LastPass Hacked: นี่คือสิ่งที่คุณต้องทำ
เบ็ดเตล็ด / / November 29, 2021
เรารัก LastPass มากจนเราเรียกมันว่าจริง ๆ ผู้จัดการรหัสผ่านที่ดีที่สุด. ดังนั้น เมื่อ เรื่องราวของแฮ็ค โพล่งออกมาเมื่อไม่นานมานี้ เราทุกคนต่างตกตะลึง แต่นั่นหมายความว่าทุกคนควรทิ้ง LastPass และใช้อย่างอื่นหรือไม่? รหัสผ่านของคุณปลอดภัยในระบบคลาวด์หรือไม่? เราจะสามารถไว้วางใจบริษัทอีกครั้งได้หรือไม่? นั่นคือสิ่งที่เรากำลังพยายามค้นหา
อย่าตื่นตระหนก
จำเป็นต้องพูดนี้เป็นสิ่งแรกที่ต้องทำ การตื่นตระหนกหรือแย่กว่านั้น การเผยแพร่ข้อมูลเท็จผ่านสื่อใดๆ ไม่ใช่วิธีที่ถูกต้องในการตอบสนองต่อวิกฤตใดๆ แม้เป็นเรื่องปกติที่จะรู้สึกกลัวเมื่ออ่านข่าวเช่นนี้ แต่คุณต้องตระหนักว่าความตื่นตระหนกโดยไม่จำเป็นไม่ได้มีประโยชน์อะไรเลย ในของพวกเขา โพสต์บล็อก, LastPass ได้ชี้แจงไว้อย่างชัดเจน และข้าพเจ้าขอยกมา
ในการตรวจสอบของเรา เราไม่พบหลักฐานว่ามีการใช้ข้อมูล vault ของผู้ใช้ที่เข้ารหัส หรือไม่มีการเข้าถึงบัญชีผู้ใช้ LastPass
ใช่มันพูดต่อไปว่า
อย่างไรก็ตาม จากการตรวจสอบพบว่าที่อยู่อีเมลของบัญชี LastPass การแจ้งเตือนรหัสผ่าน เซิร์ฟเวอร์ต่อผู้ใช้ และแฮชการตรวจสอบสิทธิ์ถูกบุกรุก
แต่, อะไร นี่หมายความว่าคุณถาม? กล่าวง่ายๆ ก็คือ แม้ว่ารหัสผ่านทั้งหมดของคุณจะปลอดภัย แต่ข้อมูลอื่นๆ อาจไม่ปลอดภัย ซึ่งอีกครั้ง บล็อกโพสต์ได้ระบุเคล็ดลับที่เป็นประโยชน์บางประการแล้ว
ใช่ ข้อมูลจากตัวจัดการรหัสผ่านจะถูกเก็บไว้ในคลาวด์ แต่ข้อมูลจะถูกเข้ารหัสบนคอมพิวเตอร์ของคุณโดยตรง และแม้ว่าสถาปัตยกรรมการประมวลผลแบบคลาวด์จะมีความเสี่ยงเล็กน้อย คุณยังคงสบายใจได้โดยรู้ว่าข้อมูลที่เข้ารหัสทั้งหมดจะไม่ถูกจัดเก็บไว้ที่นั่น ซึ่งรวมถึง ทั้งหมด รหัสผ่านของคุณ
เคล็ดลับที่เป็นประโยชน์: ตรวจสอบของเรา สุดยอดคู่มือเกี่ยวกับรหัสผ่าน เพื่อทราบทุกอย่างเกี่ยวกับการสร้างและจัดการรหัสผ่านบนอินเทอร์เน็ต
การป้องกันดีกว่าการรักษาเสมอ
สุภาษิตโบราณนี้ไม่เคยมีความเกี่ยวข้องมากไปกว่าในช่วงเวลาของการสอดแนมอินเทอร์เน็ตและการสูญเสียความเป็นส่วนตัว นี่คือขั้นตอนบางส่วนที่คุณควรปฏิบัติตามเมื่อพูดถึงบัญชี LastPass ของคุณ เพื่อให้แน่ใจว่าคุณจะไม่นอนไม่หลับจากเหตุการณ์ดังกล่าว
เปลี่ยนรหัสผ่านหลัก
หากต้องการเปลี่ยนรหัสผ่านมาสเตอร์ของ LastPass เพียงคลิกที่ การตั้งค่าซึ่งคุณจะพบส่วนการตั้งค่าบัญชีทางด้านซ้าย การคลิกที่จะทำให้คุณมีตัวเลือกในการ คลิกที่นี่เพื่อเปิดการตั้งค่าบัญชี ดังที่แสดงด้านล่าง
การคลิกที่จะเปิดแท็บใหม่โดยที่คุณต้องทำคือกด เปลี่ยนรหัสผ่านมาสเตอร์ ปุ่มและไปหาทางเลือกที่ใหม่กว่า (และแข็งแกร่งกว่า)
เพียงเท่านี้ ขั้นตอนที่สำคัญที่สุดที่คุณควรทำหลังจากเหตุการณ์นี้เสร็จสิ้นลง!
