LastPass Hacked: Tu je to, čo musíte urobiť

LastPass sme milovali natoľko, že sme ho vlastne nazvali Najlepší správca hesiel. Takže, keď príbeh hacku pred chvíľou vypukol, všetci sme boli v šoku. Znamená to však, že by sa mal každý vzdať LastPass a použiť niečo iné? Sú vaše heslá v bezpečí v cloude? Môžeme spoločnosti opäť dôverovať? To je to, čo sa snažíme zistiť.

Neprepadajte panike

Netreba dodávať, že toto je prvá vec, ktorú treba urobiť. Panika, alebo ešte horšie, šírenie nepravdivých informácií prostredníctvom akéhokoľvek média, jednoducho nie je správny spôsob, ako reagovať na akúkoľvek krízu. Aj keď je prirodzené pociťovať strach, keď čítate správy ako je táto, musíte si uvedomiť, že zbytočná panika jednoducho neslúži žiadnemu účelu. V ich príspevok v blogu, LastPass to vysvetlil jasne a citujem,

Pri našom vyšetrovaní sme nenašli žiadne dôkazy o tom, že boli získané šifrované údaje z trezora používateľov, ani o tom, že by sa pristupovalo k používateľským účtom LastPass.

Áno, hovorí sa to ďalej

Vyšetrovanie však ukázalo, že e-mailové adresy účtov LastPass, pripomenutia hesla, soli servera na používateľa a autentifikačné hodnoty hash boli ohrozené.

Ale, čo to znamená, pýtaš sa? Jednoducho povedané, znamená to, že zatiaľ čo všetky vaše heslá sú bezpečné, ostatné informácie nemusia byť. Na čo už blogový príspevok uviedol niekoľko užitočných tipov.

Áno, údaje zo správcov hesiel sú uložené v cloude, ale informácie sú šifrované priamo vo vašom počítači. A aj keď architektúra cloud computingu zahŕňa mierne riziko, stále môžete byť pokojní s vedomím, že všetky šifrované údaje tam nie sú nikdy uložené. Ktoré zahŕňajú všetky vaše heslá.

Užitočný tip: Pozrite si naše Ultimate Guide o heslách vedieť všetko o vytváraní a správe hesiel na internete.

Prevencia je vždy lepšia ako liečba

Toto staré príslovie nemôže byť nikdy relevantnejšie ako v týchto časoch internetového šmírovania a straty súkromia. Tu je niekoľko krokov, ktoré by ste mali dodržiavať, pokiaľ ide o váš účet LastPass, aby ste sa uistili, že pri takýchto incidentoch nestratíte spánok.

Zmeňte hlavné heslo

Ak chcete zmeniť hlavné heslo LastPass, jednoducho kliknite na Predvoľby, kde vľavo nájdete sekciu Nastavenia účtu. Kliknutím naň získate možnosť Kliknutím sem spustíte nastavenia účtu ako je uvedené nižšie.

Kliknutím naň sa otvorí nová karta, kde všetko, čo musíte urobiť, je stlačiť Zmeňte hlavné heslo a prejdite na novšiu (a silnejšiu) alternatívu.

To je všetko, najdôležitejší krok, ktorý by ste mali urobiť, keď sa tento incident stane!

2-faktorové overenie a ďalšie možnosti zabezpečenia

Cítime, že je to dobrý nápad použite 2-faktorové overenie všade tam, kde je to možné, a najmä na miestach, kde sú uložené citlivé údaje. LastPass má úplnú pravdu v tom, že navrhuje použitie tejto služby a máme pocit, že by ste to mali urobiť hneď po zmene hlavného hesla. V skutočnosti, keď už ste pri tom, zvážte pridanie 2-stupňového overovacieho faktora ku všetkým službám, ktoré používate a ktoré obsahujú citlivé údaje.

V LastPass nájdete Viacfaktorové možnosti v nastaveniach účtu (pozri vyššie). Tu nájdete možnosti na ďalšie zabezpečenie svojho účtu LastPass. Uvidíte tiež Možnosť overenia mriežky o ktorých sme už písali.

Obmedzenie podľa krajiny

Ďalšou vrstvou zabezpečenia, ktorú LastPass núti svojich používateľov preskúmať, je politika obmedzení podľa krajiny. Po povolení to umožní prístup k vašim údajom LastPass iba zariadeniam pochádzajúcim z krajiny vášho bydliska. Ak sa k nemu pokúsi pristupovať zariadenie z akejkoľvek inej krajiny, zobrazí sa chybové hlásenie. my sme popísal to veľmi podrobne a určite by ste si ju mali prečítať, ak ste tak ešte neurobili.

