Știrea că securitatea rețelei LastPass a fost compromisă este, desigur, o problemă serioasă. Faptul că compania care a fost încălcată a fost una care oferă un serviciu de gestionare a parolelor crește seriozitatea cu o crestătură - sau zece. Deci, de ce sunt eu, cineva care și-a construit o carieră în scris despre securitatea IT, fără să-mi trag părul despre asta? Dincolo de faptul că nu am pe cine să-l trag, încălcarea LastPass nu este o afacere atât de mare pentru unii dintre noi, cât și pentru alții.
Un purtător de cuvânt al LastPass nu ne-a găsit nicio dovadă că au fost luate date criptate ale seifului utilizatorului și nici că au fost accesate conturile de utilizator LastPass. Așadar, despre ce e vorba, vă puteți întreba - unde este riscul? Ei bine, este dublu după cum îl văd. În primul rând, întrucât adresele de e-mail și mementourile de parolă asociate au fost compromise, m-aș aștepta să văd încercări de phishing direcționate sub formă de mesaje false de resetare a parolei principale. Aș vrea să cred că nu aș cădea pentru aceștia.
cum să restaurați filele în Chrome
În ceea ce privește cel de-al doilea risc, parolele master slabe vor fi în prezent supuse încercărilor de cracare cu forță brută, prin amabilitatea sărurilor de pe server și accesarea hashurilor de autentificare. În ceea ce privește astfel de încercări de cracare, faptul că LastPass întărește acele hashuri de autentificare cu o sare aleatorie și aruncă în plus 100.000 de runde de server PBKDF2-SHA256 pentru o măsură bună, face mai dificilă spargerea acestora. Cu toate acestea, dacă parola principală este slabă, va fi totuși deschisă atacurilor cu forță brută; va dura doar un pic mai mult timp pentru a-l sparge.
Deci LastPass forțează o modificare a parolei principale pentru majoritatea utilizatorilor și solicită verificarea prin e-mail a celor care se conectează de pe un dispozitiv nou sau o adresă IP. Cu toate acestea, nu îmi voi schimba parola principală și nici nu am (să aruncăm o privire) de 442 de zile acum, deoarece este aleatorie, este complexă, are mai mult de 25 de caractere, nu este utilizată nicăieri altundeva și o pot aminti pe de rost. În plus, este susținut de următoarele două cuvinte magice: autentificare multifactorială.
Boom! În ceea ce mă privește, tot efortul de a intra în periferia rețelei LastPass este degeaba, deoarece folosesc o parolă master puternică, susținută de autentificare multifactorială. Chiar dacă parola mea principală a fost într-un fel compromisă, atacatorul ar trebui să acceseze YubiKey-ul meu (un simbol fizic) pentru a putea decripta parola mea. Aceste setări avansate sunt gratuite și sunt disponibile utilizatorilor de ceva timp - în plus, nu trebuie să achiziționați un YubiKey; puteți utiliza o aplicație de descărcat gratuit, cum ar fi Google Authenticator, dacă doriți. De ce nu ați folosi autentificarea cu doi factori (2FA) pe orice site sau serviciu unde este oferit? Nu, serios?
Vorbind despre setările avansate, există un altul pe care îl folosesc, care îmi oferă încă un alt nivel de încredere în faptul că datele mele sunt în mod rezonabil sigure cu LastPass și este un blocaj de acces geografic. Puteți seta restricții de țară care vă permit să decideți țările de unde se poate accesa seiful dvs. de parolă. Păstrez acest lucru blocat în Regatul Unit, cu excepția cazului în care călătoresc în străinătate, caz în care activez locația respectivă înainte de a pleca. Oh, și nici nu permit conectările din rețelele Tor. Paranoic, moi? Nu, doar este rezonabil să restricționezi accesul la acele chei ale regatului. Așa cum ar trebui să fii și tu.
Ceea ce mă îngrijorează cel mai mult la compromisul LastPass nu este, în mod ciudat, compromisul în sine, ci răspunsul la acesta; și în special a presei - atât profesionale, cât și sociale. Se pare că există o senzație subiacentă de încântare, luând în lovitură LastPass, și o mulțime de rapoarte de acest tip v-am spus. Dar ce ne-ai spus mai exact? Ce s-a întâmplat exact aici? Nici o parolă criptată nu a fost compromisă în măsura în care putem vedea, iar LastPass a fost destul de transparent în dezvăluirea evenimentului și în stabilirea unor pași pentru a asigura în continuare încrederea utilizatorului.
Ce ne-ar face oamenii de știință din mass-media? Reveniți la pix și hârtie sau poate o soluție mai tehnică de criptare personală? Am văzut ambele sugestii și nici unul nu reduce riscul pentru Joe mediu, ci chiar opusul. Poate vă mutați la un alt furnizor de gestionare a parolelor? Din nou, cum vă ajută acest lucru atunci când nu știți cum ar răspunde atunci când - nu dacă - suferă o încălcare? Cel puțin știți că LastPass este pe minge atunci când vine vorba de răspuns la încălcare.
Pentru mine, un manager de parole rămâne cea mai sigură opțiune pentru majoritatea oamenilor și, dacă îmi urmezi exemplul și combini o parolă principală puternică cu autentificarea multifactor și câteva opțiuni de blocare a conectării, vei reduce riscul compromisului cât mai mult posibil din punct de vedere uman.
Și de aceea, dragă cititoare, de aceea nu trebuie să-mi schimb parola principală; sau managerul meu de parole pentru această chestiune.