W założeniu manager haseł, taki jak LastPass, pozwala nam pozbyć się konieczności zapamiętywania dziesiątek haseł do różnych miejsc w sieci. W praktyce – teraz trzeba stworzyć hasła na nowo. Czy tak jest bezpiecznie?

Gigant zarządzający hasłami LastPass potwierdził, że cyberprzestępcy ukradli zaszyfrowane skarbce haseł klientów, w których przechowywane są hasła i inne wrażliwe dane. Do kradzieży doszło w wyniku naruszenia bezpieczeństwa danych na początku tego roku.

Miało być bezpiecznie…

Dyrektor generalny LastPass, Karim Toubba, przyznał, że intruzi wzięli kopię zapasową danych w skarbcu klienta. Użyli w tym celu kluczy do przechowywania w chmurze skradzionych pracownikowi LastPass. Pamięć podręczną magazynów haseł klientów firma przechowuje w „zastrzeżonym formacie binarnym”. Zawiera on zarówno niezaszyfrowane, jak i zaszyfrowane dane skarbca, ale szczegóły techniczne i dotyczące bezpieczeństwa tego zastrzeżonego formatu nie zostały określone. Niezaszyfrowane dane obejmują adresy internetowe przechowywane w skarbcu. Firma nie poinformowała, jak aktualne kopie zapasowe wykradli hakerzy.

LastPass przyznaje, że skarbce haseł klientów są zaszyfrowane. Można je odblokować tylko za pomocą hasła głównego klienta, które jest znane wyłącznie klientowi. Firma ostrzegła jednak, że cyberprzestępcy stojący za włamaniem „mogą próbować użyć wszystkich metod, włącznie z brute force, aby odgadnąć hasło główne i odszyfrować przejętych ze skarbca danych”. Toubba dodał, że cyberprzestępcy pobrali również ogromne ilości danych klientów. Są wśród nich nazwiska, adresy e-mail, numery telefonów i niektóre informacje rozliczeniowe.

LastPass

Menedżer haseł – czy warto?

Menedżery haseł (takie jak LastPass) w większości przypadków stanowią doskonałe rozwiązanie. Przechowujemy w nich internetowe hasła, zamiast je spamiętywać. Zwłaszcza, że w założeniu powinny być długie, złożone i unikalne dla każdej witryny lub usługi. Tymczasem incydenty związane z bezpieczeństwem samych menedżerów haseł sprawiają, poddajemy to bezpieczeństwo w wątpliwość. Bo skoro mogą być atakowane lub narażać na szwank nasze wrażliwe dane, trudno uznać je za w odpowiednie zabezpieczenie, prawda?

W rzadkiej sytuacji takiej jak ta, w której ofiarą jest Last Pass i jego użytkownicy, trzeba pamiętać o jednym. Wykradzione magazyny haseł są nadal bezpieczne. Oczywiście pod warunkiem, że firma zaszyfrowała je odpowiednio, a klient zabezpieczył swoje dane silnym hasłem.

Zobacz także: Uważaj na fałszywe wiadomości z ING – Nie klikaj w podejrzane linki
LastPass

Jestem klientem LastPass – co robić?

Najlepszą rzeczą, jaką możesz zrobić jako klient LastPass, jest zmiana obecnego hasła głównego LastPass na nowe i unikalne hasło. Zapisz i przechowuj to hasło w bezpiecznym miejscu. Dzięki temu zabezpieczysz swój obecny skarbiec LastPass.

Jeśli uważasz, że Twój magazyn haseł LastPass jest w niebezpieczeństwie, powinieneś zacząć zmieniać hasła przechowywane w skarbcu LastPass. To ważne, jeśli Twoje hasło główne jest słabe lub użyłeś go w innym miejscu. Zacznij od najbardziej krytycznych kont, takich jak konta e-mail, konta firmowe, konta bankowe i konta w mediach społecznościowych. Następnie posuwaj się w dół listy priorytetów, zmieniając hasła kolejnych kont.

Dobrą wiadomością jest to, że każde konto chronione za pomocą uwierzytelniania dwuskładnikowego znacznie utrudni atakującemu dostęp do konta bez tego drugiego czynnika. Ratuje nas choćby wyskakujące okienko w aplikacji telefonu lub kod wysłany SMS-em bądź e-mailem. Dlatego ważne jest, aby najpierw zabezpieczyć te konta drugorzędne, takie jak konta e-mail i konta w abonamencie komórkowym.

Źródło: TechCrunch

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *