Zniszczył Lastpass: oto co musisz zrobić

Uwielbialiśmy LastPass tak bardzo, że nazywaliśmy go The Best Password Manager. Kiedy więc historia włamania wybuchła jakiś czas temu, wszyscy byliśmy w szoku. Ale czy to oznacza, że ​​każdy powinien pozbyć się LastPass i użyć czegoś innego? Czy twoje hasła są bezpieczne w chmurze? Czy możemy ponownie zaufać firmie? Właśnie tego próbujemy się dowiedzieć.

Nie panikuj

Nie trzeba dodawać, że jest to pierwsza rzecz, którą należy zrobić. Panikowanie lub, co gorsza, rozpowszechnianie fałszywych informacji za pośrednictwem dowolnego medium, nie jest właściwym sposobem na reagowanie na kryzys. Chociaż naturalne jest, że boisz się czytać takie wiadomości, musisz zdać sobie sprawę, że niepotrzebna panika nie służy żadnemu celowi. W swoim wpisie na blogu LastPass wyjaśnił to i cytuję,

W naszym dochodzeniu nie znaleźliśmy żadnych dowodów na to, że zostały zaszyfrowane dane przechowalni użytkowników, ani że nie uzyskano dostępu do kont użytkowników LastPass.

Tak, to mówi dalej

Dochodzenie wykazało jednak, że adresy e-mail konta LastPass, przypomnienia hasła, sole serwera na użytkownika i skróty uwierzytelniania zostały naruszone.

Ale co to znaczy, pytasz? Mówiąc prosto, oznacza to, że podczas gdy wszystkie twoje hasła są bezpieczne, inne informacje mogą nie być. W tym celu w blogu zamieszczono już kilka przydatnych wskazówek.

Tak, dane z menedżerów haseł są przechowywane w chmurze, ale informacje są szyfrowane bezpośrednio na komputerze. I chociaż architektura przetwarzania w chmurze wiąże się z niewielkim ryzykiem, nadal możesz być spokojny wiedząc, że wszystkie zaszyfrowane dane nigdy nie są tam przechowywane. Które zawierają wszystkie twoje hasła.

Pomocna wskazówka: Sprawdź nasz Ultimate Guide na temat haseł, aby dowiedzieć się wszystkiego o tworzeniu haseł i zarządzaniu nimi w Internecie.

Zapobieganie jest zawsze lepsze niż leczyć

To stare powiedzenie nigdy nie będzie bardziej trafne niż w czasach podsłuchiwania Internetu i utraty prywatności. Oto kilka kroków, które należy wykonać, jeśli chodzi o konto LastPass, aby upewnić się, że nie stracisz snu w związku z takimi zdarzeniami.

Zmień hasło główne

Aby zmienić główne hasło LastPass, po prostu kliknij Preferencje, gdzie znajdziesz sekcję Ustawienia konta po lewej stronie. Kliknięcie tego przycisku umożliwi kliknięcie tutaj, aby uruchomić ustawienia konta, jak pokazano poniżej.

Kliknięcie tego otworzy nową kartę, gdzie wszystko, co musisz zrobić, to nacisnąć przycisk Zmień hasło główne i przejść do nowszej (i silniejszej) alternatywy.

To wszystko, najważniejszy krok, który powinieneś zrobić po tym incydencie!

Dwustopniowe uwierzytelnianie i inne opcje bezpieczeństwa

Uważamy, że dobrym rozwiązaniem jest używanie uwierzytelniania 2-Factor wszędzie tam, gdzie to możliwe, a zwłaszcza w miejscach, w których przechowywane są poufne dane. LastPass ma całkowitą rację, sugerując korzystanie z tej usługi i czujemy, że powinieneś to zrobić natychmiast, po zmianie hasła głównego. W rzeczywistości, gdy jesteś na tym etapie, rozważ dodanie 2-stopniowego współczynnika uwierzytelniania do wszystkich używanych usług, które przechowują poufne dane.

W LastPass znajdziesz opcje Multifactor w ustawieniach konta (patrz wyżej). Tutaj znajdziesz opcje dalszego zabezpieczenia konta LastPass. Zobaczysz również opcję uwierzytelniania siatki, o której pisaliśmy wcześniej.

Ograniczenie oparte na kraju

Kolejną warstwą bezpieczeństwa, którą LastPass wymaga od swoich użytkowników, jest polityka ograniczeń oparta na kraju. Po włączeniu umożliwi to dostęp do danych LastPass tylko urządzeniom pochodzącym z kraju zamieszkania. Jeśli urządzenie z innego kraju próbuje uzyskać do niego dostęp, wyświetli komunikat o błędzie. Omówiliśmy to szczegółowo i zdecydowanie powinieneś je przeczytać, jeśli jeszcze tego nie zrobiłeś.

