Novica, da je ogrožena varnost omrežja LastPass, je seveda resna težava. Podjetje, ki ga kršijo, je tisto, ki ponuja storitev upravljanja gesel, resnost poveča za stopnjo - ali deset. Zakaj torej jaz, nekdo, ki si je kariero ustvaril na temo, da pišem o informacijski varnosti, ne puščam las? Poleg tega, da se nimam za koga vleči, kršitev LastPass za nekatere od nas ni tako velika stvar kot za druge.
Nismo našli nobenega dokaza, da bi bili zajeti šifrirani podatki o trezorju uporabnikov niti da bi bili dostopni do uporabniških računov LastPass, nam je povedal tiskovni predstavnik LastPass. Torej, v čem je hrup, se lahko vprašate - kje je tveganje? No, dvojno je, kot vidim. Prvič, ker so ogroženi e-poštni naslovi in z njimi povezani opomniki za gesla, pričakujem ciljne poskuse lažnega predstavljanja v obliki lažnih sporočil o ponastavitvi glavnega gesla. Rad bi si mislil, da ne bi padel na te.
število dni med dvema datumoma excel
Kar zadeva drugo tveganje, bodo šibka glavna gesla trenutno predmet poskusov brutacijske uporabe, vljudnost strežnikovih soli na uporabnika in dostop do zgoščenk za preverjanje pristnosti. Kar zadeva takšne poskuse razpokanja, dejstvo, da LastPass okrepi te zgoščevalne haše z naključno soljo in vrže dodatnih 100.000 krogov strežniške strani PBKDF2-SHA256, otežuje njihovo lomljenje. Če pa je glavno geslo slabo, bo še vedno odprto za napade brutalne sile; za razbijanje bo trajalo le nekaj več časa.
LastPass torej večini uporabnikov vsiljuje spremembo glavnega gesla in zahteva preverjanje e-pošte od tistih, ki se prijavijo z nove naprave ali naslova IP. Vendar ne bom spreminjal glavnega gesla, prav tako ga (poglejmo) že 442 dni, ker je naključen, kompleksen, dolg je več kot 25 znakov, nikjer drugje se ne uporablja in se lahko spomnim na pamet. Poleg tega je podprt z naslednjima dvema čarobnima besedama: večfaktorska overitev.
Bum! Kar zadeva mene, ves ta trud, da bi prišel na obrobje omrežja LastPass, ni nič, ker uporabljam močno glavno geslo, podprto z večfaktorsko overitvijo. Tudi če bi bilo moje glavno geslo nekako ogroženo, bi moral napadalec nato dostopati do mojega YubiKey (fizičnega žetona), da bi lahko dešifriral svoj trezor z gesli. Te napredne nastavitve so brezplačne in so uporabnikom na voljo že nekaj časa - poleg tega vam YubiKey ni treba kupiti; če želite, lahko uporabite brezplačno preneseno aplikacijo, kot je Google Authenticator. Zakaj ne bi uporabili dvofaktorske avtentikacije (2FA) na katerem koli spletnem mestu ali storitvi, kjer je na voljo? Ne, resno?
Če govorimo o naprednih nastavitvah, uporabljam še eno, ki mi zagotavlja še eno stopnjo zaupanja v to, da so moji podatki primerno varni z LastPassom, in to je geografska zapora. Nastavite lahko omejitve za države, ki vam omogočajo, da določite države, iz katerih je mogoče dostopati do trezorja z gesli. To držim zaklenjeno v Združenem kraljestvu, razen če potujem v tujino. V tem primeru omogočim to točno lokacijo, preden odhajam. Oh, in tudi ne dovolim prijav iz omrežij Tor. Paranoid, moi? Ne, smiselno je omejiti dostop do teh ključev kraljestva. Kot bi morali biti tudi vi.
Kar me najbolj skrbi pri kompromisu LastPass, nenavadno ni sam kompromis, temveč odziv nanj; in še posebej v medijih - tako poklicnih kot družbenih. Zdi se, da se pri brcanju LastPassa skriva občutek užitka in veliko vam je povedal takšnega poročanja. Toda kaj točno ste nam povedali? Kaj točno se je zgodilo tukaj? Kolikor vidimo, nobeni šifrirani podatki o geslih niso ogroženi, LastPass pa je bil precej pregleden pri razkrivanju dogodka in vzpostavitvi korakov za nadaljnje zagotavljanje zaupanja uporabnikov.
Kaj bi storili medijski nenavadniki? Ponastavitev na pisalo in papir ali morda kakšno bolj tehnično šifriranje? Oboje sem že videl in niti ne zmanjšuje tveganja za povprečnega Joeja, pravzaprav ravno nasprotno. Se morda preselite k drugemu ponudniku za upravljanje gesel? Še enkrat, kako to pomaga, če ne veste, kako bi se odzvali, če - če bi - utrpeli kršitev? Vsaj veste, da je LastPass na udaru, ko gre za odziv na kršitev.
Zame upravitelj gesel ostaja najbolj varna možnost za večino ljudi in če sledite mojim navodilom in združite močno glavno geslo z večfaktorsko overitvijo in nekaterimi možnostmi za zaklepanje prijave, zmanjšate tveganje za ogrožanje, kolikor je to mogoče po človeško.
In zato, dragi bralec, mi ni treba spremeniti glavnega gesla; ali moj upravitelj gesel.
