Lastpass hacket: her er hvad du skal gøre

Vi havde elsket LastPass så meget, at vi faktisk havde kaldt det The Best Password Manager. Så da historien om hacket brød ud for et stykke tid siden, var vi alle i en tilstand af chok. Men betyder det, at alle burde grøfte LastPass og bruge noget andet? Er dine adgangskoder sikre i skyen? Kan vi stole på virksomheden igen? Det er hvad vi forsøger at finde ud af.

Gå ikke i panik

Naturligvis er dette den første ting, der skal gøres. Panik, eller værre, at sprede falske oplysninger via ethvert medium, er bare ikke den rigtige måde at reagere på enhver krise. Selvom det er naturligt at føle sig bange, når du læser en nyhed som denne, skal du indse, at unødvendig panik bare ikke tjener noget formål. I deres blogindlæg har LastPass gjort det klart, og jeg citerer,

I vores undersøgelse har vi ikke fundet noget bevis for, at der blev taget krypterede brugerhvelvelsesdata, eller at der blev adgang til LastPass-brugerkonti.

Ja, det fortsætter med at sige det

Undersøgelsen har imidlertid vist, at LastPass-konto-e-mail-adresser, adgangskoderpåmindelser, server pr. Bruger salte og godkendelseshasjer blev kompromitteret.

Men hvad betyder det, spørger du? Enkelt sagt, det betyder, at mens alle dine adgangskoder er sikre, er det muligvis, at andre oplysninger ikke er det. Til hvilken blogindlægget igen har nævnt et par nyttige tip.

Ja, dataene fra adgangskodeadministratorer gemmes i skyen, men informationen er krypteret lige på din computer. Og selvom cloud computing-arkitekturen indebærer en lille risiko, kan du stadig hvile let ved at vide, at alle krypterede data aldrig gemmes der. Som inkluderer alle dine adgangskoder.

Nyttigt tip: Tjek vores ultimative guide til adgangskoder for at vide alt om, hvordan du opretter og administrerer adgangskoder på internettet.

Forebyggelse er altid bedre end kur

Dette gamle ordsprog kunne aldrig være mere relevant end i disse tider med internet-snooping og tab af privatlivets fred. Her er nogle trin, du skal følge, når det kommer til din LastPass-konto, for at sikre, at du ikke mister din søvn i tilfælde af sådanne hændelser.

Skift hovedadgangskode

For at ændre Master Password for LastPass skal du blot klikke på Præferencer, hvor du finder afsnittet Kontoindstillinger til venstre. Klikke der giver dig muligheden for at klikke her for at starte kontoindstillinger som vist nedenfor.

Klikke der åbner en ny fane, hvor alt hvad du skal gøre er at trykke på knappen Skift hovedadgangskode og gå efter et nyere (og stærkere) alternativ.

Det er det, det vigtigste skridt, du skal tage efter denne hændelse er færdig!

2-faktorautentisering og andre sikkerhedsindstillinger

Vi mener, det er en god ide at bruge 2-faktor godkendelse, hvor det er muligt, og især på steder, hvor følsomme data gemmes. LastPass er helt korrekt med hensyn til at foreslå brugen af ​​denne service, og vi føler, at du skal gøre det med det samme, efter at du har ændret din hovedadgangskode. Selvom du er ved det, kan du overveje at tilføje 2-trins autentificeringsfaktoren til alle de tjenester, du bruger, som indeholder følsomme data.

I LastPass finder du Multifaktorindstillinger i Kontoindstillinger (se ovenfor). Det er her du finder muligheder for yderligere at sikre din LastPass-konto. Du vil også se indstillingen Grid Authentication, som vi har skrevet om før.

Landebaseret begrænsning

Et andet lag af sikkerhed, som LastPass inddrager sine brugere til at udforske, er den landebaserede restriktionspolitik. Når dette er aktiveret, aktiverer dette kun enheder, der stammer fra hjemlandet, for at få adgang til dine LastPass-data. Hvis en enhed fra et andet land forsøger at få adgang til den, viser de en fejlmeddelelse. Vi har dækket dette meget detaljeret, og du bør bestemt læse det, hvis du ikke allerede har gjort det.

