Lastpass hacked: εδώ είναι αυτό που πρέπει να κάνετε

Είχαμε αγαπήσει το LastPass τόσο πολύ που το είχαμε ονομάσει "The Best Password Manager". Έτσι, όταν ξέσπασε η ιστορία του hack πριν από λίγο, ήμασταν όλοι σε κατάσταση σοκ. Αλλά, αυτό σημαίνει ότι ο καθένας θα έπρεπε να χαράξει το LastPass και να χρησιμοποιήσει κάτι άλλο; Είναι ασφαλείς οι κωδικοί σας στο σύννεφο; Μπορούμε να εμπιστευθούμε ξανά την εταιρεία; Αυτό προσπαθούμε να μάθουμε.

Μην πανικοβληθείτε

Περιττό να πω, αυτό είναι το πρώτο πράγμα που πρέπει να γίνει. Η πανικοποίηση, ή και χειρότερα, η διάδοση ψευδών πληροφοριών μέσω οποιουδήποτε μέσου, δεν είναι ακριβώς ο σωστός τρόπος για να απαντήσετε σε οποιαδήποτε κρίση. Ενώ είναι φυσικό να αισθάνεστε φοβισμένοι όταν διαβάζετε μια είδηση ​​όπως αυτή, θα πρέπει να συνειδητοποιήσετε ότι ο περιττός πανικός δεν εξυπηρετεί κανέναν σκοπό. Στη δημοσίευσή τους στο blog, η LastPass κατέστησε σαφές, και παραθέτω,

Στην έρευνά μας, δεν βρήκαμε στοιχεία που να αποδεικνύουν ότι έχουν ληφθεί κρυπτογραφημένα δεδομένα θύρας χρήστη, ούτε ότι έχουν πρόσβαση οι λογαριασμοί χρηστών του LastPass.

Ναι, το λέει αυτό

Ωστόσο, η έρευνα έδειξε ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου του λογαριασμού LastPass, οι υπενθυμίσεις κωδικού πρόσβασης, ο εξυπηρετητής ανά άλατα χρηστών και οι χάρτες εξακρίβωσης γνησιότητας έχουν διακυβευτεί.

Αλλά, τι σημαίνει αυτό, ρωτάτε; Με απλά λόγια, αυτό σημαίνει ότι ενώ όλοι οι κωδικοί πρόσβασης είναι ασφαλείς, άλλες πληροφορίες μπορεί να μην είναι. Για το οποίο, και πάλι, το blog post έχει ήδη δηλώσει μερικές χρήσιμες συμβουλές.

Ναι, τα δεδομένα από τους διαχειριστές κωδικών πρόσβασης αποθηκεύονται στο σύννεφο, αλλά οι πληροφορίες είναι κρυπτογραφημένες στον υπολογιστή σας. Και παρόλο που η αρχιτεκτονική του cloud computing συνεπάγεται έναν μικρό κίνδυνο, μπορείτε ακόμα να ξεκουραστείτε γνωρίζοντας ότι όλα τα κρυπτογραφημένα δεδομένα δεν αποθηκεύονται ποτέ εκεί. Ποια περιλαμβάνουν όλους τους κωδικούς πρόσβασής σας.

Χρήσιμη συμβουλή: Ανατρέξτε στον τελικό οδηγό μας σχετικά με τους κωδικούς πρόσβασης για να μάθετε τα πάντα σχετικά με τη δημιουργία και τη διαχείριση κωδικών πρόσβασης στο διαδίκτυο.

Η πρόληψη είναι πάντα καλύτερη από τη θεραπεία

Αυτή η παλιά παροιμία δεν θα μπορούσε ποτέ να είναι πιο σχετική σε σχέση με αυτή την εποχή του internet snooping και απώλεια ιδιωτικότητας. Ακολουθούν ορισμένα βήματα που πρέπει να ακολουθήσετε όταν πρόκειται για το λογαριασμό σας LastPass, για να μην χάσετε τον ύπνο σας σε τέτοια περιστατικά.

Αλλάξτε τον κύριο κωδικό πρόσβασης

Για να αλλάξετε τον κύριο κωδικό πρόσβασης του LastPass, απλά κάντε κλικ στην επιλογή Προτιμήσεις, όπου θα βρείτε την ενότητα "Ρυθμίσεις λογαριασμού" στα αριστερά. Κάνοντας κλικ σε αυτό θα σας δοθεί η επιλογή να κάνετε κλικ εδώ για να ξεκινήσετε τις ρυθμίσεις λογαριασμού όπως φαίνεται παρακάτω.

