Новината, че защитата на мрежата LastPass е компрометирана, разбира се, е сериозен проблем. Това, че компанията, която се нарушава, е тази, която предоставя услуга за управление на пароли, увеличава сериозността с ниво - или десет. И така, защо аз, някой, който е изградил кариера на писане за ИТ сигурност, не си скубя косата за това? Отвъд факта, че нямам кой да дърпам, пробивът на LastPass не е толкова голяма работа за някои от нас, колкото за други.
Не сме открили доказателства, че са били взети криптирани данни за потребителски хранилища, нито че са били достъпни до потребителски акаунти на LastPass, казва говорител на LastPass. И така, за какво е суматохата, може да попитате - къде е рискът? Ами това е двойно, както го виждам. Първо, тъй като имейл адресите и свързаните с тях напомняния за парола са компрометирани, очаквам да видя насочени опити за фишинг под формата на фалшиви съобщения за нулиране на главната парола. Бих искал да мисля, че няма да си падна по тези.
как да зададете изображение като фон в google docs -
Що се отнася до втория риск, слабите главни пароли понастоящем ще бъдат обект на опити за груба сила на взлом, благодарение на сървъра на потребителски соли и хешовете за удостоверяване. Що се отнася до подобни опити за взлом, фактът, че LastPass укрепва тези хешове за удостоверяване с произволна сол и добавя допълнителни 100 000 кръга от сървърна страна PBKDF2-SHA256 за добра мярка, затруднява разбиването им. Ако обаче главната парола е лоша, тя все още ще бъде отворена за груби атаки; просто ще отнеме малко повече време, за да го пробиете.
Така че LastPass принуждава промяната на основната парола на повечето потребители и иска проверка на имейл от тези, които влязат от ново устройство или IP адрес. Няма обаче да сменям главната си парола, нито пък (нека да разгледаме) вече 442 дни, защото е случаен, сложен, дълъг е повече от 25 знака, не се използва никъде другаде и аз може да го запомни наизуст. Освен това е подкрепено от следните две вълшебни думи: многофакторно удостоверяване.
Бум! Що се отнася до мен, всички тези усилия за навлизане в периферията на мрежата на LastPass са за нищо, защото използвам силна главна парола, архивирана от многофакторно удостоверяване. Дори ако главната ми парола по някакъв начин беше компрометирана, нападателят щеше да трябва да осъществи достъп до моя YubiKey (физически токен), за да декриптира хранилището ми за пароли. Тези разширени настройки са безплатни за използване и са достъпни за потребителите от известно време - освен това не е необходимо да купувате YubiKey; можете да използвате безплатно за изтегляне приложение, като Google Authenticator, ако искате. Защо не използвате двуфакторно удостоверяване (2FA) на който и да е сайт или услуга, където се предлага? Не, сериозно?
Говорейки за разширени настройки, има още един, който използвам, който ми осигурява още един слой увереност в това, че данните ми са достатъчно безопасни с LastPass, и това е блокиране на географския достъп. Можете да зададете ограничения за държави, които ви дават възможност да решите държавите, откъдето да можете да получите достъп до хранилището за пароли. Запазвам това заключено до Великобритания, освен ако не пътувам в чужбина, като в този случай активирам това конкретно място, преди да замина. О, и аз също не разрешавам влизания от Tor мрежи. Параноичен, moi? Не, просто разумно е да ограничим достъпа до тези ключове за царството. Както трябва да бъдете и вие.
Най-много ме притеснява компромисът на LastPass, колкото и да е странно, самият компромис, а отговорът на него; и особено тази на медиите - както професионални, така и социални. Изглежда, че има основно усещане за наслада, когато се рита с LastPass, и много от вас ви съобщават от такъв тип. Но какво точно ни каза? Какво точно се е случило тук? Никакви криптирани данни за парола не са компрометирани, доколкото можем да видим, и LastPass е доста прозрачен при разкриването на събитието и въвеждането на стъпки за допълнително осигуряване на доверието на потребителите.
Какво биха направили медийните неприятели? Върнете се към писалка и хартия или може би по-техническо криптиране? Виждал съм и двете, и нито едно от двете не намалява риска за средния Джо, а всъщност точно обратното. Може би да преминете към друг доставчик на управление на пароли? Отново, как помага това, когато не знаете как биха отговорили, когато - не ако - претърпят нарушение? Поне знаете, че LastPass е на топка, когато става въпрос за реакция при пробив.
За мен мениджърът на пароли остава най-сигурната опция за повечето хора и ако следвате моите указания и комбинирате силна главна парола с многофакторно удостоверяване и някои опции за блокиране на влизането, намалявате риска от компромис, доколкото е възможно от човешка гледна точка.
И ето защо, драги читателю, не е необходимо да сменям главната си парола; или моя мениджър на пароли по този въпрос.