LastPass Hacked: Tukaj je tisto, kar morate storiti
Miscellanea / / February 12, 2022
LastPass nam je bil tako všeč, da smo ga dejansko imenovali Najboljši upravitelj gesel. Torej, ko je zgodba o haku je izbruhnilo pred časom, vsi smo bili v stanju šoka. Toda ali to pomeni, da bi morali vsi opustiti LastPass in uporabiti nekaj drugega? Ali so vaša gesla varna v oblaku? Ali lahko spet zaupamo podjetju? To je tisto, kar poskušamo ugotoviti.
Brez panike
Ni treba posebej poudarjati, da je to prva stvar, ki jo je treba storiti. Panika ali še huje, širjenje lažnih informacij prek katerega koli medija preprosto ni pravi način za odziv na kakršno koli krizo. Čeprav je naravno, da se počutite prestrašeni, ko berete takšno novico, se morate zavedati, da nepotrebna panika preprosto ne služi nobenemu namenu. V njihovih blog objavaLastPass je jasno povedal in citiram,
V naši preiskavi nismo našli dokazov, da so bili zajeti šifrirani podatki uporabniškega trezorja, niti da je bil dostopen do uporabniških računov LastPass.
Ja, to še naprej pravi
Preiskava pa je pokazala, da so bili e-poštni naslovi računov LastPass, opomniki gesla, soli strežnika na uporabnika in zgoščenci za preverjanje pristnosti ogroženi.
ampak, kaj ali to pomeni, vprašate? Preprosto povedano, to pomeni, da čeprav so vsa vaša gesla varna, druge informacije morda ne bodo. Za kar je spet objava na blogu že navedla nekaj koristnih nasvetov.
Da, podatki iz upraviteljev gesel so shranjeni v oblaku, vendar so podatki šifrirani kar v vašem računalniku. In čeprav arhitektura računalništva v oblaku vključuje majhno tveganje, ste lahko mirni, saj veste, da vsi šifrirani podatki niso nikoli shranjeni tam. Ki vključujejo vse vaša gesla.
Koristni nasvet: Oglejte si naše Ultimate Guide o geslih vedeti vse o ustvarjanju in upravljanju gesel na internetu.
Preventiva je vedno boljša kot kurativa
Ta stari pregovor nikoli ne bi mogel biti bolj relevanten kot v teh časih internetnega vohljanja in izgube zasebnosti. Tukaj je nekaj korakov, ki jih morate upoštevati, ko gre za vaš LastPass račun, da zagotovite, da ne boste izgubili spanca zaradi takšnih incidentov.
Spremenite glavno geslo
Če želite spremeniti glavno geslo LastPass, preprosto kliknite na Nastavitve, kjer boste na levi strani našli razdelek z nastavitvami računa. S klikom na to boste imeli možnost Kliknite tukaj, da zaženete nastavitve računa kot je prikazano spodaj.
Če kliknete to, se odpre nov zavihek, kjer morate samo pritisniti Spremeni glavno geslo in poiščite novejšo (in močnejšo) alternativo.
To je to, najpomembnejši korak, ki bi ga morali narediti po tem, ko se ta incident konča!
2-faktorska avtentikacija in druge varnostne možnosti
Menimo, da je to dobra ideja uporabite 2-faktorsko preverjanje pristnosti kjer koli je to mogoče, predvsem pa na mestih, kjer so shranjeni občutljivi podatki. LastPass popolnoma pravilno predlaga uporabo te storitve in menimo, da bi morali to storiti takoj, potem ko spremenite glavno geslo. Pravzaprav, ko ste pri tem, razmislite o dodajanju faktorja preverjanja pristnosti v dveh korakih vsem storitvam, ki jih uporabljate in vsebujejo občutljive podatke.
V LastPass boste našli Večfaktorske možnosti v nastavitvah računa (glejte zgoraj). Tukaj boste našli možnosti za dodatno zaščito vašega računa LastPass. Videli boste tudi Možnost preverjanja pristnosti mreže o katerem smo že pisali.
Omejitev glede na državo
Druga plast varnosti, ki jo LastPass zahteva svojim uporabnikom, da raziščejo, je politika omejitev glede na državo. Ko je to omogočeno, bo to omogočilo dostop do vaših podatkov LastPass samo napravam, ki izvirajo iz države vašega prebivališča. Če naprava iz katere koli druge države poskuša dostopati do nje, se prikaže sporočilo o napaki. smo to zelo podrobno zajel in vsekakor bi ga morali prebrati, če še niste.
