Τα νέα ότι η ασφάλεια του δικτύου LastPass έχει τεθεί σε κίνδυνο είναι, φυσικά, ένα σοβαρό ζήτημα. Ότι η εταιρεία που παραβιάστηκε ήταν αυτή που παρέχει μια υπηρεσία διαχείρισης κωδικού πρόσβασης αναβαθμίζει τη σοβαρότητα από μια εγκοπή - ή δέκα. Γιατί λοιπόν, εγώ, κάποιος που έχει δημιουργήσει μια καριέρα στο να γράφει για την ασφάλεια της πληροφορικής, να μην βγάζει τα μαλλιά μου γι 'αυτό; Πέρα από το γεγονός ότι δεν έχω να κάνω τίποτα, η παραβίαση LastPass δεν είναι τόσο μεγάλη υπόθεση για ορισμένους από εμάς όσο και για άλλους.
Δεν βρήκαμε στοιχεία που να αποδεικνύουν ότι ελήφθησαν κρυπτογραφημένα δεδομένα θησαυρών χρηστών ούτε ότι είχαν πρόσβαση στους λογαριασμούς χρηστών LastPass, μας λέει ένας εκπρόσωπος του LastPass. Λοιπόν, τι φασαρία, μπορείτε να ρωτήσετε - πού είναι ο κίνδυνος; Λοιπόν είναι διπλό όπως το βλέπω. Πρώτον, δεδομένου ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι σχετικές υπενθυμίσεις κωδικών πρόσβασης έχουν παραβιαστεί, περιμένω να δω στοχευμένες προσπάθειες ηλεκτρονικού ψαρέματος με τη μορφή ψευδών μηνυμάτων επαναφοράς κύριου κωδικού πρόσβασης. Θα ήθελα να σκεφτώ ότι δεν θα έπεφτα γι 'αυτά.
πώς να αντιγράψετε σελιδοδείκτες από το chrome
Όσον αφορά τον δεύτερο κίνδυνο, οι αδύναμοι κύριοι κωδικοί πρόσβασης θα υπόκεινται επί του παρόντος σε απόπειρες σπασίματος brute-force, με ευγενική παραχώρηση των αλάτων διακομιστή ανά χρήστη και πρόσβαση σε κατακερματισμούς ελέγχου ταυτότητας. Όσο συμβαίνουν τέτοιες προσπάθειες σπασίματος, το γεγονός ότι το LastPass ενισχύει αυτούς τους κατακερματισμούς ελέγχου ταυτότητας με ένα τυχαίο αλάτι και ρίχνει επιπλέον 100.000 γύρους διακομιστή PBKDF2-SHA256 για καλό μέτρο καθιστά δυσκολότερο να τα σπάσει. Ωστόσο, εάν ο κύριος κωδικός πρόσβασης είναι κακός, θα εξακολουθεί να είναι ανοιχτός σε επιθέσεις με βίαια δύναμη. θα πάρει λίγο περισσότερο χρόνο για να το σπάσει.
Έτσι, το LastPass επιβάλλει την αλλαγή ενός κύριου κωδικού πρόσβασης στους περισσότερους χρήστες και ζητά επαλήθευση μέσω email από εκείνους που συνδέονται από μια νέα συσκευή ή μια διεύθυνση IP. Ωστόσο, δεν θα αλλάξω τον κύριο κωδικό πρόσβασής μου, ούτε έχω (ας ρίξουμε μια ματιά) για 442 ημέρες τώρα, επειδή είναι τυχαίο, είναι περίπλοκο, έχει περισσότερους από 25 χαρακτήρες, δεν χρησιμοποιείται πουθενά αλλού και εγώ μπορεί να το θυμηθεί από καρδιάς. Επιπλέον, υποστηρίζεται από τις ακόλουθες δύο μαγικές λέξεις: έλεγχος ταυτότητας πολλαπλών παραγόντων.