Κάνοντας κλικ σε αυτό θα ανοίξει μια νέα καρτέλα, όπου το μόνο που χρειάζεται να κάνετε είναι να πατήσετε το κουμπί Αλλαγή κύριου κωδικού πρόσβασης και να πάτε για μια νεότερη (και ισχυρότερη) εναλλακτική λύση.

Αυτό είναι το πιο σημαντικό βήμα που πρέπει να κάνετε μετά από αυτό το συμβάν!

Έλεγχος ταυτότητας 2 στοιχείων και άλλες επιλογές ασφαλείας

Θεωρούμε ότι είναι καλή ιδέα να χρησιμοποιείτε τον έλεγχο ταυτότητας 2 στοιχείων όπου είναι δυνατόν και ειδικά σε χώρους όπου αποθηκεύονται ευαίσθητα δεδομένα. Το LastPass είναι απόλυτα σωστό στο να υποδείξει τη χρήση αυτής της υπηρεσίας και πιστεύουμε ότι πρέπει να το κάνετε αυτό αμέσως μετά την αλλαγή του κύριου κωδικού πρόσβασης. Στην πραγματικότητα, ενώ είστε σε αυτό, εξετάστε το ενδεχόμενο να προσθέσετε τον παράγοντα επαλήθευσης ταυτότητας σε 2 βήματα σε όλες τις υπηρεσίες που χρησιμοποιείτε, οι οποίες περιέχουν ευαίσθητα δεδομένα.

Στο LastPass, θα βρείτε τις Επιλογές πολλών παραμέτρων στις Ρυθμίσεις Λογαριασμού (δείτε παραπάνω). Σε αυτό το σημείο θα βρείτε επιλογές για την ασφαλή φύλαξη του λογαριασμού σας LastPass. Θα δείτε επίσης την επιλογή Authentication Grid για την οποία γράψαμε πριν.

Περιορισμός βάσει χώρας

Ένα άλλο στρώμα ασφάλειας που χρησιμοποιεί το LastPass για τους χρήστες του είναι η πολιτική περιορισμού που βασίζεται στη χώρα. Μόλις ενεργοποιηθεί, αυτό θα επιτρέψει μόνο στις συσκευές που προέρχονται από τη χώρα της κατοικίας σας να έχουν πρόσβαση στα δεδομένα σας LastPass. Αν μια συσκευή από οποιαδήποτε άλλη χώρα προσπαθήσει να την αποκτήσει, θα εμφανιστεί ένα μήνυμα σφάλματος. Το καλύψαμε με μεγάλη λεπτομέρεια και θα πρέπει σίγουρα να το διαβάσετε, εάν δεν το έχετε ήδη κάνει.

Ακόμη ανησυχείτε;

Μην είστε. Δεν υπάρχει τίποτα περισσότερο να γίνει εδώ. Η LastPass έχει ήδη ενημερώσει την ασφάλειά τους και ήδη προτρέπει τους χρήστες να επαληθευτούν μέσω ηλεκτρονικού ταχυδρομείου, αν χρησιμοποιούν μια νέα συσκευή ή μια νέα διεύθυνση IP. Για να το επιβεβαιώσουμε αυτό, προσπαθήσαμε ακριβώς αυτό και είμαστε στην ευχάριστη θέση να αναφέρουμε ότι αυτό το βήμα λειτουργεί ακριβώς όπως διαφημίζεται.

Οι υπάρχοντες χρήστες καλούνται επίσης να αλλάξουν τον κύριο κωδικό πρόσβασης, αλλά ακόμα κι αν δεν λάβετε αυτό το ερώτημα, σας παροτρύνουμε να το κάνετε ούτως ή άλλως. Τέλος, θα θέλαμε να αναφέρουμε τον Jeremi Gosney (ειδικό για θέματα ασφάλειας κωδικών πρόσβασης στην ομάδα Stricture) που μίλησε στην Ars Technica για την hack -

Σε ένα NVIDIA GTX Titan X, το οποίο είναι σήμερα η γρηγορότερη GPU για σπάσιμο κωδικών πρόσβασης, ένας εισβολέας θα μπορούσε να κάνει λιγότερες από 10.000 εικασίες ανά δευτερόλεπτο για ένα μόνο hash κωδικού πρόσβασης. Αυτό είναι σωστό αργά! Ακόμα και οι αδύναμοι κωδικοί πρόσβασης είναι αρκετά ασφαλείς με αυτό το επίπεδο προστασίας (εκτός αν χρησιμοποιείτε έναν παράλογο αδύναμο κωδικό πρόσβασης). Και αυτό δεν περιλαμβάνει καν τον αριθμό επαναλήψεων από την πλευρά του πελάτη, ο οποίος είναι διαμορφωμένος από το χρήστη. Η προεπιλογή είναι 5.000 επαναλήψεις, οπότε τουλάχιστον εξετάζουμε 105.000 επαναλήψεις. Έχω στην πραγματικότητα τη δική μου σε 65.000 επαναλήψεις, έτσι είναι συνολικά 165.000 επαναλήψεις που προστατεύουν τη φράση πρόσβασης Diceware μου. Έτσι, όχι, σίγουρα δεν αισθάνομαι την εφίδρωση. Δεν αισθάνομαι καν υποχρεωμένος να αλλάξω τον κύριο κωδικό μου.

