LastPass взломан: вот что вам нужно сделать
Разное / / November 29, 2021
Нам так понравился LastPass, что мы даже назвали его Лучший менеджер паролей. Итак, когда история взлома вспыхнул некоторое время назад, мы все были в шоковом состоянии. Но означает ли это, что всем следует отказаться от LastPass и использовать что-то еще? Безопасны ли ваши пароли в облаке? Можем ли мы снова доверять компании? Это то, что мы пытаемся выяснить.
Не паникуйте
Излишне говорить, что это первое, что нужно сделать. Паника или, что еще хуже, распространение ложной информации через любые средства массовой информации - это просто неправильный способ реагировать на любой кризис. Хотя это естественно, когда вы читаете подобные новости, вы должны понимать, что ненужная паника не служит никакой цели. В их Сообщение блога, LastPass прояснил это, и я цитирую:
В ходе нашего расследования мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные пользовательского хранилища или что был осуществлен доступ к учетным записям пользователей LastPass.
Да, в нем говорится, что
Однако расследование показало, что адреса электронной почты учетной записи LastPass, напоминания о паролях, серверные параметры для каждого пользователя и хэши аутентификации были скомпрометированы.
Но, какие это значит, спросите вы? Проще говоря, это означает, что, хотя все ваши пароли в безопасности, другая информация может отсутствовать. Для чего, опять же, в сообщении блога уже содержится несколько полезных советов.
Да, данные менеджеров паролей хранятся в облаке, но информация шифруется прямо на вашем компьютере. И хотя архитектура облачных вычислений действительно связана с небольшим риском, вы все равно можете расслабиться, зная, что все зашифрованные данные никогда не хранятся там. Который включает в себя все ваши пароли.
Полезный совет: Ознакомьтесь с нашими Полное руководство по паролям знать все о создании и управлении паролями в Интернете.
Профилактика всегда лучше лечения
Эта старая пословица никогда не могла быть более актуальной, чем во времена слежки за Интернетом и потери конфиденциальности. Вот несколько шагов, которые вы должны выполнить, когда дело доходит до вашей учетной записи LastPass, чтобы не потерять сон из-за таких инцидентов.
Изменить главный пароль
Чтобы изменить главный пароль LastPass, просто нажмите на Предпочтения, где слева вы найдете раздел Настройки учетной записи. Щелкнув по нему, вы сможете Нажмите здесь, чтобы запустить настройки учетной записи как показано ниже.
При нажатии на нее откроется новая вкладка, где все, что вам нужно сделать, это нажать кнопку Изменить главный пароль и выберите более новую (и более сильную) альтернативу.
Это самый важный шаг, который вы должны сделать после того, как этот инцидент закончится!
Двухфакторная аутентификация и другие параметры безопасности
Мы считаем, что это хорошая идея использовать двухфакторную аутентификацию везде, где это возможно, и особенно в местах, где хранятся конфиденциальные данные. LastPass абсолютно прав, предлагая использовать эту услугу, и мы считаем, что вы должны сделать это сразу же после изменения своего мастер-пароля. Фактически, пока вы этим занимаетесь, рассмотрите возможность добавления фактора двухэтапной аутентификации ко всем используемым вами службам, которые хранят конфиденциальные данные.
В LastPass вы найдете Многофакторные параметры в настройках учетной записи (см. выше). Здесь вы найдете варианты дальнейшей защиты вашей учетной записи LastPass. Вы также увидите Опция сетевой аутентификации о чем мы писали раньше.
Ограничение по стране
Еще один уровень безопасности, который LastPass влечет за собой изучение пользователями, - это политика ограничений для страны. После включения это позволит только устройствам из страны вашего проживания получать доступ к вашим данным LastPass. Если устройство из любой другой страны попытается получить к нему доступ, они покажут сообщение об ошибке. Мы рассмотрел это очень подробно и вам обязательно стоит его прочитать, если вы еще не прочитали.
Все еще беспокоит?
Не будет. Здесь больше нечего делать. LastPass уже обновил свою систему безопасности и уже предлагает пользователям пройти проверку по электронной почте, если они используют новое устройство или новый IP-адрес. Чтобы проверить это, мы попробовали именно это и были рады сообщить, что этот шаг работает так, как рекламируется.
Существующим пользователям также предлагается изменить свой мастер-пароль, но даже если вы не получите этого запроса, мы все равно настоятельно рекомендуем сделать это. Наконец, мы хотели бы процитировать Джереми Госни (эксперта по безопасности паролей в Стриктура Группа), который говорил с Ars Technica о взломе -
На NVIDIA GTX Titan X, которая в настоящее время является самым быстрым графическим процессором для взлома паролей, злоумышленник сможет сделать менее 10 000 предположений в секунду для одного хэша пароля. Это действительно медленно! Даже слабые пароли достаточно безопасны с таким уровнем защиты (если вы не используете абсурдно слабый пароль.) И это даже не учитывает количество итераций на стороне клиента, которое настраивается пользователем. По умолчанию это 5000 итераций, поэтому мы ожидаем как минимум 105 000 итераций. У меня на самом деле установлено 65 000 итераций, так что всего 165 000 итераций, защищающих мою парольную фразу Diceware. Так что нет, я определенно не переживаю из-за этого нарушения. Я даже не чувствую себя обязанным менять свой главный пароль.
Фактически, довольно много членов нашей собственной команды используют этот инструмент, и мы сделали то же самое, что и заявили выше. А теперь мы хотим поделиться знаниями как можно большему количеству людей.
Хотите попробовать альтернативы?
Хорошо, если вы чувствуете, что потеряли веру в LastPass из-за всего этого, то, конечно, всегда есть альтернативы. Если вы готовы вложить немного денег (и часть этой потерянной веры), то всегда есть 1Пароль. Здесь та же архитектура и меры безопасности, но у Agilebits, компании, стоящей за 1Password, действительно лучший послужной список, чем у LastPass. Под этим мы подразумеваем, что его никогда не взламывали. Точнее, не сообщалось. Пока что.
Перенесите свои пароли в iOS: Перенести данные из LastPass в 1Password для iOS легко, как только вы прочтете нашу полезную статью об этом.
Если вы не хотите ничего тратить, есть бесплатная альтернатива. Это называется KeepPass И это тоже с открытым исходным кодом. И мы также написали руководство по переносу паролей LastPass в Keepass.
Несмотря на то, что это не так удобно, как 1Password, если вы хотите поиграть, можно добавить несколько плагинов, чтобы они соответствовали функциональности его платного партнера. Однако это требует некоторого терпения, так что будьте готовы.
Наши 2 цента
Очень легко обвинить компанию и сказать, что она небрежно обращалась с вашими данными. Но это все равно, что обвинять банки в ограблении. Люди не перестали вкладывать туда свои деньги, и вы не должны перестать доверять менеджерам паролей только потому, что один из них был взломан.
Мы даже не говорим, что безопасность LastPass была слабой, но им определенно нужно подтянуть носки. Это был не первый раз угроза была обнаружена в их системе, но оба раза ничего серьезного не было украдено / потеряно. Они действовали быстро и оперативно уведомляли пользователей и уже решили проблему безопасности, которая к этому привела. Приняв немного больше мер предосторожности, вы сможете добиться гораздо более счастливого настроения. Если вы можете потратить все это время на размышления о своем банковском балансе, мы уверены, что вы сможете сэкономить несколько мыслей и о паролях, которые сохранят их в безопасности?