ЛастПасс хакован: Ево шта треба да урадите
Мисцелланеа / / November 29, 2021
Толико смо волели ЛастПасс да смо га заправо назвали Најбољи менаџер лозинки. Дакле, када је прича о хаку избио малопре, сви смо били у стању шока. Али, да ли то значи да сви треба да напусте ЛастПасс и користе нешто друго? Да ли су ваше лозинке безбедне у облаку? Можемо ли поново да верујемо компанији? То је оно што покушавамо да сазнамо.
Не паничите
Непотребно је рећи да је ово прва ствар коју треба урадити. Паника, или још горе, ширење лажних информација путем било ког медија, једноставно није прави начин да се одговори на било коју кризу. Иако је природно да се осећате уплашено када читате овакву вест, морате схватити да непотребна паника једноставно нема никакву сврху. У њиховом блог пост, ЛастПасс је јасно ставио до знања, и цитирам,
У нашој истрази нисмо пронашли доказе да су узети шифровани подаци корисничког трезора, нити да је приступано ЛастПасс корисничким налозима.
Да, то се даље каже
Истрага је, међутим, показала да су имејл адресе ЛастПасс налога, подсетници на лозинку, соли сервера по кориснику и хешови за аутентификацију били компромитовани.
Али, Шта да ли то значи, питате се? Једноставно речено, то значи да док су све ваше лозинке сигурне, друге информације можда неће бити. За шта је, опет, на блогу већ наведено неколико корисних савета.
Да, подаци из менаџера лозинки се чувају у облаку, али информације су шифроване директно на вашем рачунару. И иако архитектура рачунарства у облаку укључује мали ризик, и даље можете бити мирни знајући да се сви шифровани подаци никада тамо не чувају. Који укључују све ваше лозинке.
Користан савет: Погледајте наше Ултимативни водич за лозинке да знате све о креирању и управљању лозинкама на интернету.
Превенција је увек боља од лечења
Ова стара пословица никада не би могла бити релевантнија него у овим временима интернет њушкања и губитка приватности. Ево неколико корака које треба да пратите када је у питању ваш ЛастПасс налог, како бисте били сигурни да нећете изгубити сан због таквих инцидената.
Промените главну лозинку
Да бисте променили главну лозинку за ЛастПасс, једноставно кликните на Преференцес, где ћете са леве стране пронаћи одељак Подешавања налога. Кликом на то добићете опцију да Кликните овде да бисте покренули подешавања налога како је приказано испод.
Кликом на то отвориће се нова картица, где све што треба да урадите је да притиснете Промените главну лозинку дугме и идите на новију (и јачу) алтернативу.
То је то, најважнији корак који треба да урадите након што се овај инцидент заврши!
2-факторска аутентификација и друге сигурносне опције
Сматрамо да је то добра идеја користите 2-факторску аутентификацију где год је то могуће, а посебно на местима где се чувају осетљиви подаци. ЛастПасс је потпуно у праву када предлаже коришћење ове услуге и сматрамо да би то требало да урадите одмах, након што промените своју главну лозинку. У ствари, док сте већ код тога, размислите о додавању фактора аутентификације у 2 корака свим услугама које користите и које садрже осетљиве податке.
У ЛастПасс-у ћете пронаћи Мултифакторске опције у подешавањима налога (погледајте горе). Овде ћете пронаћи опције да додатно обезбедите свој ЛастПасс налог. Такође ћете видети Опција мрежне аутентификације о којима смо раније писали.
Ограничење засновано на земљи
Други слој безбедности који ЛастПасс захтева од својих корисника да истраже је политика ограничења заснована на земљи. Једном омогућено, ово ће омогућити само уређајима који потичу из земље вашег пребивалишта да приступе вашим ЛастПасс подацима. Ако уређај из било које друге земље покуша да му приступи, приказаће поруку о грешци. ми смо покрио ово веома детаљно и свакако бисте га требали прочитати, ако већ нисте.
Још увек забринути?
Немојте бити. Овде нема шта више да се уради. ЛастПасс је већ ажурирао своју безбедност и већ тражи од корисника да буду верификовани путем е-поште, ако користе нови уређај или нову ИП адресу. Да бисмо ово потврдили, покушали смо управо то и са задовољством смо пријавили да овај корак функционише баш онако како се оглашава.
Од постојећих корисника се такође тражи да промене своју главну лозинку, али чак и ако не добијете тај упит, позивамо вас да то ипак учините. На крају, желели бисмо да цитирамо Џеремија Госнија (стручњака за безбедност лозинки на Стрицтуре Гроуп) који је разговарао са Арс Тецхница о хаку –
На НВИДИА ГТКС Титан Кс, који је тренутно најбржи ГПУ за разбијање лозинке, нападач би могао да направи мање од 10.000 погађања у секунди за један хеш лозинке. То је сасвим споро! Чак су и слабе лозинке прилично сигурне са тим нивоом заштите (осим ако не користите апсурдно слабу лозинка.) А ово чак ни не узима у обзир број итерација на страни клијента, што је конфигурабилно од стране корисника. Подразумевано је 5.000 итерација, тако да у најмању руку гледамо на 105.000 итерација. Ја сам заправо своју поставио на 65.000 итерација, тако да је то укупно 165.000 итерација које штите моју Дицеваре приступну фразу. Дакле, не, дефинитивно се не бринем о овом кршењу. Чак се и не осећам примораним да променим своју главну лозинку.
У ствари, доста чланова нашег тима користи овај алат и ми смо урадили потпуно исте ствари које смо навели горе. А сада желимо да знање проширимо на што већи број људи.
Желите да испробате алтернативе?
У реду, ако осећате да сте због свега овога изгубили веру у ЛастПасс, онда, наравно, увек постоје алтернативе. Ако сте вољни да уложите мало новца (и нешто од те изгубљене вере), онда увек постоји 1Пассворд. У игри је иста архитектура и безбедносне мере, али Агилебитс, компанија која стоји иза 1Пассворд-а, има бољу евиденцију од ЛастПасс-а. Под тим мислимо да никада није хакован. Није пријављен, тачније. Ипак.
Пренесите своје лозинке у иОС: Лако је пренети своје податке са ЛастПасс-а на 1Пассворд за иОС, када прочитате наш корисни чланак о томе.
Ако нисте вољни ништа да потрошите, постоји бесплатна алтернатива. То се зове КеепПасс а такође је и отвореног кода. И ми смо такође писали водич за пренос ваших ЛастПасс лозинки у Кеепасс.
Иако није тако згодан као 1Пассворд, ако сте вољни да се играте, може се додати неколико додатака који ће одговарати функционалности његовог плаћеног партнера. Међутим, потребно је мало стрпљења, па будите спремни.
Наша 2 цента
Веома је лако окривити компанију и рећи да нису били пажљиви са вашим подацима. Али то је једнако добро као и окривити банке када дође до пљачке. Људи нису престали да стављају свој новац тамо и не треба да престанете да верујете менаџерима лозинки, само зато што је један хакован.
Чак и не кажемо да је обезбеђење било слабо са ЛастПасс-ове стране, али они дефинитивно морају да подигну чарапе. Није било први пут да је а претња је откривена у њиховом систему, али оба пута ништа значајно није украдено/изгубљено. Реаговали су брзо и благовремено обавестили кориснике и већ су се позабавили безбедносним проблемом који је довео до тога. Уз мало више предострожности, можете осигурати много срећније стање ума. Ако можете да проведете све то време размишљајући о свом банковном стању, сигурни смо да можете посветити неколико мисли и о лозинкама које их чувају?