„LastPass“ nulaužtas: štai ką jums reikia padaryti
Įvairios / / November 29, 2021
Mums taip patiko „LastPass“, kad iš tikrųjų jį vadinome Geriausia slaptažodžių tvarkyklė. Taigi, kai įsilaužimo istorija kilo prieš kurį laiką, visi buvome šoko būsenos. Bet ar tai reiškia, kad visi turėtų atsisakyti LastPass ir naudoti ką nors kita? Ar jūsų slaptažodžiai saugūs debesyje? Ar galime vėl pasitikėti įmone? Tai mes ir bandome išsiaiškinti.
Nepanikuokite
Nereikia nė sakyti, kad tai pirmas dalykas, kurį reikia padaryti. Panika arba, dar blogiau, melagingos informacijos skleidimas per bet kokią terpę, tiesiog nėra tinkamas būdas reaguoti į bet kokią krizę. Nors natūralu, kad skaitant tokias naujienas jautiesi išsigandęs, turi suprasti, kad bereikalinga panika tiesiog neduoda jokio tikslo. Savo tinklaraščio straipsnis, LastPass aiškiai pasakė ir cituoju,
Atlikdami tyrimą neradome jokių įrodymų, kad buvo paimti užšifruoti vartotojo saugyklos duomenys arba kad buvo pasiekta „LastPass“ naudotojų paskyra.
Taip, toliau tai sakoma
Tačiau tyrimas parodė, kad buvo pažeisti LastPass paskyros el. pašto adresai, slaptažodžio priminimai, serverio kiekvienam vartotojui skirtos druskos ir autentifikavimo maišos.
bet, ką ar tai reiškia, klausiate? Paprasčiau tariant, tai reiškia, kad nors visi jūsų slaptažodžiai yra saugūs, kita informacija gali nebūti. Tam, vėlgi, tinklaraščio įraše jau buvo pateikti keli naudingi patarimai.
Taip, slaptažodžių tvarkyklių duomenys saugomi debesyje, tačiau informacija užšifruojama tiesiai jūsų kompiuteryje. Ir nors debesų kompiuterijos architektūra kelia nedidelę riziką, vis tiek galite būti ramūs, žinodami, kad visi užšifruoti duomenys ten niekada nesaugomi. Kurie apima visi savo slaptažodžius.
Naudingas patarimas: Peržiūrėkite mūsų Galutinis slaptažodžių vadovas žinoti viską apie slaptažodžių kūrimą ir tvarkymą internete.
Prevencija visada geriau nei gydymas
Šis senas posakis niekada negali būti aktualesnis nei šiais interneto šnipinėjimo ir privatumo praradimo laikais. Štai keli veiksmai, kurių turėtumėte atlikti, kai kalbate apie LastPass paskyrą, kad neprarastumėte miego dėl tokių incidentų.
Pakeiskite pagrindinį slaptažodį
Norėdami pakeisti pagrindinį LastPass slaptažodį, tiesiog spustelėkite Parinktys, kur kairėje rasite skyrių Paskyros nustatymai. Spustelėję jį gausite galimybę Spustelėkite čia, kad paleistumėte paskyros nustatymus kaip parodyta žemiau.
Spustelėjus bus atidarytas naujas skirtukas, kuriame viskas, ką jums reikia padaryti, tai paspausti Pakeiskite pagrindinį slaptažodį mygtuką ir pasirinkite naujesnę (ir stipresnę) alternatyvą.
Štai viskas, svarbiausias veiksmas, kurį turėtumėte padaryti po šio incidento!
2 faktorių autentifikavimas ir kitos saugos parinktys
Manome, kad tai gera idėja naudoti 2 faktorių autentifikavimą kur įmanoma, o ypač vietose, kur saugomi jautrūs duomenys. LastPass yra visiškai teisus siūlydamas naudotis šia paslauga ir manome, kad turėtumėte tai padaryti iš karto, pakeitę pagrindinį slaptažodį. Tiesą sakant, kol tai darote, apsvarstykite galimybę pridėti 2 žingsnių autentifikavimo faktorių į visas naudojamas paslaugas, kuriose saugomi neskelbtini duomenys.
„LastPass“ rasite Daugiafaktorių parinktys Paskyros nustatymuose (žr. aukščiau). Čia rasite parinkčių, kaip dar labiau apsaugoti savo LastPass paskyrą. Taip pat pamatysite Tinklelio autentifikavimo parinktis apie kuriuos rašėme anksčiau.
Šalies apribojimas
Kitas saugumo lygis, kurį „LastPass“ įpareigoja naudotojai ištirti, yra apribojimų politika pagal šalį. Įjungus šią funkciją, jūsų LastPass duomenis galės pasiekti tik jūsų gyvenamosios šalies kilę įrenginiai. Jei įrenginys iš bet kurios kitos šalies bandys jį pasiekti, bus rodomas klaidos pranešimas. mes turime tai aprašė labai išsamiai ir jūs tikrai turėtumėte jį perskaityti, jei dar to nepadarėte.
