Berita bahawa keselamatan rangkaian LastPass telah dikompromikan, tentu saja, adalah masalah serius. Syarikat yang dilanggar adalah salah satu yang menyediakan perkhidmatan pengurusan kata laluan meningkatkan keseriusan oleh kedudukan - atau sepuluh. Jadi mengapa saya, seseorang yang telah membina kerjaya dalam menulis mengenai keselamatan IT, tidak menarik rambut saya mengenainya? Di luar kenyataan bahawa saya tidak perlu menarik perhatian, pelanggaran LastPass bukanlah masalah besar bagi sebahagian daripada kita seperti yang lain.
Kami tidak menemui bukti bahawa data peti besi pengguna yang dienkripsi diambil dan juga bahawa akaun pengguna LastPass diakses, kata jurucakap LastPass kepada kami. Oleh itu, apa yang perlu anda pertimbangkan - di manakah risikonya? Baik dua kali ganda seperti yang saya lihat. Pertama, kerana alamat e-mel dan peringatan kata laluan yang berkaitan telah dikompromikan, saya mengharapkan untuk melihat percubaan pancingan data yang disasarkan dalam bentuk pesanan semula kata laluan utama. Saya fikir saya tidak akan jatuh cinta kepada mereka.
cara menukar nama kik anda
Bagi risiko kedua, kata laluan induk yang lemah pada masa ini akan dikenakan percubaan retakan kekerasan, dengan izin garam pelayan setiap pengguna dan hash pengesahan diakses. Sejauh percubaan retak seperti itu, hakikat bahawa LastPass memperkuat hash pengesahan dengan garam rawak dan membuang 100,000 pusingan PBKDF2-SHA256 sisi pelayan untuk ukuran yang baik menjadikannya lebih sukar untuk memecahkannya. Walau bagaimanapun, jika kata laluan induknya lemah maka ia masih terbuka untuk serangan brute-force; hanya memerlukan sedikit masa lagi untuk memecahkannya.
Oleh itu, LastPass memaksa perubahan kata laluan induk pada kebanyakan pengguna, dan meminta pengesahan e-mel dari mereka yang log masuk dari peranti baru atau alamat IP. Walau bagaimanapun, saya tidak akan menukar kata laluan induk saya, dan saya (mari kita lihat) selama 442 hari sekarang kerana secara rawak, kompleks, panjangnya lebih daripada 25 aksara, ia tidak digunakan di tempat lain, dan saya boleh mengingatinya dengan hati. Selain itu, ia disokong oleh dua kata ajaib berikut: pengesahan multifaktor.
Boom! Setahu saya, semua usaha untuk memasuki pinggir rangkaian LastPass adalah sia-sia kerana saya menggunakan kata laluan induk yang kuat yang disokong oleh pengesahan multifaktor. Walaupun kata laluan utama saya dikompromikan, penyerang perlu mengakses YubiKey saya (token fizikal) untuk mendekripsi peti besi kata laluan saya. Tetapan lanjutan ini percuma untuk digunakan dan telah tersedia untuk pengguna untuk beberapa waktu - ditambah, anda tidak perlu membeli YubiKey; anda boleh menggunakan aplikasi muat turun percuma seperti Google Authenticator jika anda mahu. Mengapa anda tidak menggunakan pengesahan dua faktor (2FA) di mana-mana laman web atau perkhidmatan yang ditawarkan? Tidak, serius?
Bercakap mengenai tetapan lanjutan, ada satu lagi yang saya gunakan yang memberi saya tahap keyakinan yang lain bahawa data saya cukup selamat dengan LastPass, dan itu adalah penguncian akses geografi. Anda boleh menetapkan sekatan negara yang membolehkan anda menentukan negara dari mana peti besi kata laluan anda dapat diakses. Saya menyimpannya terus ke UK kecuali jika saya melancong ke luar negara, dalam hal ini saya mengaktifkan lokasi tertentu sebelum saya berangkat. Oh, dan saya juga tidak membenarkan log masuk dari rangkaian Tor. Paranoid, moi? Tidak, hanya masuk akal untuk membatasi akses ke kunci kerajaan tersebut. Seperti yang sepatutnya.
Yang paling membimbangkan saya mengenai kompromi LastPass bukanlah, cukup aneh, kompromi itu sendiri tetapi tindak balas terhadapnya; dan terutama media - profesional dan sosial. Nampaknya ada perasaan gembira yang mendasari ketika menendang LastPass, dan banyak yang memberitahukan kepada anda pelaporan jenis itu. Tetapi apa sebenarnya yang anda katakan kepada kami? Apa sebenarnya yang berlaku di sini? Tidak ada data kata sandi yang dienkripsi yang telah dikompromikan sejauh yang kita lihat, dan LastPass cukup telus dalam mendedahkan peristiwa tersebut dan membuat langkah-langkah untuk memastikan keyakinan pengguna lebih jauh.
Apa yang akan dilakukan oleh penentang media? Kembali ke pen dan kertas, atau enkripsi yang lebih teknikal sendiri mungkin penyelesaiannya? Saya melihat kedua-duanya dicadangkan, dan tidak mengurangkan risiko untuk Joe yang rata-rata, sebaliknya sebenarnya. Mungkin berpindah ke penyedia pengurusan kata laluan yang berbeza? Sekali lagi, bagaimana itu dapat membantu apabila anda tidak tahu bagaimana mereka akan bertindak balas apabila - bukan jika - mereka mengalami pelanggaran? Sekurang-kurangnya anda tahu bahawa LastPass berada pada bola ketika memberikan tindak balas pelanggaran.
Bagi saya, pengurus kata laluan tetap menjadi pilihan paling selamat bagi kebanyakan orang, dan jika anda mengikuti arahan saya dan menggabungkan kata laluan induk yang kuat dengan pengesahan multifaktor dan beberapa pilihan penguncian log masuk, anda mengurangkan risiko kompromi sebanyak mungkin.
Oleh itu, pembaca yang terkasih, sebab itulah saya tidak perlu menukar kata laluan utama saya; atau pengurus kata laluan saya untuk perkara itu.