების მდგომარეობა. თუ შეგიძლიათ მთელი ეს დრო გაატაროთ თქვენს საბანკო ბალანსზე ფიქრში, დარწმუნებული ვართ, რომ შეგიძლიათ დაზოგოთ რამდენიმე აზრი იმ პაროლების შესახებ, რომლებიც მათ უსაფრთხოდ ინახავს?