Lastpass feltörve: itt van, mit kell tennie

Annyira szeretjük a LastPaszt, hogy valójában a legjobb jelszókezelőnek neveztük. Tehát, amikor a hack története egy ideje kiderült, mindannyian sokkban voltunk. De ez azt jelenti, hogy mindenkinek el kellene döntenie a LastPass-ot, és valami mást használni? Biztonságban vannak a jelszavai a felhőben? Bízhatunk-e újra a cégben? Ezt próbáljuk kideríteni.

Ne essen pánikba

Mondanom sem kell, hogy ez az első dolog, amit meg kell tenni. A pánikba jutás, vagy ami még rosszabb, hamis információk terjesztése bármilyen médiumon keresztül, nem csak a megfelelő módja annak, hogy bármilyen válságra reagáljunk. Noha természetes, hogy félek, amikor ilyen hírt olvas, el kell ismernie, hogy a felesleges pánik egyszerűen nem szolgál semmilyen célt. A blogbejegyzésükben a LastPass világossá tette, és idézem,

Vizsgálatunkban nem találtunk bizonyítékot arra, hogy titkosított felhasználói boltozat-adatok kerültek átvételre, illetve hogy a LastPass felhasználói fiókokhoz is hozzáfértek.

Igen, ezt folytatja

A vizsgálat azonban kimutatta, hogy a LastPass-fiók e-mail címei, a jelszó-emlékeztetők, a kiszolgálónkénti sók és a hitelesítési hash-ok veszélybe kerültek.

De mit jelent ez, kérdezed? Egyszerűen fogalmazva: ez azt jelenti, hogy bár az összes jelszó biztonságos, más információk nem feltétlenül állnak rendelkezésre. Amihez a blogbejegyzés is már néhány hasznos tippet közölt.

Igen, a jelszókezelők adatait a felhő tárolja, de az információkat közvetlenül a számítógépe titkosítja. És annak ellenére, hogy a felhőalapú számítástechnika némi kockázattal jár, továbbra is könnyedén pihenhet, tudva, hogy az összes titkosított adatot soha nem tárolják ott. Amely tartalmazza az összes jelszót.

Hasznos tipp: Olvassa el a jelszavakkal kapcsolatos végső útmutatónkat, hogy mindent tudjon meg a jelszavak létrehozásáról és kezeléséről az interneten.

A megelőzés mindig jobb, mint a gyógyítás

Ez a régi mondás soha nem lehetne relevánsabb, mint az internetes szimatolás és a magánélet elvesztésének idején. Íme néhány lépés, amelyet be kell tartania, amikor a LastPass-fiókjára vonatkozik, hogy biztosan ne veszítse el alvását az ilyen események miatt.

Módosítsa a fő jelszót

A LastPass fő jelszavának megváltoztatásához egyszerűen kattintson a Beállítások elemre, ahol a bal oldalon található a Fiókbeállítások szakasz. Ha rákattint, akkor megadhatja a lehetőséget, hogy kattintson ide, hogy elindítsa a fiókbeállításokat az alább látható módon.

Ha rákattint, megnyílik egy új lap, ahol csak annyit kell tennie, hogy megnyomja a Fő jelszó módosítása gombot, és újabb (és erősebb) alternatívát keres.

Ez az, a legfontosabb lépés, amelyet meg kell tennie az esemény bekövetkezése után!

2-tényezős hitelesítés és egyéb biztonsági lehetőségek

Jó ötletnek tartjuk a 2-tényezős hitelesítést, ahol csak lehetséges, és különösen olyan helyeken, ahol érzékeny adatokat tárolunk. A LastPass teljesen helyesen javasolja ennek a szolgáltatásnak a használatát, és úgy gondoljuk, hogy ezt azonnal meg kell tennie, miután megváltoztatta a fő jelszavát. Valójában, amíg itt vagy, fontolja meg a kétlépcsős hitelesítési tényező hozzáadását minden olyan szolgáltatáshoz, amelyet használ, és amely érzékeny adatokat tárol.

A LastPass alkalmazásban a Többfaktoros opciókat a Fiókbeállítások között találja meg (lásd fent). Itt talál lehetőségeket a LastPass-fiók további biztonságához. Látni fogja a Rács-hitelesítés lehetőséget, amiről már írtunk.

Országos korlátozás

Egy másik biztonsági szint, amelyet a LastPass felkutat a felhasználóinak, az országos korlátozási politika. Ha engedélyezi, ez csak a tartózkodási helyének országából származó eszközök számára teszi lehetővé a LastPass-adatok elérését. Ha valamely más országból származó eszköz megpróbálja elérni, akkor hibaüzenet jelenik meg. Sokkal részletesebben ismertettük ezt, és feltétlenül olvassa el azt, ha még nem tette meg.