Vis dar nerimaujate?
Nebūk. Čia nėra ką daugiau veikti. „LastPass“ jau atnaujino savo apsaugą ir jau ragina vartotojus patvirtinti el. paštu, jei jie naudoja naują įrenginį arba naują IP. Norėdami tai patikrinti, mes bandėme tai ir džiaugiamės galėdami pranešti, kad šis veiksmas veikia taip, kaip reklamuojama.
Esami vartotojai taip pat raginami pakeisti savo pagrindinį slaptažodį, bet net jei tokio raginimo negaunate, raginame tai padaryti vis tiek. Galiausiai norėtume pacituoti Jeremi Gosney (slaptažodžių saugos ekspertas Stricture grupė), kuris kalbėjosi su Ars Technica apie įsilaužimą –
NVIDIA GTX Titan X, kuris šiuo metu yra greičiausias slaptažodžių nulaužimo GPU, užpuolikas galėtų atlikti tik mažiau nei 10 000 spėjimų per sekundę dėl vieno slaptažodžio maišos. Tai tikrai lėtas! Net silpni slaptažodžiai yra gana saugūs naudojant tokį apsaugos lygį (nebent naudojate absurdiškai silpną slaptažodis.) Ir tai net neatsižvelgia į kliento pusės iteracijų skaičių, o tai yra vartotojo konfigūruojamas. Numatytasis yra 5 000 iteracijų, taigi mes žiūrime į mažiausiai 105 000 iteracijų. Tiesą sakant, aš nustatiau 65 000 iteracijų, taigi iš viso tai yra 165 000 iteracijų, apsaugančių mano Diceware slaptafrazę. Taigi ne, aš tikrai neprakaitu dėl šio pažeidimo. Net nesijaučiu verčiamas keisti pagrindinio slaptažodžio.
Tiesą sakant, nemažai mūsų komandos narių naudojasi šiuo įrankiu ir mes padarėme lygiai tuos pačius dalykus, kuriuos minėjome aukščiau. O dabar norime paskleisti žinias kuo daugiau žmonių.
Norite išbandyti alternatyvas?
Gerai, jei manote, kad dėl viso šito praradote tikėjimą LastPass, žinoma, visada yra alternatyvų. Jei esate pasirengęs investuoti šiek tiek pinigų (ir dalį to prarasto tikėjimo), visada yra 1 Slaptažodis. Tai ta pati architektūra ir saugos priemonės, tačiau „1Password“ kompanija „Agilebits“ turi geresnius rezultatus nei „LastPass“. Tai reiškia, kad jis niekada nebuvo nulaužtas. Tiksliau, nepranešta. Dar.
Perkelkite savo slaptažodžius iOS: Nesunku perkelti duomenis iš LastPass į 1Password, skirtą iOS, kai perskaitysite mūsų naudingą straipsnį apie tai.
Jei nenorite nieko išleisti, yra nemokama alternatyva. Tai vadinama KeepPass ir tai taip pat atvirojo kodo. Ir mes taip pat parašėme vadovas, kaip perkelti LastPass slaptažodžius į Keepass.
Nors jis nėra toks patogus kaip 1Password, jei norite žaisti, galite pridėti keletą papildinių, kurie atitiktų mokamo bendraamžio funkcijas. Tačiau tam reikia šiek tiek kantrybės, todėl būkite pasiruošę.
Mūsų 2 centai
Labai lengva kaltinti įmonę ir sakyti, kad ji nebuvo atsargi su jūsų duomenimis. Bet tai taip pat gerai, kaip kaltinti bankus, kai įvyksta apiplėšimas. Žmonės nenustojo ten dėti savo pinigų, taip pat neturėtumėte nustoti pasitikėti slaptažodžių tvarkytojais vien dėl to, kad į vieną buvo įsilaužta.
Net nesakome, kad „LastPass“ saugumas buvo nerūpestingas, tačiau jiems būtinai reikia užsitraukti kojines. Tai buvo ne pirmas kartas, kai a grėsmė buvo aptikta jų sistemoje, bet abu kartus nieko svarbaus nebuvo pavogta/pamesta. Jie veikė greitai ir nedelsdami informavo vartotojus ir jau išsprendė saugumo problemą, dėl kurios tai įvyko. Patys šiek tiek atsargesni galite užtikrinti daug laimingesnę savijautą. Jei visą tą laiką galite skirti galvodami apie savo banko likutį, esame tikri, kad galite nepagailėti ir slaptažodžių, kurie juos saugo?