LastPass зламано: ось що вам потрібно зробити

Нам так сподобався LastPass, що ми насправді назвали його Найкращий менеджер паролів. Отже, коли історія злому спалахнув деякий час тому, ми всі були в шоковому стані. Але чи означає це, що кожен повинен відмовитися від LastPass і використовувати щось інше? Чи безпечні ваші паролі в хмарі? Чи можемо ми знову довіряти компанії? Це те, що ми намагаємося з’ясувати.

Не панікуйте

Зайве говорити, що це перше, що потрібно зробити. Паніка або, що ще гірше, поширення неправдивої інформації через будь-який засіб, просто не є правильним способом реагування на будь-яку кризу. Хоча це природно відчувати страх, коли ви читаєте подібні новини, ви повинні усвідомити, що непотрібна паніка просто не має жодної мети. В їх допис у блозі, LastPass дали зрозуміти, і я цитую,

У нашому розслідуванні ми не знайшли жодних доказів того, що були отримані зашифровані дані сховища користувачів, а також доступ до облікових записів користувачів LastPass.

Так, він продовжує це говорити

Однак розслідування показало, що адреси електронної пошти облікового запису LastPass, нагадування про паролі, солі сервера на користувача та хеші аутентифікації були скомпрометовані.

але, що чи означає це, запитаєте ви? Простіше кажучи, це означає, що, хоча всі ваші паролі безпечні, інша інформація може бути недоступною. Для чого, знову ж таки, у дописі в блозі вже було зазначено кілька корисних порад.

Так, дані з менеджерів паролів зберігаються в хмарі, але інформація шифрується прямо на вашому комп’ютері. І навіть незважаючи на те, що архітектура хмарних обчислень містить невеликий ризик, ви все одно можете бути спокійні, знаючи, що всі зашифровані дані там ніколи не зберігаються. Які включають всі ваші паролі.

Корисна порада: Перегляньте наші Остаточний посібник із паролів знати все про створення та керування паролями в Інтернеті.

Профілактика завжди краще, ніж лікування

Це старе прислів’я ніколи не може бути більш актуальним, ніж у ці часи підгляду в Інтернеті та втрати конфіденційності. Нижче наведено кілька кроків, яких вам слід виконати, коли справа стосується вашого облікового запису LastPass, щоб не втратити сон через такі випадки.

Змініть головний пароль

Щоб змінити головний пароль LastPass, просто натисніть на вподобання, де ви знайдете розділ Налаштування облікового запису зліва. Натиснувши його, ви зможете вибрати Натисніть тут, щоб запустити налаштування облікового запису як показано нижче.

Натиснувши це, відкриється нова вкладка, де все, що вам потрібно зробити, це натиснути Змінити головний пароль і виберіть новішу (і сильнішу) альтернативу.

Ось і все, найважливіший крок, який ви повинні зробити після цього інциденту!

2-факторна аутентифікація та інші параметри безпеки

Ми вважаємо, що це гарна ідея використовувати 2-факторну аутентифікацію де це можливо, і особливо в місцях, де зберігаються конфіденційні дані. LastPass абсолютно правильний, пропонуючи використовувати цю службу, і ми вважаємо, що ви повинні зробити це негайно, після зміни свого головного пароля. Насправді, поки ви цим займаєтеся, подумайте про те, щоб додати 2-етапний фактор аутентифікації до всіх служб, які ви використовуєте, які містять конфіденційні дані.

У LastPass ви знайдете Багатофакторні параметри в налаштуваннях облікового запису (див. вище). Тут ви знайдете варіанти подальшого захисту вашого облікового запису LastPass. Ви також побачите Опція автентифікації сітки про які ми писали раніше.

Обмеження на основі країни

Інший рівень безпеки, який LastPass рекомендує користувачам досліджувати, - це політика обмежень на основі країни. Після ввімкнення це дозволить лише пристроям, які походять із країни вашого проживання, отримувати доступ до ваших даних LastPass. Якщо пристрій з будь-якої іншої країни спробує отримати до нього доступ, він покаже повідомлення про помилку. ми висвітлював це дуже детально і вам обов’язково варто прочитати його, якщо ви ще не читали.

