Ziņas, ka LastPass tīkla drošība ir apdraudēta, protams, ir nopietna problēma. Tas, ka uzņēmums, kas tiek pārkāpts, ir paroli pārvaldības pakalpojums, kas nopietni palielina pakāpienu - vai desmit. Tad kāpēc es esmu kāds, kurš ir izveidojis karjeru, rakstot par IT drošību, nevis par to izvelk matus? Daudz tālāk par to, ka man nav neviena, kuru vilkt, LastPass pārkāpums dažiem no mums nav tik liels darījums kā citiem.
Mēs neesam atraduši pierādījumus ne par to, ka būtu ņemti šifrēti lietotāju glabātavas dati, ne arī piekļuve LastPass lietotāju kontiem, stāsta mums LastPass pārstāvis. Tātad, kas ir viss satraukums, jūs varat jautāt - kur ir risks? Nu, tas ir divkāršs, kā es to redzu. Pirmkārt, tā kā e-pasta adreses un saistītie paroles atgādinājumi ir apdraudēti, es domāju, ka redzēšu mērķtiecīgus pikšķerēšanas mēģinājumus viltotu galveno paroles atiestatīšanas ziņojumu veidā. Es gribētu domāt, ka es neuzkritīšu uz tiem.
kā izdzēst visas paroles no hroma
Kas attiecas uz otro risku, vājās galvenās paroles pašlaik tiks pakļautas rupja spēka uzlaušanas mēģinājumiem, pieklājīgi no servera katram lietotājam sāļiem un autentifikācijas jaukšanas iespējām. Ciktāl notiek šādi uzlaušanas mēģinājumi, fakts, ka LastPass pastiprina šīs autentifikācijas jaukšanas iespējas ar nejaušu sāli un labam nolūkam iemet papildu 100 000 kārtas servera puses PBKDF2-SHA256, apgrūtina to sadalīšanu. Tomēr, ja galvenā parole ir slikta, tā joprojām būs atvērta brutālu spēku uzbrukumiem; tā uzlaušana prasīs tikai nedaudz vairāk laika.
Tātad LastPass lielākajai daļai lietotāju liek mainīt galveno paroli un lūdz pārbaudīt e-pastu tiem, kas piesakās no jaunas ierīces vai IP adreses. Tomēr es nemainīšu galveno paroli, kā arī neesmu (apskatīsim) 442 dienas, jo tas ir nejaušs, sarežģīts, garāks par 25 rakstzīmēm, to neizmanto nekur citur, un es var atcerēties to no galvas. Turklāt to papildina divi maģiski vārdi: daudzfaktoru autentifikācija.
Boom! Ciktāl es uztraucos, visas pūles, lai nokļūtu LastPass tīkla perifērijā, ir veltīgas, jo es izmantoju spēcīgu galveno paroli, ko papildina daudzfaktoru autentifikācija. Pat ja mana galvenā parole kaut kādā veidā tiktu uzlauzta, uzbrucējam būtu jāpiekļūst manam YubiKey (fiziskam marķierim), lai atšifrētu paroles glabātuvi. Šie papildu iestatījumi ir brīvi lietojami un lietotājiem ir pieejami jau kādu laiku - turklāt jums nav jāpērk YubiKey; ja vēlaties, varat izmantot bezmaksas lejupielādējamu lietotni, piemēram, Google Authenticator. Kāpēc jūs neizmantojat divfaktoru autentifikāciju (2FA) jebkurā vietnē vai pakalpojumā, kur tas tiek piedāvāts? Nē, nopietni?
Runājot par papildu iestatījumiem, es izmantoju vēl vienu, kas man nodrošina vēl vienu pārliecības līmeni par to, ka mani dati ir pietiekami droši ar LastPass, un tas ir ģeogrāfiskās piekļuves bloķēšana. Varat iestatīt valstu ierobežojumus, kas ļauj jums izlemt valstis, no kurām var piekļūt jūsu paroles glabātuvei. Es to turu bloķētu līdz Lielbritānijai, ja vien nebraucu uz ārzemēm, tādā gadījumā es iespējoju šo konkrēto vietu pirms došanās ceļā. Ak, un es arī neatļauju pieteikšanos no Tor tīkliem. Paranoīds, moi? Nē, vienkārši saprātīgi ierobežot piekļuvi šīm karalistes atslēgām. Kā jums vajadzētu būt arī.
Mani visvairāk uztrauc LastPass kompromiss, dīvainā kārtā, nevis pats kompromiss, bet gan atbilde uz to; un jo īpaši plašsaziņas līdzekļu - gan profesionālo, gan sabiedrisko. Šķiet, ka ir pamats prieka sajūtai, sperot LastPass, un daudz kas jums teica šāda veida ziņojumus. Bet ko tieši jūs mums teicāt? Kas tieši šeit ir noticis? Ciktāl mēs redzam, nav apdraudēti nekādi šifrēti paroles dati, un LastPass ir bijis diezgan pārredzams, atklājot notikumu un veicot pasākumus, lai vēl vairāk nodrošinātu lietotāju uzticību.
Ko mūs darītu mediju nesēji? Atgriezieties pie pildspalvas un papīra vai varbūt tehniskāk pats to šifrējat? Esmu redzējis, ka abi ir ieteikuši, un ne viens, ne otrs nemazina risku vidējam Džo, patiesībā ir tieši otrādi. Varbūt pāriet uz citu paroles pārvaldības nodrošinātāju? Atkal, kā tas palīdz, ja jūs nezināt, kā viņi reaģētu, kad - ja ne - viņi cieš no pārkāpuma? Vismaz jūs zināt, ka LastPass ir bumbā, kad runa ir par pārkāpuma reakciju.
Man paroles pārvaldnieks joprojām ir visdrošākā iespēja lielākajai daļai cilvēku, un, ja jūs sekojat manai vadībai un apvienojat spēcīgu galveno paroli ar daudzfaktoru autentifikāciju un dažas pieteikšanās bloķēšanas iespējas, jūs tik daudz samazināsiet kompromisu risku, cik tas ir cilvēciski iespējams.
Un tāpēc, dārgais lasītāj, man nav jāmaina galvenā parole; vai manu paroļu pārvaldnieku šajā jautājumā.