Naposledy hacknutý: tady je to, co musíte udělat

Milovali jsme LastPass natolik, že jsme ho vlastně nazvali The Best Password Manager. Když tedy před chvílí vypukl příběh hacku, byli jsme všichni ve šoku. Znamená to ale, že by všichni měli kopat LastPass a používat něco jiného? Jsou vaše hesla v cloudu bezpečná? Můžeme společnosti znovu důvěřovat? To se snažíme zjistit.

Nepanikařte

Netřeba dodávat, že je to první věc, kterou je třeba udělat. Panikaření, nebo co je horší, šíření nepravdivých informací prostřednictvím jakéhokoli média, prostě není správným způsobem, jak reagovat na jakoukoli krizi. I když je přirozené cítit strach, když čtete zprávy, jako je tato, musíte si uvědomit, že zbytečná panika prostě neslouží žádnému účelu. LastPass ve svém příspěvku na blogu to objasnil a cituji:

Při našem vyšetřování jsme nenašli žádné důkazy o tom, že byla přijata šifrovaná data úschovny uživatelů ani že nebyly přistupovány uživatelské účty LastPass.

Ano, to říkám dále

Šetření však ukázalo, že e-mailové adresy účtu LastPass, připomenutí hesla, serverové soli na uživatele a ověřovací hash byly ohroženy.

Co to ale znamená? Jednoduše řečeno, to znamená, že zatímco všechna vaše hesla jsou v bezpečí, jiné informace nemusí být. K tomu blogový příspěvek opět uvedl několik užitečných tipů.

Ano, data od správců hesel jsou uložena v cloudu, ale informace jsou šifrovány přímo v počítači. A přestože architektura cloud computingu představuje nepatrné riziko, můžete si stále být jisti, že tam nejsou všechna šifrovaná data nikdy uložena. Které zahrnují všechna vaše hesla.

Užitečný tip: Podívejte se na našeho průvodce Ultimate o heslech, abyste věděli vše o vytváření a správě hesel na internetu.

Prevence je vždy lepší než léčba

Toto staré pořekadlo nemohlo být nikdy důležitější než v těchto dobách internetového snoopingu a ztráty soukromí. Zde je několik kroků, které byste měli dodržovat, pokud jde o váš účet LastPass, abyste zajistili, že při takových incidentech neztratíte spánek.

Změňte hlavní heslo

Chcete-li změnit hlavní heslo LastPass, jednoduše klikněte na Předvolby, kde vlevo najdete sekci Nastavení účtu. Kliknutím získáte možnost Klepnutím sem spustíte nastavení účtu, jak je uvedeno níže.

Kliknutím na toto tlačítko otevřete novou kartu, kde stačí kliknout na tlačítko Změnit hlavní heslo a jít za novější (a silnější) alternativou.

To je to, nejdůležitější krok, který byste měli udělat po dokončení této události!

2-faktorové ověřování a další možnosti zabezpečení

Domníváme se, že je vhodné používat dvoufaktorové ověřování všude, kde je to možné, a zejména na místech, kde jsou uložena citlivá data. LastPass má naprosto pravdu při navrhování použití této služby a máme pocit, že byste to měli udělat ihned po změně hlavního hesla. Ve skutečnosti, i když jste u toho, zvažte zvážení přidání dvoufázového autentizačního faktoru ke všem službám, které používáte, které obsahují citlivá data.

V LastPass najdete Možnosti více faktorů v Nastavení účtu (viz výše). Zde najdete možnosti, jak dále zabezpečit svůj účet LastPass. Uvidíte také možnost Ověřování mřížky, o které jsme již psali.

Omezení podle země

Další úroveň zabezpečení, kterou LastPass svým uživatelům umožňuje prozkoumat, je politika omezení pro jednotlivé země. Po aktivaci to umožní přístup k vašim údajům LastPass pouze zařízením pocházejícím ze země vašeho bydliště. Pokud se zařízení z kterékoli jiné země pokusí o přístup, zobrazí se chybová zpráva. Pokryli jsme to podrobně a měli byste si to určitě přečíst, pokud jste tak již neučinili.