Все ще хвилюєтесь?

Не будь. Тут більше нічого не можна робити. LastPass вже оновив свою систему безпеки і вже пропонує користувачам пройти перевірку електронною поштою, якщо вони використовують новий пристрій або нову IP-адресу. Щоб перевірити це, ми спробували саме це й раді повідомити, що цей крок працює так само, як рекламується.

Існуючим користувачам також пропонується змінити свій головний пароль, але навіть якщо ви не отримаєте цього запиту, ми закликаємо вас зробити це все одно. Нарешті, ми б хотіли процитувати Джеремі Госні (експерта з безпеки паролів у Група стриктур), який говорив Ars Technica про хак –

На NVIDIA GTX Titan X, який на даний момент є найшвидшим графічним процесором для злому паролів, зловмисник зможе зробити менше ніж 10 000 припущень в секунду для одного хешу пароля. Це правильно повільно! Навіть слабкі паролі досить безпечні з таким рівнем захисту (якщо ви не використовуєте абсурдно слабкий пароль.) І це навіть не враховує кількість ітерацій на стороні клієнта, тобто налаштовується користувачем. За замовчуванням – 5000 ітерацій, тому ми розглядаємо як мінімум 105 000 ітерацій. Насправді я встановив 65 000 ітерацій, тож це загалом 165 000 ітерацій, які захищають мою парольну фразу Diceware. Тож ні, я точно не замислююсь над цим порушенням. Я навіть не відчуваю себе змушеним змінювати свій головний пароль.

Насправді, чимало членів нашої власної команди користуються інструментом, і ми зробили саме те, що було зазначено вище. А тепер ми хочемо поширити знання на якомога більше людей.

Хочете спробувати альтернативи?

Гаразд, якщо ви відчуваєте, що втратили віру в LastPass через все це, то, звичайно, завжди є альтернативи. Якщо ви готові інвестувати трохи грошей (і частину цієї втрати віри), то це завжди є 1Пароль. Це та сама архітектура та заходи безпеки, але Agilebits, компанія, яка стоїть за 1Password, має кращий послужний список, ніж LastPass. Під цим ми маємо на увазі, що він ніколи не був зламаний. Не повідомлялося, точніше. І все ж таки.

Перенесіть свої паролі в iOS: Легко перенести ваші дані з LastPass на 1Password для iOS, як тільки ви прочитаєте нашу корисну статтю про це.

Якщо ви не хочете нічого витрачати, то є безкоштовна альтернатива. Це називається KeepPass і це також з відкритим кодом. І ми теж писали посібник із перенесення ваших паролів LastPass на Keepass.

Незважаючи на те, що він не такий зручний, як 1Password, якщо ви хочете пограти, можна додати кілька плагінів, щоб відповідати функціональним можливостям його платного аналога. Але це вимагає трохи терпіння, тому будьте готові.

Наші 2 центи

Дуже легко звинуватити компанію і сказати, що вона не дбайливо ставилася до ваших даних. Але це так само добре, як і звинувачувати банки, коли відбувається пограбування. Люди не перестали вкладати туди свої гроші, і ви також не повинні переставати довіряти менеджерам паролів лише тому, що їх зламали.

Ми навіть не говоримо, що захист LastPass був слабким, але їм точно потрібно підтягнути шкарпетки. Це був не перший раз а в їхній системі виявлено загрозу, але обидва рази нічого серйозного не було вкрадено/втрачено. Вони діяли швидко та оперативно сповістили користувачів і вже розібралися з проблемою безпеки, яка призвела до цього. Дотримуючись трохи більше обережності, ви можете забезпечити себе набагато щасливішим. Якщо ви можете витратити весь цей час на роздуми про свій банківський баланс, ми впевнені, що ви також можете подумати про паролі, які захищають їх?