Nie, LastPass nie ujawnia twoich haseł

kiedy to usłyszałem LastPass został zhakowanyCzy twoje serce zatonęło? Czy kiedykolwiek wyobrażałeś sobie, że wszystkie Twoje konta i hasła zostały przejęte przez przypadkowych hakerów? Jeśli tak, mam dobrą wiadomość: Twoje hasła są bezpieczne. Naruszenie dotyczyło rodzaju informacji o klientach, które witryna powinna przechowywać, a nie specjalistycznego, w pełni zaszyfrowanego skarbca, w którym przechowywane są hasła.

Co więc zostało skradzione podczas naruszenia LastPass?

Wyobraź sobie swój skarbiec haseł jako bankową skrzynkę depozytową pełną kosztowności. Kradzież samego pudełka byłaby katastrofą. Obecny hack polega na tym, że ktoś robi ci zdjęcie, gdy wchodzisz do banku. Istnieją pewne zagrożenia dla Twojej prywatności, ale żadne dla przechowywanych kosztowności.

Ważne jest, aby odróżnić kod, który tworzy witrynę LastPass, od zaszyfrowanej bazy danych, w której przechowywane są hasła. Strona internetowa jest z konieczności wystawiona na działanie świata zewnętrznego – gdyby tak nie było, nikt nie byłby w stanie jej odwiedzić. Ta ekspozycja oznacza, że ​​każda luka może zostać wykorzystana.

Z drugiej strony otwiera magazyn haseł za pomocą Silne hasło główne. Architektura bezpieczeństwa o zerowym zaufaniu, która jest standardem dla menedżerów haseł, oznacza, że ​​firma nie może zdobyć twoich danych, kropka. Federalni nie mogą zmusić LastPass do ujawnienia twoich haseł. Niezadowolony pracownik nie może ich ukraść. Tylko ty możesz otworzyć skarbiec.

Jak być może pamiętasz, LastPass również ucierpiała z powodu strony internetowej Naruszenie bezpieczeństwa w sierpniu 2022 r. Haker uzyskał dostęp i trzymał go przez cztery dni, przechwytując kod źródłowy LastPass i niektóre prywatne dane techniczne, ale bez haseł. Zgodnie z oświadczeniem firmy, właśnie ujawniony hack opiera się na Informacje zostały skradzione podczas poprzedniego naruszenia.

LastPass nie określił dokładnie, jakie informacje zostały przechwycone podczas naruszenia, nazywając to „Niektóre elementy naszych informacji o klientach(otwiera się w nowym oknie). Ponieważ naruszenie miało miejsce w usłudze przechowywania danych w chmurze innej firmy, z której korzysta LastPass, jej firma macierzysta Goto i inni, podejrzewam, że hakerzy przejęli informacje o klientach, takie jak adresy e-mail, adresy pocztowe i prawdopodobnie niektóre zaszyfrowane informacje o karcie kredytowej. hack nie zbliżył się do twoich haseł.

Widzieliśmy gorsze

Jak wspomniano, twoje hasła znajdują się w zaszyfrowanej bazie danych w Internecie i są odszyfrowywane tylko wtedy, gdy musisz ich użyć na komputerze lokalnym. to jest Robić Oznacza to, że Twoje hasło istnieje lokalnie w postaci niezaszyfrowanej, przynajmniej tymczasowo. Hack z 2019 roku wykorzystał ten fakt, tworząc subversion Rozszerzenie LastPass do przeglądarki Chrome Aby wyodrębnić najnowszy zestaw danych logowania. Zespół bezpieczeństwa LastPass szybko załatał rozszerzenia Chrome i Firefox oraz przeprowadził dokładne skanowanie rozszerzeń dla innych przeglądarek.

Według badacza, który odkrył lukę, haker mógł tak zakodować stronę internetową, aby pobierała najnowszy wpis z LastPass, chociaż wymagałoby to od ofiary wielokrotnego kliknięcia strony phishingowej. Nie jest jasne, czy ta kradzież dotyczyłaby adresu URL pasującego do danych logowania, chociaż możliwe jest, że informacje te zostały uzyskane w inny sposób.

Jest to zdecydowanie gorsze niż ostatnie zdarzenie związane z bezpieczeństwem, w którym przestępca mógł uzyskać dostęp do pojedynczego zestawu danych logowania. Ale jeśli nie użyłeś tego samego hasła w wielu witrynach (zły pomysł!), to tylko jedno konto jest zagrożone. Wszystkie inne hasła przechowywane w bezpiecznym skarbcu. Sama krypta jest nadal nienaruszona.

Czy powinieneś używać menedżera haseł?

Czas więc się poddać Luksusowe menedżery haseł I wrócić do przechowywania arkusza kalkulacyjnego z hasłami lub papierowego notatnika? Nie poprawnie. Wpisane hasła mogą zostać skradzione, a konieczność ręcznego wpisywania ich oznacza, że ​​będziesz kuszony, aby były nieracjonalnie krótkie i łatwe. Możesz kopiować i wklejać hasła z arkusza kalkulacyjnego, prawda, ale nawet jeśli umieścisz je w Arkuszach Google, nie będziesz mieć wygody międzyplatformowej, którą zapewnia menedżer haseł. Poza tym, czy naprawdę ufasz swoim hasłom do bezpieczeństwa Google?

Kiedy LastPass nałożył ograniczenia na korzystanie z darmowej wersji, Wielu użytkowników wyskoczyło ze statku. Biorąc pod uwagę, że twoje hasła nie zostały faktycznie ujawnione podczas tego ostatniego naruszenia, czy jest ku temu jakiś prawdziwy powód Przełącz menedżerów haseł? Może tam. LastPass był jednym z pierwszych menedżerów haseł i jest dość dobrze znany, więc jest świetnym celem. Możliwe, że bezpieczniejsze będzie wybranie skutecznego, ale mniej znanego rozwiązania dotyczącego haseł. Otrzymasz również doskonałego darmowego menedżera haseł od tego zwycięzcy programu PCMag Editors’ Choice bitward.

Co to jest uwierzytelnianie dwuskładnikowe?

READ  Wielki restart Tensora dla Google Pixel wszedł w końcową fazę

Każdy warty swojej ceny menedżer haseł wykorzystuje architekturę Zero Trust do przechowywania haseł. Ale musisz zabezpieczyć swoją stronę partnerstwa w zakresie bezpieczeństwa, wybierając silne hasło główne, coś, co możesz zapamiętać, ale nikt inny nie odgadnie. Pamiętaj też o zaangażowaniu swojego menedżera haseł Uwierzytelnianie wieloskładnikowe system. W ten sposób nawet oszust, który ukradnie Twoje długie i silne hasło, nie będzie mógł uzyskać do niego dostępu.

Hakerzy włamują się, a czasem nawet z powodzeniem włamują się na stronę internetową menedżera haseł. Podobnie jak w przypadku każdego innego naruszenia danych, mogą one zabrać niektóre informacje o klientach. Ale same hasła są hermetycznie zamknięte.