LastPass biztonsági rést: Mit kell tudnia, meg kell tennie és figyelnie kell

A LastPass online jelszókezelője zárolási módban van, miután a vállalat a múlt hét végén felfedezte a hálózatra jellemző szokatlan tevékenységeket. Ez a tevékenység hackerek voltak, akik a LastPass szerint elfelejtették a felhasználói e-mail címeket, a jelszó-emlékeztetőket, a kiszolgálónkénti sókat és a hitelesítési hasokat.

A jó hír az, hogy a hackerek nem szaladtak el valaki titkosított jelszavával pincéjében. Mindemellett úgy tűnik, mintha rossz hiba lenne, de a biztonsági szakértők közötti konszenzus az volt, hogy sokkal rosszabbá válhatott.

Először is, a LastPass jelenleg védelmet nyújt a potenciális könyvelés ellen azzal, hogy e-mailes hitelesítést igényel, faktor-hitelesítés, ha engedélyezve van-minden alkalommal, amikor egy új bejelentkezés ismeretlen eszközről vagy új IP-címről származik. A támadónak hozzáférést kell kérnie az e-mail fiókjához vagy a hitelesítő alkalmazásához a LastPass fő jelszó megkerülésénél.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

Ami azt illeti, hosszú ideig fog tartani, hacsak a LastPass jelszava hihetetlenül gyenge, például 1234LastPass vagy valami hasonló. A fő jelszó megírásához a hackereknek először át kell mennünk a hitelesítési hash-on - amely 100.000 környi PBKDF2-SHA256 hashinget tartalmaz - a LastPass szervereken. A Hashing egy algoritmust használ, hogy egy szövegrészletet hosszabb húrra konvertáljon, így nehéz visszafordítani a mérnököket, és felfedezni, hogy az eredeti szöveg milyen volt.

Egy biztonsági szakértő elmondta Ars Technica-nak, hogy olyan biztos abban a LastPass-ban, Mégsem érezni kényszerül a fő jelszavának megváltoztatására.

Ez azt jelenti, hogy a LastPass semmi, ha nem óvatos, és a vállalat hamarosan felszólítja a felhasználókat, hogy változtassák meg a fő jelszavát.

Szóval mi a LastPass felhasználó? Ideje lemondani a népszerű jelszókezelőről és váltani valami másra? A LastPass fizető felhasználójaként nem vállalom ezt a drasztikus lépést, de itt van néhány dolog, amit meg kell tennie.

Multi-factor hitelesítés engedélyezése

Ez a legfontosabb lépés, amit megtehet, ha nem már. Még ha a legrosszabb is, és a hackerek megkapják a fő jelszavát, még akkor is szükségük lesz a hitelesítési kódra, ha hozzáférést kap a fiókhoz, ha engedélyezve van a két tényezőjű hitelesítés. A többfunkciós hitelesítés nem csak a LastPass számára fontos, hanem bármely olyan webhelyen is, amelyet kínál, beleértve a közösségi hálózatokat, e-mail fiókokat stb.

Vigyázz a phish

A hackerek birtokában vannak a LastPass-felhasználók e-mail címei, legalábbis néhányan valószínűleg látni fogják az adathalász támadást. Ez az, amikor a támadók hamis e-mailt küldnek, mint egy hiteles üzenet a LastPass-tól. A különbség az, hogy ez az e-mail arra kéri Önt, hogy kattintson egy linkre, és változtassa meg a fő jelszavát - valamit, amit soha nem szabad csinálni.

Soha ne kattints az e-mailben lévő linkre, amelyben megváltoztathatod a jelszavadat. Lehetséges, hogy ez a link a LastPass webhely csaló változatához vezet, amely csak a belépési adatok hitelességének megakadályozására létezik.

Változtassa meg a fő jelszavát

Ez azt jelenti, hogy a LastPass minden felhasználót megkér arra, hogy megváltoztassa a fő jelszavát a közeljövőben. Ez azt jelenti, hogy értesítjük a LastPass mobilalkalmazásokon vagy böngészőbővítményeken keresztül. Ezt megerősítjük a LastPass-al, de a nem megváltoztatjuk a jelszavát egy e-mailben vagy azonnali üzenetben található hivatkozással.

UPDATE: A LastPass szóvivője megerősítette, hogy a a fő jelszóváltási figyelmeztetések a böngészõk kiterjesztései és a mobilalkalmazások segítségével történnek a következõ hetekben.

Továbbá, ha a LastPass mester jelszavát bármely más webhelyen használta - nem szabad ezt megtennie - egyébként itt is változtatnia kell.

Vigyázzon a jelszó emlékeztetőjére

Biztonsági szakértő Martin Vigo megvitatta a LastPass megsértését személyes blogján. (Ironikus módon Vigo hamarosan beszélni fog a LastPass hackeléséről.)

A Vigo azt tanácsolja, hogy ne aggódjon a jelszó emlékeztetőjének kitöltésével a LastPass-on. Tegyük fel, hogy a jelszava MMxy80pyt volt. Valószínűleg azt hitte, okos volt emlékeztetni rá: "A My Mare xilofonja ma 80 év játék." Most már nem olyan jó ötlet, mint a rosszfiúk kezében a mondat.

A probléma A LastPass jelszó-emlékeztetőt igényel. A követelmény körüli igénybevétel nélkül anélkül, hogy túl sok információt adna a hackereknek, csak adjon hozzá valami "a most beírt jelszót" vagy valami hasonlót. Ezután tartsd meg a valódi emlékeztetőt (vagy a tényleges jelszót), amelyet papírra írt és háziorvossá tett.

Végül, bár szomorú, hogy ez a legutolsó jogsértés, a LastPass-nak foglalkoznia kell. Valójában a cég már négy évvel ezelőtt is potenciálisan megszegte a problémát.

A LastPass házak összes személyes adatainak köszönhetően - beleértve a banki oldalak bejelentkezési adatait, és bizonyos esetekben még a hitelkártya-adatait is - a szolgáltatás elsődleges célja a hackerek. Azonban a LastPass magas szintű sózási és hasmenésének köszönhetően, és annak nagyon jó átláthatósága (legalábbis eddig), minden olyan felhasználónak, aki erős jelszóval és többfaktoros hitelesítéssel rendelkezik, képesnek kell lennie ezeknek az alkalmi megsértésnek a kihasználására, anélkül, hogy nagyon aggódnának.