LastPass hacket: Her er hva du trenger å gjøre

Vi hadde elsket LastPass så mye at vi faktisk hadde kalt det Den beste passordbehandleren. Så når historien om hacket brøt ut for en stund siden, vi var alle i en sjokktilstand. Men betyr det at alle burde droppe LastPass og bruke noe annet? Er passordene dine trygge i skyen? Kan vi stole på selskapet igjen? Det er det vi prøver å finne ut.

Ikke få panikk

Unødvendig å si at dette er det første som må gjøres. Panikk, eller enda verre, å spre falsk informasjon via et hvilket som helst medium, er rett og slett ikke den rette måten å reagere på kriser. Selv om det er naturlig å føle seg redd når du leser en nyhet som dette, må du innse at unødvendig panikk bare ikke tjener noen hensikt. I deres blogg innlegg, LastPass har gjort det klart, og jeg siterer,

I vår undersøkelse har vi ikke funnet noen bevis for at krypterte brukerhvelvdata ble tatt, eller at LastPass-brukerkontoer ble åpnet.

Ja, det fortsetter å si det

Undersøkelsen har imidlertid vist at LastPass-konto-e-postadresser, passordpåminnelser, server-per-bruker-salter og autentiserings-hasher ble kompromittert.

Men, hva betyr dette, spør du? Enkelt sagt betyr det at selv om alle passordene dine er trygge, kan det hende at annen informasjon ikke er det. For noe blogginnlegget igjen har allerede gitt noen nyttige tips.

Ja, dataene fra passordbehandlere lagres på skyen, men informasjonen er kryptert rett på datamaskinen din. Og selv om cloud computing-arkitekturen innebærer en liten risiko, kan du fortsatt være rolig og vite at all kryptert data aldri blir lagret der. Som inkluderer alle passordene dine.

Nyttig tips: Sjekk ut vår Ultimate guide om passord å vite alt om å lage og administrere passord på internett.

Forebygging er alltid bedre enn kur

Dette gamle ordtaket kunne aldri vært mer relevant enn i disse tider med internettsnoking og tap av privatliv. Her er noen trinn du bør følge når det gjelder LastPass-kontoen din, for å sikre at du ikke mister søvn over slike hendelser.

Endre hovedpassordet

For å endre hovedpassordet til LastPass, klikker du bare på Preferanser, hvor du finner delen Kontoinnstillinger til venstre. Ved å klikke på det får du muligheten til å Klikk her for å starte kontoinnstillinger som vist under.

Ved å klikke på det åpnes en ny fane, der alt du trenger å gjøre er å trykke på Endre hovedpassord knappen og gå for et nyere (og sterkere) alternativ.

Det er det, det viktigste trinnet du bør gjøre etter at denne hendelsen er fullført!

2-faktor autentisering og andre sikkerhetsalternativer

Vi føler det er en god idé å bruk 2-faktor autentisering der det er mulig, og spesielt på steder hvor sensitive data er lagret. LastPass er helt korrekt i å foreslå bruk av denne tjenesten, og vi føler at du bør gjøre dette med en gang, etter å ha endret hovedpassordet ditt. Faktisk, mens du er i gang, bør du vurdere å legge til 2-trinns autentiseringsfaktor til alle tjenestene du bruker som inneholder sensitive data.

I LastPass finner du Multifaktoralternativer i Kontoinnstillinger (se ovenfor). Det er her du finner alternativer for å sikre LastPass-kontoen din ytterligere. Du vil også se Alternativ for rutenettautentisering som vi har skrevet om før.

Landsbasert restriksjon

Et annet lag med sikkerhet som LastPass krever at brukerne utforsker, er den landsbaserte restriksjonspolitikken. Når det er aktivert, vil dette bare gjøre det mulig for enheter som kommer fra landet du bor i å få tilgang til LastPass-dataene dine. Hvis en enhet fra et annet land prøver å få tilgang til den, vil de vise en feilmelding. Vi har dekket dette mye detaljert og du bør definitivt lese den, hvis du ikke allerede har gjort det.

