LastPass взломан, что дальше?

в 7:20, , рубрики: last pass, взлом, информационная безопасность, менеджеры паролей, облачные сервисы, метки: ,

LastPass взломан, что дальше? - 1

Сегодня ночью по Сети разошлась новость о том, что сервис хранения паролей LastPass взломан. Сама компания рекомендует поменять мастер-пароль всем пользователям, чтобы избежать возможных негативных последствий взлома. При этом хорошей новостью является то, что сохраненные в облаке пароли все же находятся в безопасности, поскольку вся эта информация зашифрована.

Тем не менее, злоумышленникам, по всей видимости, удалось получить базу e-mail пользователей, напоминалки паролей, аутентификационные хеши. Последнее — именно то, что используется для входа пользователей в свои аккаунты. Но здесь переживать особо не приходится — руководство компании заявляет, что хеши защищены от взлома в достаточной степени.

Сейчас каждый пользователь при входе в сервис видит предложение сменить свой мастер-пароль. Если вы используете этот сервис, стоит сменить мастер-пароль немедленно. Ну, а если этот пароль используется и для входа на другие сервисы, сменить нужно все и всюду (да и вообще, кто-то до сих пор использует одинаковые логины и пароли для доступа к важной информации?).

Стоит отметить, что этот взлом LastPass — не первый, сервис уже взламывали в 2011 году. Тогда руководство, так же, как и сейчас, немедленно предупредило пользователей о проблеме, заставив всех сменить мастер-пароль, при попытке доступа к аккаунту с новой машины. Тогда же пользователей попросили обратить внимание на двухфакторную аутентификацию, которая позволяет обеспечить значительно более высокий уровень безопасности, чем вход в аккаунт по обычной связке логин-пароль.

Сейчас компания принимает меры предосторожности, помогающие избежать негативных моментов взлома. Так, для всех пользователей, которые заходят на сервис с новых IP-адресов и устройств, вводится верификация по email.

Все пользователи сервиса получили сообщение от администрации с соответствующим предупреждением. Тем не менее, администрация считает, что менять пароли к сайтам, которые хранятся на сервере, нет необходимости.

Кроме всего прочего, для защиты стоит использовать пароль, который вы сами не можете запомнить. Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев.

В общем, сейчас стоит воспользоваться двухфакторной аутентификацией, если вы этого еще не сделали. Кроме того, нужно поменять свой мастер-пароль, и успокоиться.

Ну, а если данные в облаке больше хранить не хочется, стоит обратить внимание на KeePass, менеджер паролей для ПК и мобильных устройств. Одна из лучших программ своего рода.

Автор: marks

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js