Még mindig aggódik?

Ne légy. Nincs itt semmi tennivaló. A LastPass már frissítette a biztonságot, és már arra szólítja fel a felhasználókat, hogy e-mailben ellenőrizzék őket, ha új eszközt vagy új IP-t használnak. Ennek igazolására csak ezt megpróbáltuk, és örömmel jelentettük, hogy ez a lépés ugyanúgy működik, ahogy hirdetik.

A meglévő felhasználókat szintén felszólítják a fő jelszó megváltoztatására, de még ha nem is kapja meg ezt a figyelmeztetést, sürgetjük, hogy tegye meg. Végül idéznénk Jeremi Gosney-t (a Stricture Group jelszóbiztonsági szakértőjét), aki beszélt az Ars Technicával a hackelésről -

Az NVIDIA GTX Titan X-en, amely jelenleg a leggyorsabb GPU a jelszó-feltöréshez, a támadó másodpercenként kevesebb, mint 10 000 kitalálást tudna végrehajtani egyetlen jelszó-hash esetén. Ez megfelelő lassú! Még a gyenge jelszavak is elég biztonságosak ezzel a szintű védelemmel (kivéve, ha abszurd módon gyenge jelszavakat használnak.) És ez nem is veszi figyelembe az ügyféloldali iterációk számát, amely a felhasználó által konfigurálható. Az alapértelmezés 5000 iteráció, tehát legalább 105 000 iterációt vizsgálunk. Valójában 65 000 iterációt állítottam be, tehát összesen 165 000 iteráció védi a Diceware jelszavam. Tehát nem, határozottan nem izzadom ezt a jogsértést. Még azt sem érzem, hogy meg kellene változtatnom a fő jelszavam.

Valójában a saját csapatunk nagyon kevés tagja használja az eszközt, és pontosan ugyanazokat a dolgokat tettük meg, amiket fentebb már említettük. És most azt szeretnénk, hogy a tudást minél több emberre terjesszük.

Kíváncsi az alternatívákra?

Oké, ha úgy érzi, hogy mindezek miatt elvesztette a hitét a LastPass-ban, akkor természetesen mindig vannak alternatívák. Ha hajlandó befektetni egy kis pénzt (és ennek az elvesztett hitének egy részét), akkor mindig van 1Password. Ugyanaz a felépítés és a biztonsági intézkedések játszódnak le, de az Agilebits, az 1Password mögött álló társaság jobb eredményeket mutat, mint a LastPass. Ezzel azt értjük, hogy soha nem támadták meg. Nem tettek jelentést, pontosabban. Még.

Jelszavak átvitele az iOS rendszerben: Az adatok egyszerű átvitele a LastPass-ról az 1Password-re az iOS-hoz, miután elolvasta a hasznos cikket.

Ha nem akar költeni semmit, akkor van egy ingyenes alternatíva. KeepPassnak hívják, és nyílt forráskódú is. Azt is írtunk egy útmutatót, amelyben átadhatja a LastPass jelszavait a Keepass-nak.

Annak ellenére, hogy nem olyan kényelmes, mint az 1Password, ha hajlandó játszani, néhány plugin hozzáadható, hogy megfeleljen a fizetett társainak. Ennek ellenére türelmet igényel, ezért készülj fel.

2 centünk

Nagyon könnyű egy társaságot hibáztatni és azt mondani, hogy nem voltak óvatosak az Ön adataival. De ez olyan jó, mint a bankok hibáztatása rablás esetén. Az emberek nem hagyták abba a pénzük elhelyezését, és nem szabad abbahagyni a jelszókezelőkbe vetett bizalmat, csak azért, mert az egyiket feltörték.

Még azt sem mondjuk, hogy a biztonság nem volt elenyésző a LastPass részén, de határozottan ki kell húzniuk a zoknit. Nem ez volt az első alkalom, amikor veszélyt fedeztek fel a rendszerükben, de mindkét alkalommal nem loptak el / vesztették el a lényeget. Gyorsan és gyorsan értesítették a felhasználókat, és már foglalkoztak az ehhez vezető biztonsági kérdéssel. Magad valamivel több óvatossággal biztosíthatod a sokkal boldogabb lelkiállapotot. Ha mindezt az időt arra tölti, hogy a bankszámláján gondolkozzon, biztosak lehetünk benne, hogy megválthat néhány gondolatot a jelszavakat illetően is, amelyek biztonságban vannak?