Lastpass взломан: вот что вам нужно сделать

Мы так любили LastPass, что называли его «Лучший менеджер паролей». Итак, когда история о взломе вспыхнула некоторое время назад, мы все были в шоке. Но значит ли это, что каждый должен отказаться от LastPass и использовать что-то еще? Безопасны ли ваши пароли в облаке? Можем ли мы снова доверять компании? Вот что мы пытаемся выяснить.

Не паникуйте

Излишне говорить, что это первое, что нужно сделать. Паника, или, что еще хуже, распространение ложной информации с помощью любых средств - это просто неправильный способ реагировать на любой кризис. Хотя естественно, что вы боитесь, когда читаете такие новости, вы должны понимать, что ненужная паника просто не имеет смысла. В своем блоге LastPass дал понять, и я цитирую,

В ходе нашего расследования мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные хранилища пользователей или что к учетным записям пользователей LastPass обращались.

Да, это говорит о том, что

Однако расследование показало, что адреса электронной почты учетной записи LastPass, напоминания пароля, количество серверов на пользователя и хеш-коды аутентификации были скомпрометированы.

Но что это значит, спросите вы? Проще говоря, это означает, что в то время как все ваши пароли в безопасности, другая информация не может быть. Для чего, опять же, в блоге уже изложено несколько полезных советов.

Да, данные из менеджеров паролей хранятся в облаке, но информация зашифрована прямо на вашем компьютере. И хотя архитектура облачных вычислений сопряжена с небольшим риском, вы все равно можете быть спокойны, зная, что все зашифрованные данные там никогда не хранятся. Которые включают в себя все ваши пароли.

Полезный совет: ознакомьтесь с нашим окончательным руководством по паролям, чтобы узнать все о создании и управлении паролями в Интернете.

Профилактика всегда лучше лечения

Эта старая поговорка никогда не может быть более актуальной, чем во времена слежки за интернетом и потери конфиденциальности. Вот несколько шагов, которые вы должны выполнить, когда речь заходит о вашей учетной записи LastPass, чтобы не потерять сон от подобных инцидентов.

Изменить мастер-пароль

Чтобы изменить мастер-пароль LastPass, просто нажмите « Настройки», где слева вы найдете раздел «Настройки учетной записи». Нажав, вы получите возможность щелкнуть здесь, чтобы запустить настройки учетной записи, как показано ниже.

Нажав на нее, вы откроете новую вкладку, где все, что вам нужно сделать, - это нажать кнопку « Изменить главный пароль» и перейти к более новой (и более надежной) альтернативе.

Вот и все, самый важный шаг, который вы должны сделать после этого инцидента!

Двухфакторная аутентификация и другие параметры безопасности

Мы считаем, что это хорошая идея - использовать двухфакторную аутентификацию везде, где это возможно, особенно в местах, где хранятся конфиденциальные данные. LastPass абсолютно прав, предлагая использовать эту услугу, и мы считаем, что вы должны сделать это сразу же после смены мастер-пароля. Фактически, пока вы занимаетесь этим, рассмотрите возможность добавления двухэтапного фактора аутентификации ко всем используемым вами службам, которые хранят конфиденциальные данные.

В LastPass вы найдете многофакторные параметры в настройках учетной записи (см. Выше). Здесь вы найдете варианты для дальнейшей защиты вашей учетной записи LastPass. Вы также увидите опцию Grid Authentication, о которой мы писали ранее.

Страновое ограничение

Еще один уровень безопасности, который LastPass влечет за собой для пользователей, - это политика ограничений на уровне страны. После включения это позволит только устройствам, происходящим из страны вашего проживания, получать доступ к вашим данным LastPass. Если устройство из любой другой страны попытается получить к нему доступ, на нем отобразится сообщение об ошибке. Мы рассмотрели это очень подробно, и вы обязательно должны прочитать это, если вы еще этого не сделали.

Все еще беспокоитесь?

Не будь Здесь больше нечего делать. LastPass уже обновил свою безопасность и уже предлагает пользователям проверить по электронной почте, если они используют новое устройство или новый IP. Чтобы убедиться в этом, мы попробовали именно это и с радостью сообщили, что этот шаг работает так же, как рекламируется.

Существующим пользователям также предлагается изменить свой мастер-пароль, но даже если вы не получите это приглашение, мы настоятельно рекомендуем вам сделать это в любом случае. Наконец, мы хотели бы процитировать Джереми Госни (эксперта по безопасности паролей в Stricture Group), который говорил с Ars Technica о взломе -

На NVIDIA GTX Titan X, который в настоящее время является самым быстрым графическим процессором для взлома паролей, злоумышленник сможет сделать менее 10 000 предположений в секунду для одного хэша пароля. Это очень медленно! Даже слабые пароли достаточно защищены с таким уровнем защиты (если только вы не используете абсурдно слабый пароль). И это даже не учитывает количество итераций на стороне клиента, которое настраивается пользователем. По умолчанию используется 5000 итераций, поэтому, как минимум, мы рассматриваем 105 000 итераций. На самом деле у меня установлено 65 000 итераций, так что в общей сложности 165 000 итераций защищают мою фразу-пароль Diceware. Так что нет, я определенно не потею это нарушение. Я даже не чувствую себя обязанным сменить мастер-пароль.

Фактически, довольно много членов нашей команды используют этот инструмент, и мы сделали то же самое, что мы заявили выше. И теперь мы хотим распространить знания как можно большему количеству людей.

Хотите попробовать альтернативы?

Хорошо, если вы чувствуете, что из-за всего этого потеряли веру в LastPass, то, конечно, всегда есть альтернативы. Если вы готовы инвестировать немного денег (и часть этой утраченной веры), то всегда есть 1Password. Это та же архитектура и меры безопасности, но Agilebits, компания, стоящая за 1Password, имеет лучший послужной список, чем LastPass. Под этим мы подразумеваем, что он никогда не был взломан. Точнее, не сообщалось. Еще.

Перенос своих паролей в iOS: легко перенести ваши данные из LastPass в 1Password для iOS, как только вы прочитаете нашу полезную статью об этом.

Если вы не хотите ничего тратить, то есть бесплатная альтернатива. Он называется KeepPass и тоже с открытым исходным кодом. И мы также написали руководство по передаче ваших паролей LastPass в Keepass.

Несмотря на то, что это не так удобно, как 1Password, если вы хотите поиграть, можно добавить несколько плагинов, соответствующих функциональности платного партнера. Это требует некоторого терпения, так что будьте готовы.

Наши 2 цента

Очень легко обвинить компанию и сказать, что она не была осторожна с вашими данными. Но это так же хорошо, как обвинять банки, когда происходит грабеж. Люди не перестают вкладывать свои деньги туда, и вы не должны перестать доверять менеджерам паролей, просто потому что один был взломан.

Мы даже не говорим, что со стороны LastPass безопасность была слабой, но им определенно нужно подтянуть носки. Это был не первый раз, когда угроза была обнаружена в их системе, но оба раза ничего не было украдено / потеряно. Они действовали быстро и незамедлительно, уведомляя пользователей и уже имели дело с проблемой безопасности, которая привела к этому. С небольшим количеством предосторожности Вы можете гарантировать намного более счастливое состояние души. Если вы можете потратить все это время на размышления о своем банковском балансе, мы уверены, что вы можете позаботиться о паролях, которые также хранят их в безопасности?