Wiadomość, że bezpieczeństwo sieci LastPass zostało naruszone, jest oczywiście poważnym problemem. Fakt, że firma, do której doszło włamania, była firmą, która zapewnia usługę zarządzania hasłami, podnosi powagę o jeden stopień - lub dziesięć. Dlaczego więc jestem kimś, kto zbudował karierę na pisaniu o bezpieczeństwie IT, a nie na wyrywaniu sobie z tego głowy? Cóż, poza faktem, że nie mam nikogo do szarpania, naruszenie LastPass nie jest tak wielkim problemem dla niektórych z nas, jak dla innych.
Nie znaleźliśmy żadnych dowodów na to, że zaszyfrowane dane z sejfu użytkownika zostały pobrane ani że uzyskano dostęp do kont użytkowników LastPass, mówi nam rzecznik LastPass. Więc o co tyle zamieszania, możesz zapytać - gdzie jest ryzyko? Cóż, jak ja to widzę, ma dwojakie znaczenie. Po pierwsze, ponieważ adresy e-mail i związane z nimi przypomnienia o hasłach zostały przejęte, spodziewam się, że ukierunkowane próby wyłudzenia informacji będą miały postać fałszywych wiadomości resetujących główne hasło. Chciałbym pomyśleć, że nie dałbym się na nie nabrać.
Windows 10 nie otworzy menu startowego
Jeśli chodzi o drugie ryzyko, słabe hasła główne będą obecnie poddawane próbom złamania brutalnej siły, dzięki uprzejmości serwera soli na użytkownika i dostępowi do skrótów uwierzytelniania. Jeśli chodzi o takie próby crackowania, fakt, że LastPass wzmacnia te skróty uwierzytelniające losową solą i dorzuca dodatkowe 100 000 rund PBKDF2-SHA256 po stronie serwera, co utrudnia ich złamanie. Jeśli jednak hasło główne jest słabe, nadal będzie narażone na ataki siłowe; po prostu złamanie go zajmie trochę więcej czasu.
Tak więc LastPass wymusza zmianę hasła głównego u większości użytkowników i prosi o weryfikację e-mailową od tych, którzy logują się z nowego urządzenia lub adresu IP. Nie będę jednak zmieniać swojego hasła głównego, ani (spójrzmy) teraz przez 442 dni, ponieważ jest losowe, jest złożone, ma więcej niż 25 znaków, nie jest używane nigdzie indziej, a ja pamiętam to na pamięć. Ponadto jest on poparty następującymi dwoma magicznymi słowami: uwierzytelnianie wieloskładnikowe.
Bum! Jeśli o mnie chodzi, cały ten wysiłek, aby dostać się na peryferia sieci LastPass, jest na nic, ponieważ używam silnego hasła głównego z uwierzytelnianiem wieloskładnikowym. Nawet jeśli moje hasło główne zostało w jakiś sposób naruszone, osoba atakująca będzie musiała uzyskać dostęp do mojego YubiKey (fizycznego tokena) w celu odszyfrowania mojego magazynu haseł. Z tych zaawansowanych ustawień można korzystać bezpłatnie i od jakiegoś czasu są one dostępne dla użytkowników - a ponadto nie trzeba kupować klucza YubiKey; Jeśli chcesz, możesz skorzystać z bezpłatnej aplikacji, takiej jak Google Authenticator. Dlaczego nie miałbyś używać uwierzytelniania dwuskładnikowego (2FA) w żadnej witrynie lub usłudze, w której jest ono oferowane? Niepoważnie?
Mówiąc o ustawieniach zaawansowanych, jest jeszcze jeden, którego używam, który zapewnia mi kolejną warstwę pewności, że moje dane są w miarę bezpieczne dzięki LastPass, a jest to blokada dostępu geograficznego. Możesz ustawić ograniczenia krajów, które pozwolą Ci zdecydować, z których krajów można uzyskać dostęp do magazynu haseł. Trzymam to zamknięte w Wielkiej Brytanii, chyba że podróżuję za granicę. W takim przypadku włączam tę konkretną lokalizację przed wyjazdem. Aha, i nie zezwalam też na logowanie z sieci Tor. Paranoik, moi? Nie, po prostu rozsądnie ograniczać dostęp do tych kluczy do królestwa. Tak jak powinieneś.
To, co najbardziej mnie martwi w kompromisie LastPass, to nie, co dziwne, sam kompromis, ale odpowiedź na niego; a zwłaszcza mediów - zarówno zawodowych, jak i społecznych. Wydaje się, że kopanie LastPass wywołuje uczucie radości, a wiele osób mówiło o tego typu raportach. Ale co dokładnie nam powiedziałeś? Co dokładnie się tutaj wydarzyło? O ile widzimy, żadne zaszyfrowane dane haseł nie zostały naruszone, a LastPass był dość przejrzysty w ujawnianiu zdarzenia i podejmowaniu kroków w celu dalszego zabezpieczenia zaufania użytkownika.
Co chcieliby nam zrobić ci, którzy nie zgadzają się z mediami? Przywróć pióro i papier, a może bardziej techniczne rozwiązanie zaszyfruj to samodzielnie? Widziałem, że oba są sugerowane, ale żadne z nich nie zmniejsza ryzyka dla przeciętnego Joe, wręcz przeciwnie. Może przenieść się do innego dostawcy zarządzania hasłami? Ponownie, jak to pomaga, kiedy nie wiesz, jak zareagują, gdy - a nie jeśli - zostaną naruszone? Przynajmniej wiesz, że LastPass jest na piłce, jeśli chodzi o reakcję na naruszenie.
Dla mnie menedżer haseł pozostaje najbezpieczniejszą opcją dla większości ludzi, a jeśli pójdziesz za mną i połączysz silne hasło główne z uwierzytelnianiem wieloskładnikowym i niektórymi opcjami blokowania logowania, zmniejszasz ryzyko włamania tak bardzo, jak to tylko możliwe.
I właśnie dlatego, drogi czytelniku, nie muszę zmieniać swojego hasła głównego; lub mój menedżer haseł.