r   e   k   l   a   m   a
r   e   k   l   a   m   a

LastPass: wyciekły dane kont, użytkownicy powinni zmienić hasła do sejfów

Strona główna AktualnościOPROGRAMOWANIE

Jeżeli jesteście użytkownikami menadżera haseł LastPass, powinniście jak najszybciej zmienić hasło główne do swojego sejfu. Firma udostępniająca usługę poinformowała, że w doszło do ataku na jej sieć, w którego wyniku włamywacz przechwycił niektóre dane. Te zgromadzone w sejfach mają być bezpieczne, zagrożone są jednak loginy i hasła główne, a to otwiera furtkę do dalszych działań.

Zespół odkrył i zablokował podejrzaną aktywność w piątek. Dochodzenie w tej sprawie nie wykazało, jakoby jakiekolwiek dane z sejfów zostały wykradzione. Niestety atakujący zdobył adresy skrzynek pocztowych użytkowników, hashe haseł, a także sole stosowane do ich zabezpieczenia. LastPass poinformowało, że mimo bardzo dobrego zabezpieczenia hasła, każdy z użytkowników powinien zmienić główne służące dostępowi do sejfu, jest ono bowiem zagrożone i przy odpowiedniej mocy obliczeniowej atakujący może je uzyskać. Aktualnie klienci usługi otrzymują wiadomości z prośbą o zmianę wrażliwych danych.

Firma zaznacza, że główne hasła chroni w sposób, który znacznie utrudnia próby ich łamania – hashe powstają przez wykonanie 100 tysięcy rund funkcji PBKDF2-SHA256, a dodatkowe zabezpieczenia występują także po stronie klienta. Szanse na złamanie hashy są niewielkie, niemniej w tej sytuacji zmiana hasła głównego jest więcej niż zalecana. Serwis włączył dodatkową ochronę dla wszystkich użytkowników, którzy nie korzystają z uwierzytelnienia wieloskładnikowego: próba dostania się do sejfu z nowego urządzenia lub adresu IP wymaga weryfikacji poprzez maile. Choć dodatkowe składniki jak Google Authenticator czy YubiKey znacznie zwiększają bezpieczeństwo, nawet osoby z nich korzystające powinny zmienić hasło główne.

r   e   k   l   a   m   a

Ten atak w pewien sposób rzuca cień na bezpieczeństwo menadżerów online: sami możemy stosować bardzo dobre hasła i zapisywać je w sejfie, ale co stanie się w sytuacji, gdy zawiedzie infrastruktura lub zabezpieczenia dostawcy? Warto zastanowić się nad wykorzystaniem lokalnych menadżerów jak choćby bardzo rozbudowany i popularny KeePass. Problemem będzie wtedy synchronizacja danych, umieszczanie pliku-sejfu na jakimkolwiek serwerze powoduje natomiast, że znów jesteśmy dodatkowo zagrożeni. Zapomnieć możemy także o wygodzie, jaką oferują usługi takie jak LastPass. Pytanie brzmi, czy w bezpieczeństwie jest w ogóle miejsce, na coś takiego jak kompromisy i wygoda stawiana ponad ochronę?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.