LastPass Hacked: Iată ce trebuie să faci
Miscellanea / / February 12, 2022
Ne-a plăcut atât de mult LastPass, încât chiar l-am numit Cel mai bun manager de parole. Deci, când povestea hack-ului a izbucnit cu ceva timp în urmă, eram cu toții în stare de șoc. Dar asta înseamnă că toată lumea ar trebui să renunțe la LastPass și să folosească altceva? Sunt parolele în siguranță în cloud? Putem avea din nou încredere în companie? Asta încercăm să aflăm.
Nu intrați în panică
Inutil să spun că acesta este primul lucru care trebuie făcut. Panicarea sau, mai rău, răspândirea de informații false prin orice mediu, pur și simplu nu este modalitatea corectă de a răspunde la orice criză. Deși este firesc să te simți speriat când citești o știre ca aceasta, trebuie să realizezi că panica inutilă pur și simplu nu servește niciunui scop. În lor postare pe blog, LastPass l-a clarificat și citez,
În investigația noastră, nu am găsit nicio dovadă că au fost preluate date criptate ale seifului utilizatorului și nici că au fost accesate conturi de utilizator LastPass.
Da, continuă să spună asta
Investigația a arătat, totuși, că adresele de e-mail ale contului LastPass, mementourile de parolă, serverul per utilizator și hashurile de autentificare au fost compromise.
Dar, ce asta înseamnă, întrebi? Simplu spus, înseamnă că, în timp ce toate parolele tale sunt în siguranță, alte informații s-ar putea să nu fie. Pentru care, din nou, postarea de blog a menționat deja câteva sfaturi utile.
Da, datele de la managerii de parole sunt stocate pe cloud, dar informațiile sunt criptate chiar pe computer. Și chiar dacă arhitectura de cloud computing implică un risc ușor, puteți sta totuși liniștiți știind că toate datele criptate nu sunt niciodată stocate acolo. Care include toate parolele tale.
Sfat util: Consultați-ne Ghid definitiv pentru parole pentru a ști totul despre crearea și gestionarea parolelor pe internet.
Prevenirea este întotdeauna mai bună decât vindecarea
Această veche zicală nu ar putea fi niciodată mai relevantă decât în aceste vremuri de snooping pe internet și pierdere a intimității. Iată câțiva pași pe care ar trebui să îi urmați când vine vorba de contul dvs. LastPass, pentru a vă asigura că nu vă pierdeți somnul din cauza unor astfel de incidente.
Schimbați parola principală
Pentru a schimba parola principală a LastPass, faceți clic pe Preferințe, unde veți găsi secțiunea Setări cont din stânga. Făcând clic pe acesta, veți avea opțiunea Faceți clic aici pentru a lansa setările contului așa cum se arată mai jos.
Făcând clic pe acesta, se va deschide o nouă filă, unde tot ce trebuie să faceți este să apăsați pe Schimbați parola principală butonul și alegeți o alternativă mai nouă (și mai puternică).
Asta este, cel mai important pas pe care ar trebui să-l faci după acest incident!
Autentificare în doi factori și alte opțiuni de securitate
Considerăm că este o idee bună utilizați autentificarea cu 2 factori oriunde este posibil și mai ales în locurile în care sunt stocate date sensibile. LastPass este absolut corect în a sugera utilizarea acestui serviciu și considerăm că ar trebui să faceți acest lucru imediat, după ce vă schimbați parola principală. De fapt, în timp ce sunteți la asta, luați în considerare adăugarea factorului de autentificare în 2 pași la toate serviciile pe care le utilizați și care dețin date sensibile.
În LastPass, veți găsi Opțiuni multifactoriale în Setările contului (vezi mai sus). Aici veți găsi opțiuni pentru a vă asigura și mai mult contul LastPass. Veți vedea, de asemenea, Opțiunea de autentificare grilă despre care am mai scris.
Restricție bazată pe țară
Un alt nivel de securitate pe care LastPass îi cere utilizatorilor să-l exploreze este politica de restricție bazată pe țară. Odată activat, acest lucru va permite numai dispozitivelor care provin din țara de reședință să vă acceseze datele LastPass. Dacă un dispozitiv din orice altă țară încearcă să îl acceseze, va afișa un mesaj de eroare. noi am a acoperit acest lucru în detaliu și cu siguranță ar trebui să-l citiți, dacă nu ați făcut-o deja.