Ste še vedno zaskrbljeni?
ne bodi Tukaj ni mogoče storiti ničesar več. LastPass je že posodobil svojo varnost in že poziva uporabnike k preverjanju po e-pošti, če uporabljajo novo napravo ali nov IP. Da bi to preverili, smo poskusili prav to in z veseljem sporočili, da ta korak deluje tako, kot je oglaševano.
Obstoječi uporabniki so tudi pozvani, da spremenijo svoje glavno geslo, a tudi če tega poziva ne prejmete, vas pozivamo, da to vseeno storite. Nazadnje bi radi citirali Jeremija Gosneyja (strokovnjaka za varnost gesla pri Strikturna skupina), ki je z Ars Technico govoril o vdoru –
Na NVIDIA GTX Titan X, ki je trenutno najhitrejši grafični procesor za razbijanje gesla, bi napadalec lahko naredil manj kot 10.000 ugibanj na sekundo za en sam hash gesla. To je prav počasi! Tudi šibka gesla so dokaj varna s to stopnjo zaščite (razen če uporabljate absurdno šibko geslo.) In to niti ne upošteva števila ponovitev na strani odjemalca, kar je ki jih lahko konfigurira uporabnik. Privzeto je 5.000 ponovitev, tako da gledamo najmanj 105.000 ponovitev. Pravzaprav imam nastavljeno na 65.000 ponovitev, tako da je to skupno 165.000 ponovitev, ki ščitijo moje geslo za Diceware. Torej ne, s to kršitvijo se zagotovo ne bojim. Niti ne čutim se prisiljene spremeniti svojega glavnega gesla.
Pravzaprav kar nekaj članov naše ekipe uporablja orodje in naredili smo popolnoma enake stvari, kot smo navedli zgoraj. In zdaj želimo znanje razširiti na čim več ljudi.
Želite preizkusiti alternative?
V redu, če menite, da ste zaradi vsega tega izgubili vero v LastPass, potem seveda vedno obstajajo alternative. Če ste pripravljeni vložiti malo denarja (in nekaj te izgubljene vere), potem vedno obstaja 1 Geslo. V igri je ista arhitektura in varnostni ukrepi, vendar ima Agilebits, podjetje, ki stoji za 1Password, boljše rezultate kot LastPass. S tem mislimo, da nikoli ni bil vdrt. Natančneje, ni bil prijavljen. Pa vendar.
Prenesite svoja gesla v iOS: Prenos podatkov iz LastPass v 1Password za iOS je enostaven, ko preberete naš koristen članek o tem.
Če ne želite ničesar porabiti, potem obstaja brezplačna alternativa. To se imenuje KeepPass in je tudi odprtokoden. In smo tudi pisali vodnik za prenos vaših gesel LastPass v Keepass.
Čeprav ni tako priročen kot 1Password, če se želite poigrati, lahko dodate nekaj vtičnikov, ki ustrezajo funkcionalnosti njegovega plačanega enakovrednega. Vendar pa je potrebno nekaj potrpljenja, zato bodite pripravljeni.
Naša 2 centa
Zelo enostavno je kriviti podjetje in reči, da niso bili previdni z vašimi podatki. Toda to je tako dobro kot obtoževanje bank, ko pride do ropa. Ljudje niso nehali vlagati svoj denar tja in tudi vi ne smete nehati zaupati upraviteljem gesel, samo zato, ker je bil eden vdrl.
Sploh ne rečemo, da je bila varnost s strani LastPass ohlapna, vsekakor pa morajo dvigniti nogavice. Ni bilo prvič a je bila v njihovem sistemu zaznana grožnja, a obakrat ni bilo nič večjega ukradeno/izgubljeno. Hitro in pravočasno so ukrepali, uporabnike so obvestili in so že obravnavali varnostno težavo, ki je privedla do tega. Z malo več previdnosti si lahko zagotovite veliko bolj srečno stanje duha. Če lahko ves ta čas razmišljate o svojem bančnem stanju, smo prepričani, da lahko prihranite nekaj misli tudi na gesla, ki jih varujejo?