Password Manager Vulnerabilities - Security Byte
Innholdsfortegnelse:
- Ikke få panikk
- Forebygging er alltid bedre enn kur
- Endre hovedpassordet
- 2-faktor autentisering og andre sikkerhetsalternativer
- Landsbasert begrensning
- Fortsatt bekymret?
- Vil du prøve alternativer?
- Våre 2 øre
Vi hadde elsket LastPass så mye at vi faktisk hadde kalt det The Best Password Manager. Så da historien om hacket brøt ut for en stund siden, var vi alle i sjokk. Men, betyr det at alle burde grøft LastPass og bruke noe annet? Er passordene dine trygge i skyen? Kan vi stole på selskapet igjen? Det er det vi prøver å finne ut.
Ikke få panikk
Unødvendig å si, dette er det første som må gjøres. Å få panikk, eller verre, å spre falsk informasjon via ethvert medium, er bare ikke den rette måten å svare på noen krise. Selv om det er naturlig å føle seg redd når du leser en nyhet som dette, må du innse at unødvendig panikk bare ikke tjener noe formål. I blogginnlegget deres har LastPass gjort det klart, og jeg siterer,
I vår undersøkelse har vi ikke funnet noen bevis for at krypterte brukerhvelvingsdata ble tatt, og heller ikke at LastPass brukerkontoer ble åpnet.
Ja, det fortsetter å si det
Undersøkelsen har imidlertid vist at e-postadresser til LastPass-kontoer, påminnelser om passord, server per brukersalt og autentiseringshasjer ble kompromittert.
Men, hva betyr dette, spør du? Enkelt sagt betyr det at mens alle passordene dine er sikre, er det ikke sikkert at annen informasjon er det. Blogginnlegget har allerede gitt noen nyttige tips for som igjen.
Ja, dataene fra passordbehandlere er lagret i skyen, men informasjonen er kryptert rett på datamaskinen din. Og selv om skyberegningsarkitekturen innebærer en liten risiko, kan du fremdeles hvile lett å vite at alle krypterte data aldri blir lagret der. Som inkluderer alle passordene dine.
Nyttig tips: Ta en titt på vår Ultimate Guide for passwords for å vite alt om hvordan du oppretter og administrerer passord på internett.
Forebygging er alltid bedre enn kur
Dette gamle ordtaket kan aldri være mer relevant enn i disse tider med internett-snooping og tap av personvern. Her er noen trinn du bør følge når det gjelder LastPass-kontoen din, for å sikre at du ikke mister søvnen over slike hendelser.
Endre hovedpassordet
For å endre hovedpassordet til LastPass, klikker du bare på Innstillinger, hvor du finner delen Kontoinnstillinger til venstre. Ved å klikke vil du få muligheten til å klikke her for å starte kontoinnstillinger som vist nedenfor.
Hvis du klikker for å åpne en ny fane, der alt du trenger å gjøre er å trykke på Change Master Password- knappen og gå etter et nyere (og sterkere) alternativ.
Det er det, det viktigste trinnet du bør gjøre etter at denne hendelsen er unnagjort!
2-faktor autentisering og andre sikkerhetsalternativer
Vi føler at det er en god idé å bruke 2-faktor autentisering der det er mulig, og spesielt på steder der sensitive data lagres. LastPass er helt korrekt når det gjelder å foreslå bruk av denne tjenesten, og vi føler at du bør gjøre dette med en gang, etter å ha endret hovedpassordet. Selv om du er inne på det, kan du vurdere å legge til 2-trinns autentiseringsfaktor til alle tjenestene du bruker som inneholder sensitive data.
I LastPass finner du Multifaktoralternativer i Kontoinnstillinger (se over). Det er her du vil finne alternativer for å sikre deg LastPass-kontoen ytterligere. Du vil også se alternativet Nettgodkjenning som vi har skrevet om før.
Landsbasert begrensning
Et annet lag med sikkerhet som LastPass innebærer at brukerne sine skal utforske, er den landbaserte begrensningspolitikken. Når dette er aktivert, vil dette bare aktivere enheter som kommer fra hjemlandet ditt, til å få tilgang til LastPass-dataene dine. Hvis en enhet fra et annet land prøver å få tilgang til den, vil de vise en feilmelding. Vi har dekket dette i mye detalj, og du bør absolutt lese det, hvis du ikke allerede har gjort det.
Fortsatt bekymret?