Κεραία! Όσο για μένα, όλη αυτή η προσπάθεια να μπω στην περιφέρεια του δικτύου LastPass δεν έχει τίποτα γιατί χρησιμοποιώ έναν ισχυρό κύριο κωδικό πρόσβασης που υποστηρίζεται από έλεγχο ταυτότητας πολλών παραγόντων. Ακόμα κι αν ο κύριος κωδικός μου είχε παραβιαστεί, ο εισβολέας θα έπρεπε τότε να έχει πρόσβαση στο YubiKey (ένα φυσικό διακριτικό) για να αποκρυπτογραφήσει το θησαυροφυλάκιο του κωδικού πρόσβασης. Αυτές οι σύνθετες ρυθμίσεις είναι δωρεάν για χρήση και είναι διαθέσιμες στους χρήστες για κάποιο χρονικό διάστημα - επιπλέον, δεν χρειάζεται να αγοράσετε ένα YubiKey. μπορείτε να χρησιμοποιήσετε μια εφαρμογή δωρεάν για λήψη, όπως το Google Authenticator, αν θέλετε. Γιατί δεν θα χρησιμοποιούσατε έλεγχο ταυτότητας δύο παραγόντων (2FA) σε οποιονδήποτε ιστότοπο ή υπηρεσία όπου προσφέρεται; Οχι σοβαρά?
Μιλώντας για προχωρημένες ρυθμίσεις, υπάρχει ένα άλλο που χρησιμοποιώ που μου παρέχει ένα ακόμη επίπεδο εμπιστοσύνης στο ότι τα δεδομένα μου είναι αρκετά ασφαλή με το LastPass και αυτό είναι ένα κλείδωμα γεωγραφικής πρόσβασης. Μπορείτε να ορίσετε περιορισμούς χωρών που σας επιτρέπουν να αποφασίσετε τις χώρες από τις οποίες μπορείτε να έχετε πρόσβαση στο θησαυροφυλάκιο του κωδικού πρόσβασης. Το κρατάω αυτό κλειδωμένο στο Ηνωμένο Βασίλειο εκτός αν ταξιδεύω στο εξωτερικό, οπότε ενεργοποιώ τη συγκεκριμένη τοποθεσία πριν αναχωρήσω. Ω, και δεν επιτρέπεται η σύνδεση από δίκτυα Tor Παρανοϊκός, moi; Όχι, είναι λογικό να περιορίζεις την πρόσβαση σε αυτά τα κλειδιά στο βασίλειο. Όπως θα έπρεπε να είσαι κι εσύ.
Αυτό που με ανησυχεί περισσότερο για τον συμβιβασμό LastPass δεν είναι, παραδόξως, ο ίδιος ο συμβιβασμός αλλά η απάντηση σε αυτόν. και ειδικά αυτά των μέσων ενημέρωσης - επαγγελματικά και κοινωνικά. Φαίνεται να υπάρχει μια υποκείμενη αίσθηση ευχαρίστησης που κλωτσάει το LastPass, και πολλές από εσάς σας είπαν αναφορές. Αλλά τι ακριβώς μας είπες; Τι ακριβώς συνέβη εδώ; Δεν υπάρχει κανένα συμβιβασμό κρυπτογραφημένων δεδομένων κωδικού πρόσβασης όσο μπορούμε να δούμε, και το LastPass ήταν αρκετά διαφανές για την αποκάλυψη του συμβάντος και τη λήψη μέτρων για την περαιτέρω εξασφάλιση της εμπιστοσύνης των χρηστών.
Τι θα μας έκαναν οι naysayers των μέσων ενημέρωσης; Επιστρέψτε σε στυλό και χαρτί, ή ίσως μια πιο τεχνική κρυπτογράφηση μόνοι σας λύση; Έχω δει και τα δύο προτεινόμενα και ούτε μειώνω τον κίνδυνο για τον μέσο Joe, ακριβώς το αντίθετο. Ίσως μεταβείτε σε διαφορετικό πάροχο διαχείρισης κωδικού πρόσβασης; Και πάλι, πώς αυτό βοηθά όταν δεν ξέρετε πώς θα ανταποκρίνονταν όταν - όχι εάν - υποστούν παραβίαση; Τουλάχιστον γνωρίζετε ότι το LastPass βρίσκεται στην μπάλα όταν πρόκειται για παραβίαση.
Για μένα, ένας διαχειριστής κωδικών πρόσβασης παραμένει η πιο ασφαλής επιλογή για τους περισσότερους ανθρώπους και αν ακολουθήσετε το προβάδισμά μου και συνδυάσετε έναν ισχυρό κύριο κωδικό πρόσβασης με έλεγχο ταυτότητας πολλών παραγόντων και ορισμένες επιλογές κλειδώματος σύνδεσης, μειώνετε τον κίνδυνο συμβιβασμού όσο είναι ανθρώπινο δυνατόν.
Και αυτός, αγαπητός αναγνώστης, είναι ο λόγος που δεν χρειάζεται να αλλάξω τον κύριο κωδικό πρόσβασης. ή ο διαχειριστής κωδικού πρόσβασης για αυτό το θέμα.