How LastPass Works - Keeping your Passwords Safe in 2018! | The Tech Chap
Tartalomjegyzék:
- Multi-factor hitelesítés engedélyezése
- Vigyázz a phish
- Változtassa meg a fő jelszavát
- Vigyázzon a jelszó emlékeztetőjére
A LastPass online jelszókezelője zárolási módban van, miután a vállalat a múlt hét végén felfedezte a hálózatra jellemző szokatlan tevékenységeket. Ez a tevékenység hackerek voltak, akik a LastPass szerint elfelejtették a felhasználói e-mail címeket, a jelszó-emlékeztetőket, a kiszolgálónkénti sókat és a hitelesítési hasokat.
A jó hír az, hogy a hackerek nem szaladtak el valaki titkosított jelszavával pincéjében. Mindemellett úgy tűnik, mintha rossz hiba lenne, de a biztonsági szakértők közötti konszenzus az volt, hogy sokkal rosszabbá válhatott.
Először is, a LastPass jelenleg védelmet nyújt a potenciális könyvelés ellen azzal, hogy e-mailes hitelesítést igényel, faktor-hitelesítés, ha engedélyezve van-minden alkalommal, amikor egy új bejelentkezés ismeretlen eszközről vagy új IP-címről származik. A támadónak hozzáférést kell kérnie az e-mail fiókjához vagy a hitelesítő alkalmazásához a LastPass fő jelszó megkerülésénél.
[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]Ami azt illeti, hosszú ideig fog tartani, hacsak a LastPass jelszava hihetetlenül gyenge, például 1234LastPass vagy valami hasonló. A fő jelszó megírásához a hackereknek először át kell mennünk a hitelesítési hash-on - amely 100.000 környi PBKDF2-SHA256 hashinget tartalmaz - a LastPass szervereken. A Hashing egy algoritmust használ, hogy egy szövegrészletet hosszabb húrra konvertáljon, így nehéz visszafordítani a mérnököket, és felfedezni, hogy az eredeti szöveg milyen volt.
Egy biztonsági szakértő elmondta Ars Technica-nak, hogy olyan biztos abban a LastPass-ban, Mégsem érezni kényszerül a fő jelszavának megváltoztatására.
Ez azt jelenti, hogy a LastPass semmi, ha nem óvatos, és a vállalat hamarosan felszólítja a felhasználókat, hogy változtassák meg a fő jelszavát.
Szóval mi a LastPass felhasználó? Ideje lemondani a népszerű jelszókezelőről és váltani valami másra? A LastPass fizető felhasználójaként nem vállalom ezt a drasztikus lépést, de itt van néhány dolog, amit meg kell tennie.
Multi-factor hitelesítés engedélyezése
Ez a legfontosabb lépés, amit megtehet, ha nem már. Még ha a legrosszabb is, és a hackerek megkapják a fő jelszavát, még akkor is szükségük lesz a hitelesítési kódra, ha hozzáférést kap a fiókhoz, ha engedélyezve van a két tényezőjű hitelesítés. A többfunkciós hitelesítés nem csak a LastPass számára fontos, hanem bármely olyan webhelyen is, amelyet kínál, beleértve a közösségi hálózatokat, e-mail fiókokat stb.
Vigyázz a phish
A hackerek birtokában vannak a LastPass-felhasználók e-mail címei, legalábbis néhányan valószínűleg látni fogják az adathalász támadást. Ez az, amikor a támadók hamis e-mailt küldnek, mint egy hiteles üzenet a LastPass-tól. A különbség az, hogy ez az e-mail arra kéri Önt, hogy kattintson egy linkre, és változtassa meg a fő jelszavát - valamit, amit soha nem szabad csinálni.
Soha ne kattints az e-mailben lévő linkre, amelyben megváltoztathatod a jelszavadat. Lehetséges, hogy ez a link a LastPass webhely csaló változatához vezet, amely csak a belépési adatok hitelességének megakadályozására létezik.
Változtassa meg a fő jelszavát
Ez azt jelenti, hogy a LastPass minden felhasználót megkér arra, hogy megváltoztassa a fő jelszavát a közeljövőben. Ez azt jelenti, hogy értesítjük a LastPass mobilalkalmazásokon vagy böngészőbővítményeken keresztül. Ezt megerősítjük a LastPass-al, de a nem megváltoztatjuk a jelszavát egy e-mailben vagy azonnali üzenetben található hivatkozással.
