Žinia, kad buvo pažeista „LastPass“ tinklo sauga, žinoma, yra rimta problema. Tai, kad įmonė, į kurią buvo pažeista, teikė slaptažodžių valdymo paslaugą, rimtumą padidino laipsniu - ar dešimt. Taigi kodėl aš, tas, kuris sukūrė karjerą rašydamas apie IT saugumą, o ne dėl to išsitraukiau plaukus? Gerai, išskyrus tai, kad neturiu ko traukti, „LastPass“ pažeidimas nėra toks didelis dalykas kai kuriems iš mūsų, kaip kitiems.
Mes neradome jokių įrodymų, kad būtų paimti šifruoti naudotojo saugyklos duomenys ar kad būtų pasiekta „LastPass“ naudotojo paskyra, sako mums „LastPass“ atstovas. Taigi, koks šurmulys, galite paklausti - kur rizika? Na tai dviguba, kaip aš matau. Pirma, kadangi buvo pažeisti el. Pašto adresai ir susiję slaptažodžių priminimai, tikiuosi, kad pamatysiu tikslinius sukčiavimo bandymus suklastotų pagrindinių slaptažodžio nustatymo pranešimų pavidalu. Norėčiau manyti, kad nepakliūčiau į tuos.
„Windows 10“ neatidarys meniu Pradėti
Kalbant apie antrąją riziką, silpniems pagrindiniams slaptažodžiams šiuo metu bus atliekami grubios jėgos nulaužimo bandymai, sutinkant su kiekvieno vartotojo serverio druskomis ir prieiga prie autentifikavimo maišų. Kalbant apie tokius bandymus nulaužti, faktas, kad „LastPass“ stiprina tuos autentifikavimo maišus atsitiktine druska ir gerai įmeta papildomus 100 000 serverio PBKDF2-SHA256 šovinių, apsunkina jų sulaužymą. Tačiau, jei pagrindinis slaptažodis yra prastas, jis vis tiek bus atviras žiaurios jėgos atakoms; užtruks tik šiek tiek daugiau laiko.
Taigi „LastPass“ daugeliui vartotojų verčia pakeisti pagrindinį slaptažodį ir prašo patvirtinti el. Pašto adresą tiems, kurie prisijungia iš naujo įrenginio ar IP adreso. Tačiau aš nekeisiu nei savo pagrindinio slaptažodžio, nei dabar (pažiūrėkime) 442 dienas, nes tai atsitiktinis, sudėtingas, ilgesnis nei 25 simboliai, jis nenaudojamas niekur kitur, ir aš gali tai prisiminti mintinai. Be to, tai patvirtina šie du stebuklingi žodžiai: daugelio veiksnių autentifikavimas.
Bum! Kiek man rūpi, visos pastangos patekti į „LastPass“ tinklo periferiją yra veltui, nes aš naudoju tvirtą pagrindinį slaptažodį, pagrįstą daugiafaktoriu autentifikavimu. Net jei mano pagrindinis slaptažodis būtų kažkaip pažeistas, užpuolikas turėtų pasiekti mano „YubiKey“ (fizinį raktą), kad iššifruotų mano slaptažodžių saugyklą. Šiuos išplėstinius nustatymus galima naudoti nemokamai ir jie jau kurį laiką buvo prieinami vartotojams - be to, jums nereikia pirkti „YubiKey“; jei norite, galite naudoti nemokamą atsisiuntimo programą, pvz., „Google“ autentifikavimo priemonę. Kodėl nenaudojote dviejų veiksnių autentifikavimo (2FA) bet kurioje svetainėje ar tarnyboje, kur ji siūloma? Nerimtai?
Kalbant apie išplėstinius nustatymus, yra dar vienas, kurį naudoju ir kuris suteikia dar vieną pasitikėjimo savo duomenimis, kuris yra pakankamai saugus naudojant „LastPass“, ir tai yra geografinės prieigos užraktas. Galite nustatyti šalių apribojimus, kurie leidžia jums nuspręsti, iš kurių šalių galima pasiekti jūsų slaptažodžių saugyklą. Aš tai laikau užrakinta JK, nebent vykstu į užsienį, tokiu atveju įgalinu tą konkrečią vietą prieš išvykdamas. O ir neleidžiu prisijungti iš „Tor“ tinklų. Paranoidas, moi? Ne, tiesiog protinga apriboti prieigą prie tų karalystės raktų. Kaip ir jūs turėtumėte būti.
Kas labiausiai jaudina dėl „LastPass“ kompromiso, keista, ne pats kompromisas, o atsakymas į jį; o ypač žiniasklaidos - tiek profesinės, tiek socialinės. Atrodo, kad yra pagrindinis džiaugsmo jausmas spardant „LastPass“, ir daug kas jums pasakė tokio tipo ataskaitas. Bet ką tiksliai mums pasakėte? Kas čia tiksliai nutiko? Neiššifruoti slaptažodžių duomenys nebuvo pažeisti, kiek matome, o „LastPass“ buvo gana skaidrus, atskleisdamas įvykį ir atlikdamas veiksmus, siekdamas toliau užtikrinti vartotojų pasitikėjimą.
Ką darytų žiniasklaidos nesąžiningi žmonės? Grįžti į rašiklį ir popierių, ar gal labiau techniniu būdu užšifruoti patį sprendimą? Mačiau, kad jie abu pasiūlė ir nė vienas nesumažino vidutinio Džo rizikos, tiesą sakant, priešingai. Gal pereiti pas kitą slaptažodžių valdymo teikėją? Vėlgi, kaip tai padeda, kai nežinai, kaip jie reaguotų, kai - jei ne - patiria pažeidimą? Bent jau žinote, kad „LastPass“ yra ant kamuolio, kai reikia reaguoti į pažeidimus.
Man daugumai žmonių slaptažodžių tvarkytuvė išlieka saugiausia parinktis, o jei vadovausitės mano pavyzdžiu ir sujungsite tvirtą pagrindinį slaptažodį su daugelio veiksnių autentifikavimu ir kai kuriomis prisijungimo užrakinimo parinktimis, sumažinsite kompromisų riziką tiek, kiek tai įmanoma žmogiškai.
Ir todėl, mielas skaitytojau, man nereikia keisti savo pagrindinio slaptažodžio; arba mano slaptažodžių tvarkyklė šiuo klausimu.