LastPass uzlauzts: lūk, kas jums jādara

Mums tik ļoti patika LastPass, ka mēs to faktiski saucām Labākais paroļu pārvaldnieks. Tātad, kad stāsts par uzlaušanu izcēlās pirms kāda laika, mēs visi bijām šoka stāvoklī. Bet vai tas nozīmē, ka ikvienam vajadzētu atteikties no LastPass un izmantot kaut ko citu? Vai jūsu paroles ir drošībā mākonī? Vai mēs varam atkal uzticēties uzņēmumam? Tas ir tas, ko mēs cenšamies noskaidrot.

Nekrītiet panikā

Lieki piebilst, ka šī ir pirmā lieta, kas jādara. Panika vai, vēl ļaunāk, nepatiesas informācijas izplatīšana, izmantojot jebkādus medijus, vienkārši nav pareizais veids, kā reaģēt uz krīzi. Lai gan ir dabiski justies nobijies, lasot šādas ziņas, jums ir jāsaprot, ka nevajadzīgai panikai vienkārši nav jēgas. Savos emuāra ieraksts, LastPass ir skaidri norādījis, un es citēju,

Veicot izmeklēšanu, mēs neatradām nekādus pierādījumus par to, ka tika ņemti šifrēti lietotāju glabātuves dati, nedz arī par piekļuvi LastPass lietotāju kontiem.

Jā, tas turpina teikt

Tomēr izmeklēšana ir parādījusi, ka LastPass konta e-pasta adreses, paroles atgādinājumi, servera katram lietotājam un autentifikācijas jaucējkodoli tika apdraudēti.

Bet, kas vai tas nozīmē, jūs jautājat? Vienkārši sakot, tas nozīmē, ka, lai gan visas jūsu paroles ir drošībā, cita informācija var nebūt drošībā. Atkal, emuāra ierakstā jau ir sniegti daži noderīgi padomi.

Jā, dati no paroļu pārvaldniekiem tiek glabāti mākonī, taču informācija tiek šifrēta tieši jūsu datorā. Un, lai gan mākoņdatošanas arhitektūra ir saistīta ar nelielu risku, jūs joprojām varat būt mierīgs, zinot, ka visi šifrētie dati tajā nekad netiek glabāti. Kas ietver visi jūsu paroles.

Noderīgs padoms: Apskatiet mūsu Galīgais paroļu ceļvedis lai uzzinātu visu par paroļu izveidi un pārvaldību internetā.

Profilakse vienmēr ir labāka nekā ārstēšana

Šis vecais sakāmvārds nekad nevarētu būt tik aktuālāks kā mūsdienās, kad tiek snoucīt internetā un tiek zaudēta privātums. Šeit ir norādītas dažas darbības, kas jums jāveic, kad runa ir par jūsu LastPass kontu, lai nodrošinātu, ka nezaudējat miegu šādu incidentu dēļ.

Mainiet galveno paroli

Lai mainītu LastPass galveno paroli, vienkārši noklikšķiniet uz Preferences, kur kreisajā pusē atradīsit sadaļu Konta iestatījumi. Noklikšķinot uz tā, tiks parādīta iespēja Noklikšķiniet šeit, lai palaistu konta iestatījumus kā parādīts zemāk.

Noklikšķinot uz tā, tiks atvērta jauna cilne, kurā viss, kas jums jādara, ir jānoklikšķina uz Mainiet galveno paroli pogu un dodieties uz jaunāku (un spēcīgāku) alternatīvu.

Tas ir viss, vissvarīgākais solis, kas jums būtu jādara pēc šī incidenta.

2 faktoru autentifikācija un citas drošības opcijas

Mēs uzskatām, ka tā ir laba ideja izmantojiet 2 faktoru autentifikāciju kur vien iespējams, un jo īpaši vietās, kur tiek glabāti sensitīvi dati. LastPass ir pilnīgi pareizi, iesakot izmantot šo pakalpojumu, un mēs uzskatām, ka jums tas jādara uzreiz pēc galvenās paroles nomaiņas. Faktiski, kamēr to darāt, apsveriet iespēju pievienot 2 pakāpju autentifikācijas faktoru visiem jūsu izmantotajiem pakalpojumiem, kuros ir sensitīvi dati.

LastPass jūs atradīsit Daudzfaktoru opcijas sadaļā Konta iestatījumi (skatiet iepriekš). Šeit jūs atradīsit iespējas vēl vairāk aizsargāt savu LastPass kontu. Jūs redzēsiet arī Režģa autentifikācijas opcija par ko esam rakstījuši iepriekš.

Ierobežojums valstī

Vēl viens drošības līmenis, ko LastPass lietotājiem liek izpētīt, ir valsts ierobežojumu politika. Kad tas ir iespējots, jūsu LastPass datiem varēs piekļūt tikai ierīces, kuru izcelsme ir jūsu dzīvesvietas valstī. Ja ierīce no jebkuras citas valsts mēģina tai piekļūt, tiks parādīts kļūdas ziņojums. Mēs esam to aplūkoja ļoti detalizēti un jums tas noteikti ir jāizlasa, ja vēl neesat to izdarījis.

