Lastpass hakiran: evo što trebate učiniti

LastPass smo toliko voljeli da smo ga zapravo zvali Najbolji upravitelj lozinki. Dakle, kad je prije nekog vremena izbila priča o haku, svi smo bili u stanju šoka. Ali, znači li to da bi se svi trebali bacati LastPass i koristiti nešto drugo? Jesu li vaše lozinke sigurne u oblaku? Možemo li ponovno vjerovati tvrtki? To je ono što pokušavamo saznati.

Nemojte paničariti

Nepotrebno je reći da je ovo prvo što treba učiniti. Panika, ili još gore, širenje lažnih informacija putem bilo kojeg medija, samo nije pravi način odgovora na bilo kakvu krizu. Iako je prirodno osjećati strah dok čitate takve vijesti, morate shvatiti da nepotrebna panika jednostavno ne služi nikakvoj svrsi. U svom postu na blogu, LastPass su jasno stavili do znanja,

U našem istraživanju nismo pronašli nikakve dokaze o uzimanju šifriranih podataka o trezorima korisnika niti o pristupanju korisničkim računima LastPass.

Da, to i dalje govori

Istraga je, međutim, pokazala da su ugrožene adrese e-pošte LastPass računa, podsjetnici zaporke, poslužitelj po korisničkim solima i provjere autentičnosti.

Ali, što to znači, pitate? Jednostavno rečeno, to znači da su sve vaše lozinke na sigurnom, a druge informacije možda neće biti. Za što je, opet, u blogu objavljeno nekoliko korisnih savjeta.

Da, podaci upravitelja lozinki pohranjuju se u oblaku, ali podaci su šifrirani izravno na vašem računalu. Iako arhitektura računalstva u oblaku uključuje mali rizik, možete se lako odmoriti znajući da svi šifrirani podaci nikad nisu tamo pohranjeni. Koje uključuju sve vaše lozinke.

Korisni savjet: Pogledajte naš Ultimate vodič o zaporkama kako biste znali što sve o stvaranju i upravljanju lozinkama na Internetu.

Prevencija je uvijek bolja nego liječiti

Ova stara izreka nikada ne bi mogla biti relevantnija nego u ovo doba internetskog skrivanja i gubitka privatnosti. Evo nekoliko koraka koje biste trebali slijediti kada je riječ o vašem računu LastPass, kako biste osigurali da ne izgubite san zbog takvih nezgoda.

Promijenite glavnu lozinku

Da biste promijenili glavnu lozinku LastPass-a, jednostavno kliknite Postavke, gdje ćete s lijeve strane pronaći odjeljak Postavke računa. Kada kliknete koji će vam dati mogućnost da kliknete ovdje za pokretanje postavki računa, kao što je prikazano u nastavku.

Klikom na to otvorit ćete novu karticu na kojoj trebate samo pritisnuti gumb Promijeni glavnu lozinku i potražite noviju (i jaču) alternativu.

To je to, najvažniji korak koji biste trebali učiniti nakon ovog incidenta!

2-faktorska provjera autentičnosti i druge sigurnosne mogućnosti

Smatramo da je dobra ideja upotrebljavati dvofaktornu provjeru autentičnosti kad god je to moguće, a posebno na mjestima gdje se pohranjuju osjetljivi podaci. LastPass je potpuno točan u predlaganju korištenja ove usluge i smatramo da biste to trebali učiniti odmah, nakon promjene glavne lozinke. Zapravo, dok ste kod njega, razmislite o dodavanju faktora provjere autentičnosti u 2 koraka svim uslugama koje koristite koje sadrže osjetljive podatke.

U LastPassu ćete pronaći opcije više faktora u postavkama računa (vidi gore). Ovdje ćete pronaći mogućnosti za dodatno osiguranje svog LastPass računa. Vidjet ćete i opciju Grid Authentication o kojoj smo već pisali.

Ograničenje u zemlji

Sljedeći sloj sigurnosti koji LastPass svojim korisnicima istražuje je politika ograničenja u zemlji. Nakon omogućavanja, to će omogućiti samo uređajima podrijetlom iz zemlje vašeg prebivališta pristup podacima vašeg LastPass. Ako uređaj iz bilo koje druge države pokuša pristupiti njemu, prikazat će poruku pogreške. Mi smo to detaljno opisali i svakako biste ga trebali pročitati, ako već niste.