Stále se bojíte?

Nebuď. Zde už není co dělat. LastPass již aktualizoval své zabezpečení a již vyzývá uživatele k ověření e-mailem, pokud používají nové zařízení nebo novou IP. Abychom to mohli ověřit, zkusili jsme to a rádi jsme oznámili, že tento krok funguje stejně, jako je inzerováno.

Stávající uživatelé jsou také vyzváni, aby změnili své hlavní heslo, ale i když tuto výzvu nedostanete, vyzýváme vás, abyste to přesto udělali. A konečně bychom rádi citovali Jeremiho Gosneyho (odborníka na zabezpečení hesel ve společnosti Stricture Group), který hovořil s Arsem Technicí o hacku -

Na NVIDIA GTX Titan X, který je v současné době nejrychlejší GPU pro praskání hesla, by útočník mohl provést pouze méně než 10 000 odhadů za sekundu pro jediné hashování heslem. To je správné pomalé! Dokonce i slabá hesla jsou s touto úrovní ochrany poměrně bezpečná (pokud nepoužíváte absurdně slabé heslo.) A to ani nezohledňuje počet iterací na straně klienta, který je uživatelsky konfigurovatelný. Výchozí hodnota je 5 000 iterací, takže minimálně sledujeme 105 000 iterací. Vlastně mám svůj nastaven na 65 000 iterací, takže to je celkem 165 000 iterací chránících moje přístupové fráze Diceware. Takže ne, rozhodně toto pocení nepotímu. Ani se necítím nucen změnit své hlavní heslo.

Ve skutečnosti jen málo členů našeho vlastního týmu používá tento nástroj a udělali jsme přesně to samé, co jsme řekli výše. A nyní chceme šířit znalosti co nejvíce lidem.

Chcete vyzkoušet alternativy?

Dobře, pokud máte pocit, že jste kvůli tomu všemu ztratili víru v LastPass, pak samozřejmě existují vždy alternativy. Pokud jste ochotni investovat trochu peněz (a některé z této ztracené víry), pak vždy existuje 1 heslo. Je to stejná architektura a bezpečnostní opatření, ale Agilebits, společnost stojící za 1 heslem, má lepší výsledky než LastPass. Tím myslíme, že to nikdy nebylo hacknuto. Nebylo hlášeno, abych byl přesnější. Dosud.

Přenos hesel v iOS: Je snadné přenést data z LastPass do 1Password pro iOS, jakmile si přečtete náš užitečný článek.

Pokud jste ochotni něco utratit, pak existuje bezplatná alternativa. Říká se tomu KeepPass a také open source. Také jsme napsali příručku, jak převést hesla LastPass do aplikace Keepass.

I když to není tak pohodlné jako 1Password, pokud jste ochotni si hrát, můžete přidat několik pluginů, které odpovídají funkcím placeného partnera. Trvá to však trpělivost, buďte tedy připraveni.

Naše 2 centy

Je velmi snadné obviňovat společnost a říci, že s vašimi údaji nebyli opatrní. Ale to je stejně dobré jako obviňovat banky, když je loupež. Lidé tam nepřestali vkládat své peníze a neměli byste přestat důvěřovat správcům hesel jen proto, že někdo byl hacknut.

Ani neříkáme, že zabezpečení bylo na straně LastPass laxní, ale určitě musí vytáhnout své ponožky. Nebylo to poprvé, kdy byla v jejich systému detekována hrozba, ale v obou případech nebylo nic většího ukradeno / ztraceno. Jednali rychle a rychle informovali uživatele a již se zabývali problémem zabezpečení, který k tomu vedl. S trochou větší opatrnosti si můžete zajistit mnohem šťastnější stav mysli. Pokud můžete strávit celou tu dobu přemýšlením o svém bankovním zůstatku, jsme si jisti, že můžete ušetřit několik myšlenek za hesla, která je také udržují v bezpečí?