LastPass Hacked: Zmień hasło główne, włącz uwierzytelnianie wieloczynnikowe
LastPass opublikował dzisiaj na swoim blogu powiadomienie o bezpieczeństwie, informujące użytkowników, że ich serwery zostały zhakowane, a niektóre dane zostały skradzione. Zobacz, co powiedział LastPass, jak zmienić hasło główne i włącz wielopoziomowe uwierzytelnianie.
LastPass Hacked
W poście na blogu LastPass podał pewne ograniczone informacje na temat tego, co się stało:
Chcemy powiadomić naszą społeczność, że w piątek nasz zespół wykrył i zablokował podejrzane działania w naszej sieci. W naszym dochodzeniu nie znaleźliśmy żadnych dowodów na to, że zaszyfrowano dane użytkowników przechowalni użytkowników ani że nie uzyskano dostępu do kont użytkowników LastPass. Dochodzenie wykazało jednak, że naruszone zostały adresy e-mail konta LastPass, przypomnienia hasła, serwer dla poszczególnych użytkowników i skróty uwierzytelniające.
Jesteśmy przekonani, że nasze środki szyfrowania są wystarczające, aby chronić ogromną większość użytkowników. LastPass wzmacnia hash uwierzytelniania losową solą i 100 000 rund PBKDF2-SHA256 po stronie serwera, oprócz rund wykonywanych po stronie klienta. To dodatkowe wzmocnienie utrudnia atakowanie skradzionych skrótów z jakąkolwiek znaczącą prędkością.
Firma powiedziała również: "Wymagamy, aby wszyscy użytkownicy logujący się z nowego urządzenia lub adresu IP najpierw zweryfikowali swoje konto pocztą e-mail, o ile nie włączono uwierzytelniania wieloskładnikowego. Jako dodatkowy środek ostrożności będziemy również monitować użytkowników o aktualizację głównego hasła. "
Jedną rzeczą, która jest irytująca dla wielu użytkowników, jest to, że znajdują informacje o tych wiadomościach na stronach internetowych. Jak stwierdziła firma w swoim poście, e-maile są wysyłane do wszystkich użytkowników na temat incydentu związanego z bezpieczeństwem. W chwili pisania tego tekstu nie otrzymałem ani jednego, a wygląd komentarzy na blogu LastPass nie ma zbyt wielu innych użytkowników.
Zmień hasło LastPass Master
Aby zmienić hasło główne i kliknij Ustawienia konta w lewym okienku.
Następnie w oknie Ustawienia konta kliknij Zmień hasło główne w sekcji Poświadczenia logowania.
Spowoduje to przejście do strony resetowania hasła, w której można po prostu postępować zgodnie z instrukcjami wyświetlanymi na ekranie, aby zmienić hasło główne. Podczas tego procesu LastPass ponownie zaszyfruje wszystko i wyśle e-mail weryfikacyjny, w którym zmieniłeś wzorzec.
Włącz uwierzytelnianie MultiFactor dla LastPass
W trakcie korzystania z niego zalecamy włączenie uwierzytelniania wieloczynnikowego dla konta LastPass. Dodaje dodatkową warstwę zabezpieczeń do Twojego konta i zapewnia spokój ducha, dzięki czemu twoje hasła są bezpieczne.
W swoim dzisiejszym oświadczeniu LastPass powiedział: "Wymagamy, aby wszyscy użytkownicy logujący się z nowego urządzenia lub adresu IP najpierw zweryfikowali swoje konto pocztą e-mail, chyba że włączono uwierzytelnianie wieloskładnikowe ."
Pokazaliśmy ci, jak włączyć uwierzytelnianie LastPass Two Factor kilka lat temu. Proces jest niezwykle prosty i nie ma lepszego sposobu na zabezpieczenie swojego konta LastPass. Szczerze mówiąc, w klimacie internetowym, jaki mamy dzisiaj, włączenie uwierzytelniania dwuskładnikowego naprawdę nie jest już opcjonalne, jeśli chcesz chronić swoje konta online. Rozmawialiśmy o tym dogłębnie tutaj na i planujemy skupić się na tym jeszcze bardziej w nadchodzących tygodniach.
Aby włączyć uwierzytelnianie dwuskładnikowe lub wieloskładnikowe w Lastpass, po prostu przejdź do Ustawienia konta> Opcje Multifactor i wybierz metodę, której chcesz użyć ... Google Authenticator jest prawdopodobnie najłatwiejszy.
Istnieją inne usługi, które użytkownicy mają konto premium (12 USD rocznie) mogą używać skanerów odcisków palców i kluczy USB.
Aktualizacja 16 czerwca 2015 r .:
Dzisiaj otrzymałem od LastPassa e-mail z informacją o problemie bezpieczeństwa. Jest krótki i nie daje o wiele więcej szczegółów niż to, co już wiemy.
Drogi użytkowniku LastPass,
Chcieliśmy Cię poinformować, że nasz zespół niedawno odkrył i natychmiast zablokował podejrzane działania w naszej sieci. Nie zostały zajęte żadne zaszyfrowane dane przechowalni użytkowników, ale inne dane, w tym adresy e-mail i przypomnienia o hasłach, zostały naruszone.
Jesteśmy pewni, że zastosowane przez nas algorytmy szyfrowania w wystarczającym stopniu chronią naszych użytkowników. Aby dodatkowo zapewnić bezpieczeństwo, wymagamy weryfikacji przez e-mail przy logowaniu z nowego urządzenia lub adresu IP i będziemy monitować użytkowników o aktualizację swoich głównych haseł.
Przepraszamy za niedogodności, ale ostatecznie uważamy, że lepiej będzie chronić użytkowników LastPass. Dziękujemy za zrozumienie i korzystanie z LastPass.
Pozdrowienia,
Zespół LastPass
Ogólnie rzecz biorąc, nie wydaje się to być powodem do paniki, ponieważ hasła przechowywane w skarbcu są dobrze chronione i nie powinny zostać naruszone. Jednak na pewno chcesz zmienić hasło główne i włączyć uwierzytelnianie wieloczynnikowe tak szybko, jak to możliwe.