LastPass взломан: вот что вам нужно сделать

Мы так любили LastPass, что даже назвали его Лучший менеджер паролей. Таким образом, когда история взлома вспыхнул некоторое время назад, мы все были в состоянии шока. Но значит ли это, что каждый должен отказаться от LastPass и использовать что-то другое? Надежны ли ваши пароли в облаке? Можем ли мы снова доверять компании? Вот что мы пытаемся выяснить.

Не паникуйте

Излишне говорить, что это первое, что необходимо сделать. Паника или, что еще хуже, распространение ложной информации через любые средства массовой информации — это просто неправильный способ реагировать на любой кризис. Хотя естественно испытывать страх, читая такие новости, вы должны понимать, что ненужная паника просто не имеет смысла. В их Сообщение блога, LastPass дал понять, и я цитирую,

В нашем расследовании мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные хранилища пользователей или что был получен доступ к учетным записям пользователей LastPass.

Да, это продолжает говорить, что

Однако расследование показало, что адреса электронной почты учетной записи LastPass, напоминания о пароле, соли сервера для каждого пользователя и хэши аутентификации были скомпрометированы.

Но, Какие это значит, спросите вы? Проще говоря, это означает, что хотя все ваши пароли в безопасности, другой информации может не быть. Для чего, опять же, в сообщении в блоге уже указано несколько полезных советов.

Да, данные от менеджеров паролей хранятся в облаке, но информация шифруется прямо на вашем компьютере. И хотя архитектура облачных вычислений сопряжена с небольшим риском, вы все равно можете быть спокойны, зная, что все зашифрованные данные никогда не хранятся там. Который включает в себя все ваши пароли.

Полезный совет: Проверьте наши Полное руководство по паролям знать все о создании и управлении паролями в Интернете.

Профилактика всегда лучше, чем лечение

Эта старая пословица никогда не может быть более актуальной, чем в наше время интернет-слежения и потери конфиденциальности. Вот несколько шагов, которые вы должны выполнить, когда дело доходит до вашей учетной записи LastPass, чтобы не потерять сон из-за таких инцидентов.

Изменить мастер-пароль

Чтобы изменить мастер-пароль LastPass, просто нажмите на Настройки, где слева вы найдете раздел настроек учетной записи. Нажав на нее, вы получите возможность Нажмите здесь, чтобы запустить настройки учетной записи как показано ниже.

При нажатии на нее откроется новая вкладка, где все, что вам нужно сделать, это нажать кнопку Изменить мастер-пароль кнопку и перейдите на более новую (и более сильную) альтернативу.

Вот и все, самый важный шаг, который вы должны сделать после этого инцидента!

Двухфакторная аутентификация и другие параметры безопасности

Мы считаем хорошей идеей использовать двухфакторную аутентификацию везде, где это возможно, и особенно в местах, где хранятся конфиденциальные данные. LastPass совершенно правильно предлагает использовать эту услугу, и мы считаем, что вы должны сделать это сразу после смены мастер-пароля. На самом деле, пока вы это делаете, подумайте о том, чтобы добавить фактор двухэтапной аутентификации ко всем используемым вами службам, которые содержат конфиденциальные данные.

В LastPass вы найдете Многофакторные параметры в настройках учетной записи (см. выше). Здесь вы найдете варианты для дополнительной защиты вашей учетной записи LastPass. Вы также увидите Опция сетевой аутентификации о которых мы писали ранее.

Ограничение по стране

Еще один уровень безопасности, который LastPass предлагает своим пользователям изучить, — это политика ограничений в зависимости от страны. После включения это позволит только устройствам из страны вашего проживания получать доступ к вашим данным LastPass. Если устройство из любой другой страны попытается получить к нему доступ, оно покажет сообщение об ошибке. У нас есть подробно рассказал об этом и вам обязательно стоит ее прочитать, если вы еще этого не сделали.

Все еще беспокоитесь?

Не будь. Здесь больше нечего делать. LastPass уже обновил свою систему безопасности и уже предлагает пользователям пройти проверку по электронной почте, если они используют новое устройство или новый IP-адрес. Чтобы убедиться в этом, мы попробовали именно это и были рады сообщить, что этот шаг работает именно так, как рекламируется.

Существующим пользователям также будет предложено изменить свой мастер-пароль, но даже если вы не получите это приглашение, мы настоятельно рекомендуем вам сделать это в любом случае. Наконец, мы хотели бы процитировать Джереми Госни (эксперта по безопасности паролей в Стриктура Группа), который рассказал Ars Technica о взломе —

На NVIDIA GTX Titan X, который в настоящее время является самым быстрым графическим процессором для взлома паролей, злоумышленник сможет угадать менее 10 000 раз в секунду для одного хэша пароля. Это правильно медленно! Даже слабые пароли достаточно надежны с таким уровнем защиты (если только вы не используете абсурдно слабый пароль). пароль.) И это даже не учитывает количество итераций на стороне клиента, которое настраивается пользователем. По умолчанию установлено 5 000 итераций, поэтому мы рассматриваем как минимум 105 000 итераций. На самом деле я установил 65 000 итераций, так что всего 165 000 итераций защищают мою кодовую фразу Diceware. Так что нет, я определенно не парюсь по этому поводу. Я даже не чувствую необходимости менять мастер-пароль.

На самом деле довольно много членов нашей собственной команды используют этот инструмент, и мы сделали то же самое, о чем говорили выше. И теперь мы хотим распространить знания как можно большему количеству людей.

Хотите попробовать альтернативы?

Ладно, если вы чувствуете, что потеряли веру в LastPass из-за всего этого, то, конечно, всегда есть альтернативы. Если вы готовы вложить немного денег (и часть из них потеряли веру), то всегда есть 1Пароль. Это та же архитектура и меры безопасности, но Agilebits, компания, стоящая за 1Password, имеет лучший послужной список, чем LastPass. Под этим мы подразумеваем, что он никогда не был взломан. Не сообщается, если быть точнее. Пока что.

Перенесите свои пароли в iOS: Ваши данные легко перенести из LastPass в 1Password для iOS, как только вы прочитаете нашу полезную статью об этом.

Если вы не хотите ничего тратить, есть бесплатная альтернатива. Это называется KeepPass и это тоже с открытым исходным кодом. А еще мы написали руководство по переносу ваших паролей LastPass в Keepass.

Несмотря на то, что это не так удобно, как 1Password, если вы хотите поиграть, можно добавить несколько плагинов, чтобы соответствовать функциональности его платного аналога. Однако это требует некоторого терпения, так что будьте готовы.

Наши 2 цента

Очень легко обвинить компанию и сказать, что они не были осторожны с вашими данными. Но это все равно, что обвинять банки в ограблении. Люди не перестали вкладывать туда свои деньги, и вы также не должны переставать доверять менеджерам паролей только потому, что один из них был взломан.

Мы даже не говорим, что безопасность LastPass была слабой, но им определенно нужно поднапрячься. Это было не в первый раз угроза была обнаружена в их системе, но оба раза ничего серьезного не украдено/не потеряно. Они действовали быстро и своевременно уведомляли пользователей и уже решили проблему безопасности, которая привела к этому. Приложив немного больше предосторожности, вы можете обеспечить гораздо более счастливое состояние ума. Если вы можете потратить все это время на размышления о своем банковском балансе, мы уверены, что вы также можете уделить несколько мыслей паролям, которые обеспечивают их безопасность?