LastPass zhakowany: oto, co musisz zrobić
Różne / / February 12, 2022
Tak bardzo pokochaliśmy LastPass, że właściwie go nazwaliśmy Najlepszy menedżer haseł. Tak więc, kiedy historia włamania wybuchło jakiś czas temu, wszyscy byliśmy w szoku. Ale czy to oznacza, że każdy powinien porzucić LastPass i użyć czegoś innego? Czy Twoje hasła są bezpieczne w chmurze? Czy możemy znów zaufać firmie? Właśnie tego próbujemy się dowiedzieć.
![Nie pozwól im ukraść twoich haseł](/f/d449bbfc21012ff0f66eff04408c0fa5.jpg)
Nie panikuj
Nie trzeba dodawać, że jest to pierwsza rzecz, którą należy zrobić. Panika lub, co gorsza, rozpowszechnianie fałszywych informacji za pośrednictwem jakiegokolwiek medium, po prostu nie jest właściwym sposobem reagowania na kryzys. Chociaż to naturalne, że boisz się, gdy czytasz takie wiadomości, musisz zdać sobie sprawę, że niepotrzebna panika po prostu nie służy żadnemu celowi. W ich post na blogu, LastPass wyjaśnił, cytuję,
W naszym dochodzeniu nie znaleźliśmy dowodów na to, że zaszyfrowane dane z sejfu użytkownika zostały pobrane, ani że uzyskano dostęp do kont użytkowników LastPass.
Tak, dalej mówi, że
Dochodzenie wykazało jednak, że adresy e-mail kont LastPass, przypomnienia hasła, sole serwera na użytkownika i skróty uwierzytelniania zostały naruszone.
Ale, Co czy to znaczy, pytasz? Mówiąc prosto, oznacza to, że chociaż wszystkie twoje hasła są bezpieczne, inne informacje mogą nie być. Co do tego, ponownie, post na blogu zawierał już kilka pomocnych wskazówek.
![Obawy dotyczące bezpieczeństwa E1434461373253](/f/7fb156b825df9305aec71306ffa38272.jpg)
Tak, dane z menedżerów haseł są przechowywane w chmurze, ale informacje są szyfrowane bezpośrednio na Twoim komputerze. I chociaż architektura chmury obliczeniowej wiąże się z niewielkim ryzykiem, nadal możesz spać spokojnie, wiedząc, że nigdy nie są tam przechowywane wszystkie zaszyfrowane dane. Który zawiera Wszystko Twoje hasła.
Pomocna wskazówka: Sprawdź nasze Kompletny przewodnik po hasłach wiedzieć wszystko o tworzeniu i zarządzaniu hasłami w Internecie.
Zawsze lepiej zapobiegać niż leczyć
To stare powiedzenie nigdy nie może być bardziej aktualne niż w czasach węszenia w Internecie i utraty prywatności. Oto kilka kroków, które należy wykonać, jeśli chodzi o konto LastPass, aby nie stracić snu z powodu takich incydentów.
Zmień hasło główne
Aby zmienić hasło główne LastPass, po prostu kliknij Preferencje, gdzie po lewej stronie znajdziesz sekcję Ustawienia konta. Kliknięcie, które da ci możliwość Kliknij tutaj, aby uruchomić ustawienia konta jak pokazano niżej.
![Preferencje ostatniej przepustki Ustawienia konta](/f/b91bb3be75b7bc798ad87634efbb5dc4.png)
Kliknięcie, które otworzy nową kartę, w której wszystko, co musisz zrobić, to nacisnąć Zmień hasło główne i wybierz nowszą (i silniejszą) alternatywę.
![Zmień hasło główne E1434455563193](/f/822a8d4055a96ffcb342476912f9cf94.png)
To wszystko, najważniejszy krok, który powinieneś zrobić po tym incydencie!
Uwierzytelnianie dwuskładnikowe i inne opcje bezpieczeństwa
Uważamy, że to dobry pomysł użyj uwierzytelniania dwuskładnikowego wszędzie tam, gdzie jest to możliwe, a zwłaszcza w miejscach, w których przechowywane są dane wrażliwe. LastPass ma całkowitą rację sugerując korzystanie z tej usługi i uważamy, że powinieneś to zrobić od razu, po zmianie hasła głównego. W rzeczywistości, gdy już to robisz, rozważ dodanie współczynnika uwierzytelniania dwuetapowego do wszystkich usług, z których korzystasz, które przechowują poufne dane.
![Mój skarbiec ostatniej przepustki](/f/ba76a100f874f1c110bd3c028210ff0e.jpg)
W LastPass znajdziesz Opcje wieloczynnikowe w Ustawieniach Konta (patrz wyżej). Tutaj znajdziesz opcje dalszego zabezpieczenia konta LastPass. Zobaczysz również Opcja uwierzytelniania w sieci o których pisaliśmy już wcześniej.