Još uvijek zabrinuti?

Nemoj biti. Ovdje se više ništa ne može učiniti. LastPass je već ažurirao svoju sigurnost i već poziva na provjeru korisnika putem e-pošte ako koriste novi uređaj ili novi IP. Da bismo to potvrdili, pokušali smo upravo to i rado smo prijavili da ovaj korak djeluje onako kako se oglašava.

Postojeći korisnici također se od vas traže da promijene svoju glavnu lozinku, ali čak i ako ne dobijete takav upit, molimo vas da to učinite u svakom slučaju. Na kraju, želimo citirati Jeremija Gosneya (stručnjaka za sigurnost lozinki u kompaniji Stricture Group) koji je za Ack Technicu govorio o hakiranju -

Na NVIDIA GTX Titan X, koji je trenutno najbrži GPU za kreiranje lozinki, napadač bi mogao napraviti manje od 10.000 nagađanja u sekundi za jedan hash lozinke. To je sporo sporo! Čak su i slabe lozinke prilično sigurne s tom razinom zaštite (osim ako ne upotrebljavate apsurdno slabu lozinku.) A to čak ni ne uključuje broj iteracija na strani klijenta, koje je korisnik podesio. Zadano je 5000 iteracija, tako da u najmanju ruku gledamo 105.000 iteracija. Zapravo imam postavljeno na 65.000 ponavljanja, dakle, to je ukupno 165.000 iteracija koje štite moje lozinku za Diceware. Dakle, ne, definitivno se ne preljutim u tom kršenju. Ne osjećam ni obvezu da promijenim glavnu lozinku.

U stvari, vrlo malo članova vlastitog tima koristi alat i učinili smo potpuno iste stvari koje smo naveli gore. A sada želimo širiti znanje na što je više moguće ljudi.

Želite li isprobati alternative?

U redu, ako smatrate da ste zbog svega toga izgubili vjeru u LastPass, onda, naravno, uvijek postoje alternative. Ako ste spremni uložiti malo novca (i nešto od te izgubljene vjere), uvijek postoji 1Password. To je ista arhitektura i mjere sigurnosti, ali Agilebits, tvrtka koja stoji iza 1Password-a, ima bolji uspjeh od LastPass-a. Pod tim podrazumijevamo da nikada nije bio hakiran. Nije izvješteno, da budem precizniji. Još.

Prenesite svoje lozinke u iOS-u: Jednostavno je prenijeti svoje podatke s LastPass-a na 1Password za iOS nakon što pročitate naš korisni članak o njemu.

Ako ne želite potrošiti bilo što, onda postoji besplatna alternativa. Zove se KeepPass i također je open source. A napisali smo i vodič za prijenos vaših LastPass lozinki u Keepass.

Iako nije zgodan kao 1Password, ako se želite igrati okolo, može se dodati nekoliko dodataka koji odgovaraju funkciji plaćenog kolege. Ipak treba malo strpljenja, zato budite spremni.

Naša 2 Centa

Vrlo je lako okriviti tvrtku i reći da nisu bili oprezni sa svojim podacima. Ali to je dobro kao i okrivljavanje banaka za pljačku. Ljudi nisu prestali da ulažu svoj novac tamo, niti bi trebali prestati vjerovati upraviteljima lozinki, samo zato što je jedan bio hakiran.

Ne kažemo ni da je sigurnost na LasPass-u bila slaba, ali oni definitivno trebaju podići čarape. To nije prvi put da je otkrivena prijetnja u njihovom sustavu, ali oba puta ništa veliko nije ukradeno / izgubljeno. Postupili su brzo i brzo obavijestili korisnike te su se već pozabavili pitanjima sigurnosti koja dovode do toga. Uz malo više mjere opreza, možete si osigurati puno sretnije stanje duha. Ako možete sve to vrijeme provesti razmišljajući o svom bankovnom stanju, sigurni smo da možete poštedjeti nekoliko misli za lozinke koje ih i dalje čuvaju?