Fortsatt bekymret?

Ikke vær. Det er ikke noe mer å gjøre her. LastPass har allerede oppdatert sikkerheten og ber allerede brukere om å bli verifisert via e-post, hvis de bruker en ny enhet eller en ny IP. For å bekrefte dette, prøvde vi nettopp det og var glade for å kunne rapportere at dette trinnet fungerer akkurat som annonsert.

Eksisterende brukere blir også bedt om å endre hovedpassordet sitt, men selv om du ikke får den forespørselen, oppfordrer vi deg til å gjøre det likevel. Til slutt vil vi sitere Jeremi Gosney (en passordsikkerhetsekspert på Strengegruppe) som snakket med Ars Technica om hacket –

På en NVIDIA GTX Titan X, som for øyeblikket er den raskeste GPUen for passordknekking, vil en angriper bare kunne gjøre færre enn 10 000 gjetninger per sekund for en enkelt passordhash. Det er skikkelig tregt! Selv svake passord er ganske sikre med det beskyttelsesnivået (med mindre du bruker en absurd svak passord.) Og dette tar ikke engang hensyn til antall iterasjoner på klientsiden, som er brukerkonfigurerbar. Standard er 5 000 iterasjoner, så vi ser på et minimum på 105 000 iterasjoner. Jeg har faktisk min satt til 65 000 iterasjoner, så det er totalt 165 000 iterasjoner som beskytter min Diceware-passordfrase. Så nei, jeg svetter definitivt ikke dette bruddet. Jeg føler meg ikke engang tvunget til å endre hovedpassordet mitt.

Faktisk er det ganske mange medlemmer av vårt eget team som bruker verktøyet, og vi har gjort nøyaktig de samme tingene som vi har uttalt ovenfor. Og nå ønsker vi å spre kunnskapen til så mange som mulig.

Vil du prøve alternativer?

Ok, hvis du føler at du har mistet troen på LastPass på grunn av alt dette, så finnes det selvfølgelig alltid alternativer. Hvis du er villig til å investere litt penger (og noe av den mistet troen), så er det alltid det 1Passord. Det er den samme arkitekturen og sikkerhetstiltakene som gjelder, men Agilebits, selskapet bak 1Password, har en bedre merittliste enn LastPass. Med det mener vi at den aldri har blitt hacket. Har ikke blitt rapportert, for å være mer presis. Ennå.

Overfør passordene dine i iOS: Det er enkelt å overføre dataene dine fra LastPass til 1Password for iOS, når du har lest vår nyttige artikkel om det.

Hvis du ikke er villig til å bruke noe, så er det et gratis alternativ. Det heter KeepPass og det er åpen kildekode også. Og vi har også skrevet en veiledning for å overføre LastPass-passordene dine til Keepass.

Selv om det ikke er så praktisk som 1Password, hvis du er villig til å leke, kan noen få plugins legges til for å matche funksjonaliteten til dens betalte peer. Det krever litt tålmodighet, så vær forberedt.

Våre 2 cent

Det er veldig enkelt å skylde på et selskap og si at de ikke var forsiktige med dataene dine. Men det er like godt som å skylde på bankene når det er et ran. Folk har ikke sluttet å sette pengene sine der, og du bør heller ikke slutte å stole på passordbehandlere, bare fordi en ble hacket.

Vi sier ikke engang at sikkerheten var slapp fra LastPass sin side, men de trenger definitivt å trekke opp sokkene. Det var ikke første gang a trusselen ble oppdaget i systemet deres, men begge gangene ble det ikke stjålet/tapt noe større. De handlet raskt og varslet brukerne raskt og har allerede håndtert sikkerhetsproblemet som førte til dette. Med litt mer forsiktighet selv, kan du sikre en mye lykkeligere sinnstilstand. Hvis du kan bruke all den tiden på å tenke på banksaldoen din, er vi sikre på at du også kan spare noen tanker for passordene som holder dem trygge?