Ograniczenia krajowe
Inną warstwą bezpieczeństwa, którą LastPass wymaga od użytkowników, jest polityka ograniczeń oparta na kraju. Po włączeniu umożliwi to dostęp do danych LastPass tylko urządzeniom pochodzącym z kraju zamieszkania. Jeśli urządzenie z innego kraju spróbuje uzyskać do niego dostęp, wyświetli komunikat o błędzie. mamy omówił to szczegółowo i zdecydowanie powinieneś to przeczytać, jeśli jeszcze tego nie zrobiłeś.
Nadal się martwisz?
Nie bądź. Tutaj nie ma nic więcej do zrobienia. LastPass już zaktualizował swoje zabezpieczenia i już prosi użytkowników o weryfikację za pośrednictwem poczty e-mail, jeśli używają nowego urządzenia lub nowego adresu IP. Aby to zweryfikować, spróbowaliśmy właśnie tego i z przyjemnością zakomunikowaliśmy, że ten krok działa tak, jak w reklamie.
![Poczta weryfikacyjna z ostatniego przejścia](/f/b960933735476fcb58359a7bfb234485.png)
Istniejący użytkownicy są również proszeni o zmianę hasła głównego, ale nawet jeśli nie otrzymasz tego monitu, i tak nalegamy, abyś to zrobił. Na koniec chcielibyśmy zacytować Jeremiego Gosneya (eksperta ds. bezpieczeństwa haseł w Grupa ścisła), który rozmawiał z Ars Technica o włamaniu –
Na karcie NVIDIA GTX Titan X, która jest obecnie najszybszym procesorem graficznym do łamania haseł, osoba atakująca byłaby w stanie wykonać mniej niż 10 000 prób na sekundę dla pojedynczego skrótu hasła. To jest właściwie powolne! Nawet słabe hasła są dość bezpieczne przy takim poziomie ochrony (chyba że używasz absurdalnie słabego hasło.) A to nawet nie uwzględnia liczby iteracji po stronie klienta, czyli konfigurowalny przez użytkownika. Wartość domyślna to 5000 iteracji, więc co najmniej mamy do czynienia z 105 000 iteracji. W rzeczywistości mam ustawione na 65 000 iteracji, więc w sumie daje to 165 000 iteracji chroniących moje hasło Diceware. Więc nie, zdecydowanie nie pocę się nad tym wyłomem. Nie czuję się nawet zmuszony do zmiany hasła głównego.
W rzeczywistości wielu członków naszego zespołu korzysta z tego narzędzia i zrobiliśmy dokładnie to samo, co powiedzieliśmy powyżej. A teraz pragniemy przekazać tę wiedzę jak największej liczbie osób.
Chcesz wypróbować alternatywy?
Dobra, jeśli czujesz, że straciłeś wiarę w LastPass z tego powodu, to oczywiście zawsze są alternatywy. Jeśli chcesz zainwestować trochę pieniędzy (i część tej utraconej wiary), to zawsze jest 1Hasło. W grę wchodzi ta sama architektura i środki bezpieczeństwa, ale Agilebits, firma stojąca za 1Password, ma lepsze osiągnięcia niż LastPass. Rozumiemy przez to, że nigdy nie został zhakowany. Nie zgłoszono, żeby być bardziej precyzyjnym. Już.
![1 hasło I OS App](/f/7c668b31704b34dd7f370d13ae939b4c.jpg)
Przenieś swoje hasła w iOS: Przenoszenie danych z LastPass do 1Password na iOS jest łatwe, po przeczytaniu naszego przydatnego artykułu na ten temat.
Jeśli nie chcesz nic wydawać, istnieje bezpłatna alternatywa. To jest nazwane KeepPass i jest to również open source. A my też napisaliśmy przewodnik do przenoszenia haseł LastPass do Keepass.
Chociaż nie jest to tak wygodne jak 1Password, jeśli chcesz się pobawić, możesz dodać kilka wtyczek, aby dopasować funkcjonalność płatnego peera. Wymaga to jednak trochę cierpliwości, więc bądź przygotowany.
Nasze 2 centy
Bardzo łatwo jest obwiniać firmę i mówić, że nie dbała o Twoje dane. Ale to równie dobre, jak obwinianie banków, gdy dochodzi do napadu. Ludzie nie przestali tam wkładać swoich pieniędzy i nie powinieneś przestać ufać menedżerom haseł tylko dlatego, że ktoś został zhakowany.
Nie mówimy nawet, że LastPass nie dbał o bezpieczeństwo, ale zdecydowanie muszą podciągnąć skarpetki. To nie był pierwszy raz a w ich systemie wykryto zagrożenie, ale za każdym razem nic poważnego nie zostało skradzione/zgubione. Działali szybko i bezzwłocznie powiadamiali użytkowników i zajęli się już kwestią bezpieczeństwa, która do tego doprowadziła. Przy odrobinie większej ostrożności możesz zapewnić znacznie szczęśliwszy stan umysłu. Jeśli możesz poświęcić cały ten czas na rozmyślanie o swoim saldzie bankowym, jesteśmy pewni, że możesz też poświęcić kilka przemyśleń na hasła, które zapewniają im bezpieczeństwo?