Στην πραγματικότητα, αρκετά μέλη της δικής μας ομάδας χρησιμοποιούν το εργαλείο και κάναμε ακριβώς τα ίδια πράγματα που έχουμε δηλώσει παραπάνω. Και τώρα θέλουμε να διαδώσουμε τη γνώση σε όσο το δυνατόν περισσότερους ανθρώπους.

Θέλετε να δοκιμάσετε εναλλακτικές λύσεις;

Εντάξει, εάν αισθάνεστε ότι έχετε χάσει την πίστη σας στο LastPass εξαιτίας όλων αυτών, τότε βεβαίως υπάρχουν πάντα εναλλακτικές λύσεις. Αν είστε πρόθυμοι να επενδύσετε λίγα χρήματα (και μερικά από αυτά χάνονται πίστη) τότε υπάρχει πάντα 1Password. Είναι η ίδια αρχιτεκτονική και μέτρα ασφαλείας στο παιχνίδι, αλλά η Agilebits, η εταιρεία πίσω από το 1Password, έχει καλύτερα αποτελέσματα από το LastPass. Με αυτό, εννοούμε ότι ποτέ δεν έχει πειραχτεί. Δεν έχει αναφερθεί, για να είμαι πιο ακριβής. Ακόμη.

Μεταφέρετε τους κωδικούς σας στο iOS: Είναι εύκολο να μεταφέρετε τα δεδομένα σας από το LastPass στο 1Password για iOS, μόλις διαβάσετε το χρήσιμο άρθρο μας σχετικά με αυτό.

Αν δεν είστε πρόθυμοι να δαπανήσετε τίποτα, τότε υπάρχει μια δωρεάν εναλλακτική λύση. Ονομάζεται KeepPass και είναι επίσης ανοικτή πηγή. Και γράψαμε επίσης έναν οδηγό για τη μεταφορά των κωδικών LastPass στον Keepass.

Παρόλο που δεν είναι τόσο βολικό όσο το 1Password, αν είστε πρόθυμοι να παίξετε γύρω, μπορείτε να προσθέσετε μερικά πρόσθετα για να ταιριάζει με τη λειτουργικότητα του πληρωμένου ομότιμου. Χρειάζεται κάποια υπομονή, όμως, να είστε προετοιμασμένοι.

Τα 2 σεντ μας

Είναι πολύ εύκολο να κατηγορήσετε μια εταιρεία και να πείτε ότι δεν ήταν προσεκτικοί με τα δεδομένα σας. Αλλά αυτό είναι τόσο καλό όσο κατηγορούν τις τράπεζες όταν υπάρχει ληστεία. Οι άνθρωποι δεν έχουν σταματήσει να βάζουν τα χρήματά τους εκεί και ούτε πρέπει να σταματήσετε να εμπιστεύεστε τους διαχειριστές κωδικών πρόσβασης, μόνο και μόνο επειδή κάποιος ήταν hacked.

Δεν λέμε ούτε καν ότι η ασφάλεια ήταν χαλαρή στο μέρος του LastPass, αλλά σίγουρα πρέπει να τραβήξουν τις κάλτσες τους. Δεν ήταν η πρώτη φορά που εντοπίστηκε απειλή στο σύστημά τους, αλλά και οι δύο φορές δεν είχε κλαπεί / χαθεί τίποτα μεγάλο. Ενεργούσαν γρήγορα και ειδοποίησαν αμέσως τους χρήστες και έχουν ήδη ασχοληθεί με το ζήτημα ασφάλειας που οδηγεί σε αυτό. Με λίγη περισσότερη προφύλαξη από εσάς, μπορείτε να εξασφαλίσετε μια πολύ πιο ευτυχισμένη κατάσταση του νου. Εάν μπορείτε να ξοδέψετε όλο το χρόνο να σκεφτείτε το υπόλοιπο της τράπεζάς σας, είμαστε σίγουροι ότι μπορείτε να αφιερώσετε μερικές σκέψεις για τους κωδικούς πρόσβασης που τους κρατούν ασφαλείς;