การตรวจสอบสิทธิ์แบบ 2 ปัจจัยและตัวเลือกความปลอดภัยอื่นๆ
เรารู้สึกว่ามันเป็นความคิดที่ดีที่จะ ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย ทุกที่ที่เป็นไปได้ และโดยเฉพาะอย่างยิ่งในสถานที่ที่มีการจัดเก็บข้อมูลที่สำคัญ LastPass นั้นถูกต้องอย่างยิ่งในการแนะนำการใช้บริการนี้ และเรารู้สึกว่าคุณควรดำเนินการนี้ทันทีหลังจากเปลี่ยนรหัสผ่านมาสเตอร์ของคุณ ในความเป็นจริง ขณะที่คุณกำลังใช้งานอยู่ ให้พิจารณาเพิ่ม 2-Step Authentication Factor ให้กับบริการทั้งหมดที่คุณใช้ซึ่งมีข้อมูลที่ละเอียดอ่อน
ใน LastPass คุณจะพบ ตัวเลือกหลายปัจจัย ในการตั้งค่าบัญชี (ดูด้านบน) ที่นี่คุณจะพบตัวเลือกในการรักษาความปลอดภัยให้กับบัญชี LastPass ของคุณ คุณยังจะเห็น ตัวเลือกการตรวจสอบความถูกต้องของกริด ที่เราได้เขียนไว้ก่อนหน้านี้
ข้อจำกัดตามประเทศ
การรักษาความปลอดภัยอีกชั้นหนึ่งที่ LastPass มอบให้ผู้ใช้ในการสำรวจคือนโยบายการจำกัดตามประเทศ เมื่อเปิดใช้งานแล้ว จะเปิดใช้งานเฉพาะอุปกรณ์ที่มาจากประเทศที่คุณพำนักเพื่อเข้าถึงข้อมูล LastPass ของคุณ หากอุปกรณ์จากประเทศอื่นพยายามเข้าถึง อุปกรณ์ดังกล่าวจะแสดงข้อความแสดงข้อผิดพลาด เราได้ ครอบคลุมเรื่องนี้อย่างละเอียดมาก และคุณควรอ่านมันอย่างแน่นอน ถ้าคุณยังไม่ได้อ่าน
ยังคงกังวล?
อย่าเป็น ไม่มีอะไรจะทำเพิ่มเติมที่นี่ LastPass ได้อัปเดตความปลอดภัยแล้วและได้แจ้งให้ผู้ใช้ได้รับการยืนยันผ่านอีเมลแล้ว หากพวกเขาใช้อุปกรณ์ใหม่หรือ IP ใหม่ เพื่อยืนยันสิ่งนี้ เราพยายามทำอย่างนั้นและยินดีที่จะรายงานว่าขั้นตอนนี้ใช้งานได้ตามที่โฆษณาไว้
ผู้ใช้ปัจจุบันจะได้รับแจ้งให้เปลี่ยนรหัสผ่านหลักด้วย แต่แม้ว่าคุณจะไม่ได้รับข้อความแจ้งนั้น เราขอแนะนำให้คุณดำเนินการต่อไป สุดท้ายนี้ เราขอเสนอคำพูดของ Jeremi Gosney (ผู้เชี่ยวชาญด้านความปลอดภัยรหัสผ่านที่ กลุ่มเข้มงวด) ที่พูดกับ Ars Technica เกี่ยวกับการแฮ็ก –
ใน NVIDIA GTX Titan X ซึ่งปัจจุบันเป็น GPU ที่เร็วที่สุดสำหรับการถอดรหัสรหัสผ่าน ผู้โจมตีสามารถเดาได้น้อยกว่า 10,000 ครั้งต่อวินาทีสำหรับแฮชรหัสผ่านเดียว นั้นมันช้าพอสมควร! แม้แต่รหัสผ่านที่ไม่รัดกุมก็ค่อนข้างปลอดภัยด้วยระดับการป้องกันนั้น (เว้นแต่คุณจะใช้รหัสผ่านที่ไม่รัดกุม รหัสผ่าน) และนี่ไม่ได้นับถึงจำนวนการทำซ้ำฝั่งไคลเอ็นต์ซึ่งก็คือ ผู้ใช้กำหนดค่าได้ ค่าเริ่มต้นคือ 5,000 การวนซ้ำ ดังนั้นอย่างน้อยที่สุด เรากำลังดูการวนซ้ำ 105,000 ครั้ง อันที่จริงฉันมีการตั้งค่าการวนซ้ำ 65,000 ครั้ง นั่นคือทั้งหมด 165,000 ครั้งในการปกป้องข้อความรหัสผ่าน Diceware ของฉัน ไม่เลย ฉันไม่เหนื่อยกับการฝ่าฝืนนี้แน่นอน ฉันไม่รู้สึกว่าจำเป็นต้องเปลี่ยนรหัสผ่านหลักของฉันด้วยซ้ำ
อันที่จริง มีสมาชิกไม่กี่คนในทีมของเราที่ใช้เครื่องมือนี้ และเราได้ทำสิ่งเดียวกันกับที่เราได้กล่าวไว้ข้างต้นทุกประการ และตอนนี้เราต้องการเผยแพร่ความรู้ไปยังผู้คนให้มากที่สุด
ต้องการลองใช้ทางเลือกอื่นหรือไม่?
