„LastPass“ nulaužta: pakeiskite pagrindinį slaptažodį, įgalinkite daugiafaktorinį autentifikavimą

„LastPass“ šiandien savo tinklaraštyje paskelbė saugos pranešimą, kuriame vartotojams pranešė, kad buvo nulaužti jo serveriai ir pavogti kai kurie duomenys. Štai kaip „LastPass“ pasakė, kaip pakeisti pagrindinį slaptažodį ir tinkamai įgalinti daugiafaktorinį autentifikavimą.

„LastPass“ nulaužė

Į a tinklaraščio straipsnis, „LastPass“ pateikė keletą ribotos informacijos apie tai, kas įvyko:

Norime pranešti savo bendruomenei, kad penktadienį mūsų komanda aptiko ir užblokavo įtartiną veiklą mūsų tinkle. Tyrime neradome įrodymų, kad buvo imtasi užšifruotų vartotojų saugyklų duomenų ar kad buvo pasiekta „LastPass“ vartotojo abonementų. Tačiau tyrimas parodė, kad „LastPass“ paskyros el. Pašto adresai, slaptažodžio priminimai, serverio kiekvieno vartotojo druskos ir autentifikavimo maišos buvo pažeisti.

Esame įsitikinę, kad mūsų šifravimo priemonių pakanka apsaugoti didžiąją dalį vartotojų. „LastPass“ sustiprina autentifikavimo maišos su atsitiktine druska ir 100 000 raundų serverio PBKDF2-SHA256, be to, kuriuos atlieka kliento pusės. Šis papildomas stiprinimas apsunkina pavojingo pulto pavogimą.

Bendrovė taip pat sakė: „Mes reikalaujame, kad visi vartotojai, prisijungiantys iš naujo įrenginio ar IP adreso, pirmiausia patikrintų savo sąskaitą el. Paštu, nebent turite įjungtą daugiafaktorinį autentifikavimą. Kaip papildomą atsargumo priemonę mes taip pat paraginsime vartotojus atnaujinti pagrindinį slaptažodį. “

Vienas dalykas, kuris gana erzina daugelį vartotojų, yra tas, kad jie sužino apie šias naujienas svetainėse. Kaip įmonė savo pranešime taip pat teigė, kad visiems vartotojams apie saugumo incidentą siunčiami el. Laiškai. Rašydamas aš tokio negavau, o žiūrint į „LastPass“ tinklaraščio komentarus, daug kitų vartotojų nėra.

Pakeiskite „LastPass“ pagrindinį slaptažodį

Norėdami pakeisti pagrindinį slaptažodį, spustelėkite kairiojoje srityje Paskyros nustatymai.

Tada lange „Sąskaitos nustatymai“ spustelėkite Keisti pagrindinį slaptažodį, esantį prisijungimo kredencialų skiltyje.

Tada pateksite į slaptažodžio nustatymo puslapį, kuriame galėsite tiesiog sekti ekrane pateikiamas instrukcijas ir pakeisti pagrindinį slaptažodį. Proceso metu „LastPass“ vėl viską užšifruos ir atsiųs jums patvirtinimo el. Laišką, kad pakeitėte pagrindinį.

Įgalinti „MultiPactor“ autentifikavimą „LastPass“

Kol esate prie jo, rekomenduojame „LastPass“ paskyroje įgalinti kelių veiksnių autentifikavimą. Tai padidins jūsų paskyros papildomą saugos lygį ir suteiks daugiau ramybės, kad jūsų slaptažodžiai yra saugūs.

Šiandien savo pranešime „LastPass“ teigė: „Mes reikalaujame, kad visi vartotojai, prisijungiantys iš naujo įrenginio ar IP adreso, pirmiausia patikrintų savo sąskaitą el. Paštu, nebent jūs turite daugiafaktorinis autentifikavimas įjungtas."

Mes jums parodėme, kaip reikia Įgalinti „LastPass“ dviejų faktorių autentifikavimą prieš keletą metų. Procesas yra labai paprastas ir nėra geresnio būdo apsaugoti „LastPass“ paskyrą. Sąžiningai, dabartinėje internetinėje aplinkoje dviejų veiksnių autentifikavimo įgalinimas iš tikrųjų yra nebeprivalomas, jei norite apsaugoti savo internetines paskyras. Mes apie tai kalbėjome išsamiai čia „groovyPost“ ir artimiausiomis savaitėmis planuojame dar labiau į tai atkreipti dėmesį.

Norėdami „Lastpass“ įgalinti dviejų faktorių arba daugiafaktorinį autentifikavimą, tiesiog eikite į „Account Settings“> „Multifactor Options“ ir pasirinkite norimą naudoti metodą... „Google Authenticator“ yra turbūt lengviausias.

Yra ir kitų paslaugų vartotojų, kurie turi „Premium“ sąskaitą (12 USD per metus), pavyzdžiui, pirštų atspaudų skaitytuvus ir USB raktus.

Atnaujinimas 2015-06-16:

Šiandien pagaliau gavau el. Laišką iš „LastPass“ apie saugos problemą. Jis yra trumpas ir nesuteikia daug daugiau informacijos nei tai, ką mes jau žinome.

Gerb. „LastPass“ vartotojau,

Norėjome jus įspėti, kad neseniai mūsų komanda aptiko ir nedelsdama užblokavo įtartiną veiklą mūsų tinkle. Šifruoti vartotojų skliautų duomenys nebuvo imami, tačiau kiti duomenys, įskaitant el. Pašto adresus ir slaptažodžio priminimus, buvo pažeisti.

Esame įsitikinę, kad mūsų naudojami šifravimo algoritmai pakankamai apsaugos mūsų vartotojus. Norėdami dar labiau užtikrinti jūsų saugumą, reikalaujame patvirtinimo el. Paštu, kai prisijungiame iš naujo įrenginio arba IP adreso, ir paraginsime vartotojus atnaujinti pagrindinius slaptažodžius.

Atsiprašome už nepatogumus, tačiau galiausiai tikime, kad tai geriau apsaugos „LastPass“ vartotojus. Dėkojame už supratimą ir už naudojimąsi „LastPass“.

Linkėjimai,
„LastPass“ komanda

Apskritai tai nekelia panikos, nes saugykloje saugomi slaptažodžiai yra gerai apsaugoti ir neturėjo būti pažeisti. Tačiau tikrai norėsite kuo greičiau pakeisti pagrindinį slaptažodį ir įgalinti daugiafaktorinį autentifikavimą.