Ikke vær. Det er ikke noe mer å gjøre her. LastPass har allerede oppdatert sikkerheten sin og ber allerede brukerne om å bli bekreftet via e-post, hvis de bruker en ny enhet eller en ny IP. For å bekrefte dette prøvde vi nettopp det og rapporterte med glede at dette trinnet fungerer akkurat som det ble annonsert.
Eksisterende brukere blir også bedt om å endre hovedpassordet, men selv om du ikke får den ledeteksten, oppfordrer vi deg til å gjøre det likevel. Til slutt vil vi sitere Jeremi Gosney (en passordsikkerhetsekspert hos Stricture Group) som snakket med Ars Technica om hacket -
På en NVIDIA GTX Titan X, som for øyeblikket er den raskeste GPU for passordsprekker, vil en angriper bare kunne gjøre færre enn 10 000 gjetninger per sekund for en enkelt passord-hash. Det er skikkelig sakte! Til og med svake passord er ganske sikre med det beskyttelsesnivået (med mindre du bruker et absurd svakt passord.) Og dette er ikke en gang for antall iterasjoner på klientsiden, som kan konfigureres av brukeren. Standard er 5000 iterasjoner, så vi ser på minimum 105 000 iterasjoner. Jeg har faktisk satt meg til 65 000 iterasjoner, så det er totalt 165 000 iterasjoner som beskytter passordfrasen til Diceware. Så nei, jeg svetter definitivt ikke dette bruddet. Jeg føler meg ikke engang tvunget til å endre hovedpassordet.
Faktisk bruker ganske mange medlemmer av vårt eget team verktøyet, og vi har gjort nøyaktig de samme tingene som vi har uttalt ovenfor. Og nå ønsker vi å spre kunnskapen til så mange mennesker som mulig.
Vil du prøve alternativer?
OK, hvis du føler at du har mistet troen på LastPass på grunn av alt dette, så er det selvfølgelig alltid alternativer. Hvis du er villig til å investere litt penger (og noe av den tapte troen), er det alltid 1Password. Det er den samme arkitekturen og sikkerhetstiltakene som spilles, men Agilebits, selskapet bak 1Password, har bedre resultater enn LastPass. Med det mener vi at det aldri har blitt hacket. Har ikke blitt rapportert, for å være mer presis. Ennå.
Overfør passordene dine i iOS: Det er enkelt å overføre dataene dine fra LastPass til 1Password for iOS, når du først har lest vår nyttige artikkel om det.
Hvis du ikke vil bruke noe, er det et gratis alternativ. Det heter KeepPass, og det er åpen kildekode. Og vi har også skrevet en guide for å overføre LastPass-passordene dine til Keepass.
Selv om det ikke er så praktisk som 1Password, kan du legge til noen få plugins hvis du er villig til å spille rundt, slik at den samsvarer med funksjonaliteten til det betalte kolleger. Det krever imidlertid litt tålmodighet, så vær forberedt.
Våre 2 øre
Det er veldig enkelt å skylde på et selskap og si at de ikke var nøye med dataene dine. Men det er like bra som å skylde på banker når det er et ran. Folk har ikke sluttet å sette pengene sine der, og du skal heller ikke slutte å stole på passordadministratorer, bare fordi en ble hacket.
Vi sier ikke engang at sikkerheten var slapp fra LastPass 'side, men de trenger definitivt å dra opp sokkene. Det var ikke første gang en trussel ble oppdaget i systemet deres, men begge gangene ble ingenting større stjålet / mistet. De handlet raskt og raskt varslet brukere og har allerede håndtert sikkerhetsproblemet som fører til dette. Med litt mer forsiktighet selv, kan du sikre en mye lykkeligere sinnstilstand. Hvis du kan bruke all den tiden på å tenke på bankbalansen din, er vi sikker på at du kan skåne noen få tanker for passordene som også holder dem trygge?
Hva Apple trenger å gjøre for å redde sitt omdømme.
Hvis Apple ønsker å beholde troverdigheten som den har etablert med IT-admins, snakker det bedre åpenlyst og virkelig om iPhone 4-problemene, og forplikte seg til å levere løsninger.
Hva skal du gjøre hvis Google-kontoen din er hacket?
Dette innlegget forteller deg hva du skal gjøre etter at Google-kontoen din er Hacked, og trinnene du skal ta for å gjenopprette, gjenvinne det og deretter sikre Google-kontoen din.
Hvordan vet jeg om datamaskinen har blitt hacket og hva jeg skal gjøre neste
Tegn du bør se etter for å vite hvis datamaskinen din har blitt hacket og hva du skal gjøre hvis datamaskinen din er blitt hacket. Dette innlegget diskuterer alt!