โอเค ถ้าคุณรู้สึกว่าคุณหมดศรัทธาใน LastPass เพราะทั้งหมดนี้ แน่นอนว่ายังมีทางเลือกอื่นอยู่เสมอ หากคุณยินดีที่จะลงทุนเงินเพียงเล็กน้อย (และบางส่วนของศรัทธาที่สูญเสียไป) ก็จะมีเสมอ 1รหัสผ่าน. เป็นสถาปัตยกรรมและมาตรการรักษาความปลอดภัยแบบเดียวกัน แต่ Agilebits ซึ่งเป็นบริษัทที่อยู่เบื้องหลัง 1Password มีประวัติที่ดีกว่า LastPass โดยที่เราหมายความว่ามันไม่เคยถูกแฮ็ก ยังไม่ได้รับการรายงานเพื่อให้แม่นยำยิ่งขึ้น ยัง.
โอนรหัสผ่านของคุณใน iOS: ถ่ายโอนข้อมูลของคุณจาก LastPass ไปยัง 1Password สำหรับ iOS ได้อย่างง่ายดาย เมื่อคุณอ่านบทความที่เป็นประโยชน์ของเราแล้ว
หากคุณไม่ต้องการจ่ายอะไรเลย ก็มีทางเลือกอื่นฟรี ก็เรียกว่า KeepPass และเป็นโอเพ่นซอร์สด้วย และเรายังได้เขียน คำแนะนำในการโอนรหัสผ่าน LastPass ของคุณไปยัง Keepass.
แม้ว่าจะไม่สะดวกเท่า 1Password แต่ถ้าคุณต้องการเล่น คุณสามารถเพิ่มปลั๊กอินบางตัวเพื่อให้ตรงกับฟังก์ชันการทำงานของเพียร์แบบชำระเงินได้ ต้องใช้ความอดทนบ้าง ดังนั้นจงเตรียมพร้อม
2 เซ็นต์ของเรา
มันง่ายมากที่จะตำหนิบริษัทและบอกว่าพวกเขาไม่ระวังข้อมูลของคุณ แต่นั่นก็ดีพอๆ กับโทษธนาคารเมื่อมีการปล้น ผู้คนไม่ได้หยุดวางเงินไว้ที่นั่น และคุณก็ไม่ควรหยุดไว้วางใจผู้จัดการรหัสผ่านเพียงเพราะถูกแฮ็ก
เราไม่ได้บอกว่าการรักษาความปลอดภัยหละหลวมในส่วนของ LastPass แต่พวกเขาจำเป็นต้องดึงถุงเท้าขึ้นมาอย่างแน่นอน ไม่ใช่ครั้งแรกที่ ตรวจพบภัยคุกคามในระบบของพวกเขาแต่ทั้งสองครั้งไม่มีอะไรสำคัญถูกขโมย/สูญหาย พวกเขาดำเนินการแจ้งเตือนผู้ใช้อย่างรวดเร็วและทันที และได้จัดการกับปัญหาด้านความปลอดภัยที่นำไปสู่สิ่งนี้แล้ว ด้วยความระมัดระวังเพิ่มขึ้นอีกเล็กน้อย คุณจะมั่นใจได้ว่าสภาพจิตใจจะมีความสุขมากขึ้น หากคุณสามารถใช้เวลาทั้งหมดนั้นเพื่อคิดเกี่ยวกับยอดเงินในธนาคารของคุณ เรามั่นใจว่าคุณสามารถเก็บรหัสผ่านไว้บ้างเพื่อรักษาความปลอดภัยเช่นกัน