Vai joprojām uztraucaties?

Neesiet. Šeit vairs nekas nav jādara. LastPass jau ir atjauninājis savu drošību un jau aicina lietotājus pārbaudīt pa e-pastu, ja viņi izmanto jaunu ierīci vai jaunu IP. Lai to pārbaudītu, mēs izmēģinājām tieši to un ar prieku ziņojām, ka šī darbība darbojas tāpat kā reklamēts.

Esošie lietotāji arī tiek aicināti mainīt savu galveno paroli, taču pat tad, ja jūs nesaņemat šo uzvedni, mēs aicinām jūs to izdarīt jebkurā gadījumā. Visbeidzot, mēs vēlamies citēt Džeremiju Gosniju (paroļu drošības eksperts vietnē Stricture grupa), kurš runāja ar Ars Technica par uzlaušanu -

NVIDIA GTX Titan X, kas pašlaik ir ātrākais GPU paroles uzlaušanai, uzbrucējs varētu veikt tikai mazāk nekā 10 000 minējumu sekundē par vienu paroles jaucējkrānu. Tas ir pareizi lēni! Pat vājas paroles ir diezgan drošas ar šādu aizsardzības līmeni (ja vien neizmantojat absurdi vāju parole.) Un tas pat neņem vērā klienta puses iterāciju skaitu, kas ir lietotāja konfigurējams. Noklusējums ir 5000 iterāciju, tāpēc mēs skatāmies uz vismaz 105 000 iterāciju. Man patiesībā ir iestatītas 65 000 iterāciju, tātad kopā tas ir 165 000 iterāciju, kas aizsargā manu Diceware ieejas frāzi. Tāpēc nē, es noteikti nesvīstu par šo pārkāpumu. Es pat nejūtos spiests mainīt savu galveno paroli.

Patiesībā šo rīku izmanto diezgan daudzi mūsu komandas locekļi, un mēs esam darījuši tieši to pašu, ko esam minējuši iepriekš. Un tagad mēs vēlamies izplatīt zināšanas pēc iespējas vairāk cilvēku.

Vai vēlaties izmēģināt alternatīvas?

Labi, ja jūtat, ka šī visa dēļ esat zaudējis ticību LastPass, tad, protams, vienmēr ir alternatīvas. Ja esat gatavs ieguldīt nedaudz naudas (un daļu no šīs zaudētās ticības), tad tas vienmēr ir 1 Parole. Tā ir tāda pati arhitektūra un drošības pasākumi, taču Agilebits, uzņēmumam, kas ir aiz 1Password, ir labāki sasniegumi nekā LastPass. Ar to mēs domājam, ka tas nekad nav bijis uzlauzts. Nav ziņots, precīzāk. Tomēr.

Pārsūtiet savas paroles operētājsistēmā iOS: Ir viegli pārsūtīt datus no LastPass uz 1Password operētājsistēmai iOS, kad esat izlasījis mūsu noderīgo rakstu par to.

Ja nevēlaties neko tērēt, tad ir bezmaksas alternatīva. To sauc KeepPass un tas ir arī atvērts avots. Un mēs arī esam rakstījuši ceļvedis LastPass paroļu pārsūtīšanai uz Keepass.

Lai gan tas nav tik ērti kā 1Password, ja vēlaties spēlēties, var pievienot dažus spraudņus, lai tie atbilstu tā maksas vienaudžu funkcionalitātei. Tomēr tas prasa zināmu pacietību, tāpēc esiet gatavs.

Mūsu 2 centi

Ir ļoti viegli vainot uzņēmumu un teikt, ka viņi nebija uzmanīgi ar jūsu datiem. Bet tas ir tikpat labi kā vainot bankas, kad notiek laupīšana. Cilvēki nav pārstājuši tur likt naudu, un arī jums nevajadzētu pārstāt uzticēties paroļu pārvaldniekiem tikai tāpēc, ka viens tika uzlauzts.

Mēs pat nesakām, ka apsardze no LastPass puses bija vāja, taču viņiem noteikti ir jāpavelk zeķes. Tā nebija pirmā reize, kad a draudi tika atklāti viņu sistēmā, bet abas reizes nekas būtisks netika nozagts/pazaudēts. Viņi rīkojās ātri un nekavējoties informēja lietotājus, un jau ir risinājuši drošības problēmu, kas noveda pie tā. Pats ar nedaudz lielāku piesardzību jūs varat nodrošināt daudz laimīgāku garastāvokli. Ja visu šo laiku varat pavadīt, domājot par savu bankas bilanci, mēs esam pārliecināti, ka varat nedaudz padomāt arī par parolēm, kas tos aizsargā?