Stále máte obavy?

nebuď. Tu už nie je čo robiť. LastPass už aktualizoval svoje zabezpečenie a už vyzýva používateľov, aby sa overili prostredníctvom e-mailu, ak používajú nové zariadenie alebo novú IP. Aby sme to overili, vyskúšali sme to a s radosťou sme vám oznámili, že tento krok funguje tak, ako je inzerované.

Existujúci používatelia sú tiež vyzvaní, aby zmenili svoje hlavné heslo, ale aj keď túto výzvu nedostanete, vyzývame vás, aby ste tak urobili. Nakoniec by sme chceli citovať Jeremiho Gosneyho (odborníka na bezpečnosť hesiel v Striktná skupina), ktorý o hacke hovoril s Ars Technica –

Na NVIDIA GTX Titan X, ktorá je v súčasnosti najrýchlejším GPU na prelomenie hesla, by útočník dokázal urobiť menej ako 10 000 uhádnutí za sekundu na jeden hash hesla. To je riadne pomalé! Dokonca aj slabé heslá sú pomerne bezpečné s touto úrovňou ochrany (pokiaľ nepoužívate absurdne slabé heslo.) A to ani neberie do úvahy počet iterácií na strane klienta, čo je užívateľsky konfigurovateľné. Predvolená hodnota je 5 000 iterácií, takže sa pozeráme na minimálne 105 000 iterácií. V skutočnosti mám môj nastavený na 65 000 iterácií, takže celkovo 165 000 iterácií chráni moju prístupovú frázu Diceware. Takže nie, toto porušenie určite nepoteším. Dokonca sa necítim nútený zmeniť svoje hlavné heslo.

V skutočnosti tento nástroj používa pomerne veľa členov nášho vlastného tímu a my sme urobili presne to isté, čo sme uviedli vyššie. A teraz si želáme rozšíriť vedomosti medzi čo najviac ľudí.

Chcete vyskúšať alternatívy?

Dobre, ak máte pocit, že ste kvôli tomu všetkému stratili dôveru v LastPass, potom samozrejme vždy existujú alternatívy. Ak ste ochotní investovať trochu peňazí (a trochu stratenej viery), potom vždy existuje 1Heslo. Je to rovnaká architektúra a bezpečnostné opatrenia, ale Agilebits, spoločnosť stojaca za 1Password, má lepšie výsledky ako LastPass. Tým chceme povedať, že to nikdy nebolo hacknuté. Nebolo nahlásené, presnejšie. Ešte.

Preneste svoje heslá v systéme iOS: Prenos údajov z LastPass do 1Password pre iOS je jednoduchý, keď si o tom prečítate náš užitočný článok.

Ak nie ste ochotní nič minúť, potom je tu bezplatná alternatíva. volá sa KeepPass a je to tiež open source. A tiež sme si písali sprievodcu prenosom hesiel LastPass do Keepass.

Aj keď to nie je také pohodlné ako 1Password, ak si chcete pohrať, je možné pridať niekoľko doplnkov, ktoré zodpovedajú funkciám jeho plateného partnera. Chce to však trochu trpezlivosti, takže buďte pripravení.

Naše 2 centy

Je veľmi ľahké obviniť spoločnosť a povedať, že nebola opatrná s vašimi údajmi. Ale to je také dobré, ako obviňovať banky, keď dôjde k lúpeži. Ľudia tam neprestali dávať svoje peniaze a ani vy by ste nemali prestať dôverovať správcom hesiel, len preto, že jeden bol napadnutý.

Nehovoríme ani to, že bezpečnosť bola zo strany LastPass laxná, ale rozhodne si musia vytiahnuť ponožky. Nebolo to prvýkrát a v ich systéme bola zistená hrozba, ale v oboch prípadoch sa nič zásadné neukradlo/nestratilo. Konali rýchlo a okamžite informovali používateľov a už sa zaoberali bezpečnostným problémom, ktorý k tomu viedol. S trochou väčšej opatrnosti si môžete zabezpečiť oveľa šťastnejší stav mysle. Ak môžete stráviť všetok ten čas premýšľaním o svojom bankovom zostatku, sme si istí, že si môžete ponechať pár myšlienok aj na heslá, ktoré ich udržia v bezpečí?