LastPass: wyciekły dane kont, użytkownicy powinni zmienić hasła do sejfów

Jeżeli jesteście użytkownikami menadżera haseł LastPass, powinniście jak najszybciej zmienić hasło główne do swojego sejfu. Firma udostępniająca usługę poinformowała, że w doszło do ataku na jej sieć, w którego wyniku włamywacz przechwycił niektóre dane. Te zgromadzone w sejfach mają być bezpieczne, zagrożone są jednak loginy i hasła główne, a to otwiera furtkę do dalszych działań.

Zespół odkrył i zablokował podejrzaną aktywność w piątek. Dochodzenie w tej sprawie nie wykazało, jakoby jakiekolwiek dane z sejfów zostały wykradzione. Niestety atakujący zdobył adresy skrzynek pocztowych użytkowników, hashe haseł, a także sole stosowane do ich zabezpieczenia. LastPass poinformowało, że mimo bardzo dobrego zabezpieczenia hasła, każdy z użytkowników powinien zmienić główne służące dostępowi do sejfu, jest ono bowiem zagrożone i przy odpowiedniej mocy obliczeniowej atakujący może je uzyskać. Aktualnie klienci usługi otrzymują wiadomości z prośbą o zmianę wrażliwych danych.

Firma zaznacza, że główne hasła chroni w sposób, który znacznie utrudnia próby ich łamania – hashe powstają przez wykonanie 100 tysięcy rund funkcji PBKDF2-SHA256, a dodatkowe zabezpieczenia występują także po stronie klienta. Szanse na złamanie hashy są niewielkie, niemniej w tej sytuacji zmiana hasła głównego jest więcej niż zalecana. Serwis włączył dodatkową ochronę dla wszystkich użytkowników, którzy nie korzystają z uwierzytelnienia wieloskładnikowego: próba dostania się do sejfu z nowego urządzenia lub adresu IP wymaga weryfikacji poprzez maile. Choć dodatkowe składniki jak Google Authenticator czy YubiKey znacznie zwiększają bezpieczeństwo, nawet osoby z nich korzystające powinny zmienić hasło główne.

Ten atak w pewien sposób rzuca cień na bezpieczeństwo menadżerów online: sami możemy stosować bardzo dobre hasła i zapisywać je w sejfie, ale co stanie się w sytuacji, gdy zawiedzie infrastruktura lub zabezpieczenia dostawcy? Warto zastanowić się nad wykorzystaniem lokalnych menadżerów jak choćby bardzo rozbudowany i popularny KeePass. Problemem będzie wtedy synchronizacja danych, umieszczanie pliku-sejfu na jakimkolwiek serwerze powoduje natomiast, że znów jesteśmy dodatkowo zagrożeni. Zapomnieć możemy także o wygodzie, jaką oferują usługi takie jak LastPass. Pytanie brzmi, czy w bezpieczeństwie jest w ogóle miejsce, na coś takiego jak kompromisy i wygoda stawiana ponad ochronę?