Inca ingrijorat?
nu fi. Nu mai e nimic de făcut aici. LastPass și-a actualizat deja securitatea și le solicită deja utilizatorilor să fie verificați prin e-mail, dacă folosesc un nou dispozitiv sau un nou IP. Pentru a verifica acest lucru, am încercat exact asta și am fost bucuroși să raportăm că acest pas funcționează exact așa cum a fost anunțat.
De asemenea, utilizatorilor existenți li se solicită să-și schimbe parola principală, dar chiar dacă nu primiți această solicitare, vă îndemnăm să o faceți oricum. În cele din urmă, am dori să-l cităm pe Jeremi Gosney (un expert în securitatea parolelor la Grupul de strictețe) care a vorbit cu Ars Technica despre hack –
Pe un NVIDIA GTX Titan X, care este în prezent cel mai rapid GPU pentru spargerea parolelor, un atacator ar putea face doar mai puțin de 10.000 de ghiciri pe secundă pentru o singură parolă hash. E lent cu adevărat! Chiar și parolele slabe sunt destul de sigure cu acel nivel de protecție (cu excepția cazului în care utilizați un dispozitiv absurd de slab parola.) Și acest lucru nici măcar nu ține cont de numărul de iterații pe partea clientului, adică configurabil de utilizator. Valoarea implicită este de 5.000 de iterații, deci, cel puțin, ne uităm la 105.000 de iterații. De fapt, am al meu setat la 65.000 de iterații, deci este un total de 165.000 de iterații care îmi protejează expresia de acces Diceware. Deci nu, cu siguranță nu transpiră această breșă. Nici măcar nu mă simt obligat să-mi schimb parola principală.
De fapt, destul de mulți membri ai propriei noastre echipe folosesc instrumentul și am făcut exact aceleași lucruri pe care le-am spus mai sus. Și acum dorim să răspândim cunoștințele la cât mai mulți oameni.
Vrei să încerci alternative?
Bine, dacă simți că ți-ai pierdut încrederea în LastPass din cauza tuturor acestor lucruri, atunci, desigur, există întotdeauna alternative. Dacă ești dispus să investești câțiva bani (și o parte din acea credință pierdută), atunci există întotdeauna 1 Parolă. Este aceeași arhitectură și măsuri de securitate în joc, dar Agilebits, compania din spatele 1Password, are un istoric mai bun decât LastPass. Prin asta, vrem să spunem că nu a fost niciodată piratat. Nu a fost raportat, pentru a fi mai precis. Inca.
Transferați-vă parolele în iOS: Este ușor să vă transferați datele de la LastPass la 1Password pentru iOS, odată ce ai citit articolul nostru util despre el.
Dacă nu ești dispus să cheltuiești nimic, atunci există o alternativă gratuită. Se numeste KeepPass și este, de asemenea, open source. Și am scris și noi un ghid pentru a vă transfera parolele LastPass la Keepass.
Chiar dacă nu este la fel de convenabil ca 1Password, dacă sunteți dispus să jucați, pot fi adăugate câteva plugin-uri pentru a se potrivi cu funcționalitatea peer-ului său plătit. Totuși, este nevoie de puțină răbdare, așa că fii pregătit.
Cei 2 cenți ai noștri
Este foarte ușor să dai vina pe o companie și să spui că nu a fost atent cu datele tale. Dar asta este la fel de bun ca să dai vina băncilor atunci când are loc un jaf. Oamenii nu au încetat să-și pună banii acolo și nici tu nu ar trebui să încetezi să ai încredere în managerii de parole, doar pentru că unul a fost piratat.
Nici măcar nu spunem că securitatea a fost laxă din partea lui LastPass, dar cu siguranță trebuie să-și ridice șosetele. Nu a fost prima dată când a amenințarea a fost detectată în sistemul lor, dar de ambele ori nu a fost furat/pierdut nimic major. Ei au acționat rapid și au notificat prompt utilizatorii și s-au ocupat deja de problema de securitate care a dus la aceasta. Cu puțin mai multă precauție, vă puteți asigura o stare de spirit mult mai fericită. Dacă puteți petrece tot acest timp gândindu-vă la soldul dvs. bancar, suntem siguri că vă puteți rezerva câteva gânduri și pentru parolele care le păstrează în siguranță?