Wciąż się martwisz?

Nie bądź. Tutaj nie ma nic więcej do zrobienia. LastPass już zaktualizował swoje zabezpieczenia i już prosi użytkowników o weryfikację za pośrednictwem poczty e-mail, jeśli używają nowego urządzenia lub nowego adresu IP. Aby to sprawdzić, próbowaliśmy tego i z przyjemnością informowaliśmy, że ten krok działa tak, jak jest reklamowany.

Istniejący użytkownicy są również proszeni o zmianę hasła głównego, ale nawet jeśli nie otrzymasz takiego monitu, zachęcamy Cię do tego. Na koniec chcielibyśmy zacytować Jeremi Gosneya (eksperta ds. Bezpieczeństwa haseł w Stricture Group), który rozmawiał z Ars Technica o hacku -

W przypadku NVIDIA GTX Titan X, który jest obecnie najszybszym układem GPU do łamania haseł, atakujący będzie w stanie wykonać mniej niż 10 000 zgadnięć na sekundę dla pojedynczego skrótu hasła. To jest powolne! Nawet słabe hasła są dość bezpieczne przy tym poziomie ochrony (chyba że używasz absurdalnie słabego hasła). I to nawet nie uwzględnia liczby iteracji po stronie klienta, które można konfigurować przez użytkownika. Domyślnie jest to 5000 iteracji, więc przynajmniej minimum 105 000 iteracji. Naprawdę ustawiłem na 65 000 iteracji, czyli w sumie 165 000 iteracji chroniących moje hasło Diceware. Więc nie, zdecydowanie nie pocę się z tym naruszeniem. Nie czuję się nawet zmuszony do zmiany hasła głównego.

W rzeczywistości sporo członków naszego własnego zespołu korzysta z tego narzędzia i zrobiliśmy dokładnie te same rzeczy, co powyżej. A teraz chcemy przekazywać wiedzę jak największej liczbie osób.

Chcesz wypróbować alternatywy?

Dobra, jeśli czujesz, że straciłeś wiarę w LastPass z powodu tego wszystkiego, to oczywiście zawsze są alternatywy. Jeśli chcesz zainwestować trochę pieniędzy (a niektóre z tych utraconych wierzeń), zawsze jest 1 hasło. Jest to ta sama architektura i środki bezpieczeństwa, ale Agilebits, firma zajmująca się 1Password, ma lepsze wyniki niż LastPass. Oznacza to, że nigdy nie został zhakowany. Nie został zgłoszony, a dokładniej. Jeszcze.

Przesyłaj swoje hasła w iOS: Łatwo jest przenieść swoje dane z LastPass do 1Password na iOS, po przeczytaniu naszego pomocnego artykułu na ten temat.

Jeśli nie chcesz niczego wydawać, istnieje bezpłatna alternatywa. Nazywa się KeepPass i jest to także open source. Napisaliśmy również przewodnik, aby przenieść twoje hasła LastPass do Keepass.

Nawet jeśli nie jest tak wygodny jak 1Password, jeśli chcesz grać, można dodać kilka wtyczek, aby dopasować funkcjonalność płatnego peera. To jednak wymaga cierpliwości, więc bądź przygotowany.

Nasze 2 centy

Bardzo łatwo jest obwiniać firmę i powiedzieć, że nie byli ostrożni z danymi. Ale to jest tak dobre, jak obwinianie banków, gdy dochodzi do kradzieży. Ludzie nie przestali tam umieszczać swoich pieniędzy i nie powinniście przestać ufać menedżerom haseł, tylko dlatego, że ktoś został zhakowany.

Nie mówimy nawet, że bezpieczeństwo w części LastPass było zbyt luźne, ale zdecydowanie muszą podciągnąć skarpetki. Nie po raz pierwszy wykryto zagrożenie w ich systemie, ale za każdym razem nic nie zostało skradzione / utracone. Działali szybko i szybko powiadamiali użytkowników i już zajęli się kwestią bezpieczeństwa, która do tego doprowadziła. Przy odrobinie większej ostrożności możesz zapewnić znacznie szczęśliwszy stan umysłu. Jeśli możesz spędzić cały ten czas na myśleniu o saldzie banku, jesteśmy pewni, że możesz poświęcić kilka przemyśleń na hasła, które również zapewniają bezpieczeństwo?