UPDATE: A LastPass szóvivője megerősítette, hogy a a fő jelszóváltási figyelmeztetések a böngészõk kiterjesztései és a mobilalkalmazások segítségével történnek a következõ hetekben.
Továbbá, ha a LastPass mester jelszavát bármely más webhelyen használta - nem szabad ezt megtennie - egyébként itt is változtatnia kell.
Vigyázzon a jelszó emlékeztetőjére
Biztonsági szakértő Martin Vigo megvitatta a LastPass megsértését személyes blogján. (Ironikus módon Vigo hamarosan beszélni fog a LastPass hackeléséről.)
A Vigo azt tanácsolja, hogy ne aggódjon a jelszó emlékeztetőjének kitöltésével a LastPass-on. Tegyük fel, hogy a jelszava MMxy80pyt volt. Valószínűleg azt hitte, okos volt emlékeztetni rá: "A My Mare xilofonja ma 80 év játék." Most már nem olyan jó ötlet, mint a rosszfiúk kezében a mondat.
A probléma A LastPass jelszó-emlékeztetőt igényel. A követelmény körüli igénybevétel nélkül anélkül, hogy túl sok információt adna a hackereknek, csak adjon hozzá valami "a most beírt jelszót" vagy valami hasonlót. Ezután tartsd meg a valódi emlékeztetőt (vagy a tényleges jelszót), amelyet papírra írt és háziorvossá tett.
Végül, bár szomorú, hogy ez a legutolsó jogsértés, a LastPass-nak foglalkoznia kell. Valójában a cég már négy évvel ezelőtt is potenciálisan megszegte a problémát.
A LastPass házak összes személyes adatainak köszönhetően - beleértve a banki oldalak bejelentkezési adatait, és bizonyos esetekben még a hitelkártya-adatait is - a szolgáltatás elsődleges célja a hackerek. Azonban a LastPass magas szintű sózási és hasmenésének köszönhetően, és annak nagyon jó átláthatósága (legalábbis eddig), minden olyan felhasználónak, aki erős jelszóval és többfaktoros hitelesítéssel rendelkezik, képesnek kell lennie ezeknek az alkalmi megsértésnek a kihasználására, anélkül, hogy nagyon aggódnának.
LastPass biztonsági rést: Mit kell tudnia, meg kell tennie és figyelnie kell
![LastPass biztonsági rést: Mit kell tudnia, meg kell tennie és figyelnie kell LastPass biztonsági rést: Mit kell tudnia, meg kell tennie és figyelnie kell](https://i.joecomp.com/img/security-2018/lastpass-security-breach-what-you-need-to-know-do-and-watch-out-for.jpg)
Ha LastPass-felhasználó vagy? Itt az ideje pánikba menni és új jelszókezelőt találni? Íme néhány tanács.
A Microsoft több, mint 40 biztonsági rést talált a termékeiben kedden, beleértve a legfontosabbakat is a Windows, az Internet Explorer, az Edge és az Office alkalmazásokban. 16 biztonsági közleményben, amelyek közül hat kulcsfontosságú, a többi fontos. Ez az elmúlt évtizedben összesen több mint 160, az elmúlt hat hónapos rekordot tartalmaz a Microsoft biztonsági közleményeinek száma alatt.
![A Microsoft több, mint 40 biztonsági rést talált a termékeiben kedden, beleértve a legfontosabbakat is a Windows, az Internet Explorer, az Edge és az Office alkalmazásokban. 16 biztonsági közleményben, amelyek közül hat kulcsfontosságú, a többi fontos. Ez az elmúlt évtizedben összesen több mint 160, az elmúlt hat hónapos rekordot tartalmaz a Microsoft biztonsági közleményeinek száma alatt. A Microsoft több, mint 40 biztonsági rést talált a termékeiben kedden, beleértve a legfontosabbakat is a Windows, az Internet Explorer, az Edge és az Office alkalmazásokban. 16 biztonsági közleményben, amelyek közül hat kulcsfontosságú, a többi fontos. Ez az elmúlt évtizedben összesen több mint 160, az elmúlt hat hónapos rekordot tartalmaz a Microsoft biztonsági közleményeinek száma alatt.](https://i.joecomp.com/img/security-2018/microsoft-fixes-critical-flaws-in-windows-ie-edge-and-office.jpg)
A Windows szervereket futtató vállalatoknak prioritást kell adniuk egy fontos távoli kódfuttatási biztonsági résnek a Microsoftban A DNS-kiszolgáló összetevője, amely az MS16-071-es közleményben található.