Stadig bekymret?

Vær ikke. Der er ikke mere at gøre her. LastPass har allerede opdateret deres sikkerhed og beder allerede brugere om at blive verificeret via e-mail, hvis de bruger en ny enhed eller en ny IP. For at bekræfte dette forsøgte vi netop det og var glade for at rapportere, at dette trin fungerer lige som annonceret.

Eksisterende brugere bliver også bedt om at ændre deres hovedadgangskode, men selvom du ikke får denne prompt, opfordrer vi dig til at gøre det alligevel. Til sidst vil vi gerne citere Jeremi Gosney (en kodeordsikkerhedsekspert hos Stricture Group), som talte med Ars Technica om hacket -

På en NVIDIA GTX Titan X, som i øjeblikket er den hurtigste GPU til adgang til cracking af adgangskoder, ville en hacker kun være i stand til at lave færre end 10.000 gæt pr. Sekund for en enkelt adgangskode-hash. Det er ordentligt langsomt! Selv svage adgangskoder er ret sikre med dette beskyttelsesniveau (medmindre du bruger en absurd svag adgangskode.) Og dette er ikke engang ansvarlig for antallet af klientside-iterationer, som kan konfigureres af brugeren. Standard er 5.000 iterationer, så vi ser mindst på 105.000 iterationer. Jeg har faktisk indstillet mine til 65.000 iterationer, så det er i alt 165.000 iterationer, der beskytter min Diceware-adgangssætning. Så nej, jeg sveder bestemt ikke denne overtrædelse. Jeg føler mig ikke engang tvunget til at ændre min hovedadgangskode.

Faktisk bruger ganske mange medlemmer af vores eget team værktøjet, og vi har gjort nøjagtigt de samme ting, som vi har nævnt ovenfor. Og nu ønsker vi at sprede viden til så mange mennesker som muligt.

Vil du prøve alternativer?

Okay, hvis du føler, at du har mistet troen på LastPass på grund af alt dette, er der selvfølgelig altid alternativer. Hvis du er villig til at investere lidt penge (og noget af den mistede tro), er der altid 1Password. Det er den samme arkitektur og sikkerhedsforanstaltninger, der spilles, men Agilebits, firmaet bag 1Password, har en bedre track record end LastPass. Med det mener vi, at det aldrig er blevet hacket. Er ikke blevet rapporteret, for at være mere præcis. Endnu.

Overfør dine adgangskoder i iOS: Det er nemt at overføre dine data fra LastPass til 1Password til iOS, når du først har læst vores nyttige artikel om det.

Hvis du ikke er uvillig til at bruge noget, er der et gratis alternativ. Det kaldes KeepPass, og det er også open source. Og vi har også skrevet en guide til overførsel af dine LastPass-adgangskoder til Keepass.

Selvom det ikke er så praktisk som 1Password, kan du tilføje et par plugins, hvis du er villig til at spille rundt, for at matche funktionaliteten i dets betalte peer. Det kræver dog nogen tålmodighed, så vær forberedt.

Vores 2 cent

Det er meget let at bebrejde et firma og sige, at de ikke var forsigtige med dine data. Men det er så godt som at beskylde banker, når der er tale om et røveri. Folk har ikke stoppet med at lægge deres penge der, og du skal heller ikke holde op med at stole på passwordadministratorer, bare fordi en blev hacket.

Vi siger ikke engang, at sikkerheden var slap fra LastPass 'side, men de har bestemt brug for at trække deres sokker op. Det var ikke første gang, at der blev opdaget en trussel i deres system, men begge gange blev der ikke stjålet / mistet noget større. De handlede hurtigt og straks underrettet brugere og har allerede behandlet det sikkerhedsproblem, der fører til dette. Med lidt mere forsigtighed selv kan du sikre en meget lykkeligere sindstilstand. Hvis du kan bruge al den tid på at tænke på din banksaldo, er vi sikre på, at du kan skåne et par tanker til de adgangskoder, der også holder dem sikre?