Správa o tom, že bola narušená bezpečnosť siete LastPass, je samozrejme vážnym problémom. Spoločnosť, ktorá bola porušená, bola tá, ktorá poskytuje službu správy hesiel, zvyšuje závažnosť o stupeň - alebo desať. Prečo teda ja, niekto, kto si vybudoval kariéru na písaní o bezpečnosti IT, a nevytrhol som si z toho vlasy? Okrem toho, že nemám za koho ťahať, nie je porušenie LastPass pre niektorých z nás také veľké riešenie ako pre ostatných.
Nenašli sme nijaké dôkazy o tom, že boli odobraté šifrované údaje používateľských trezorov, ani o tom, že boli prístupné používateľské účty LastPass, hovorí nám hovorca LastPass. Takže, o čom všetkom je rozruch, môžete sa opýtať - kde je riziko? Ako vidím, je to dvojnásobné. Po prvé, pretože boli napadnuté e-mailové adresy a súvisiace pripomenutia hesla, očakávam, že uvidím cielené pokusy o phishing vo forme falošných správ o obnovení hlavného hesla. Rád by som si myslel, že by som pre nich nespadol.
ako si zmeniť meno kik
Pokiaľ ide o druhé riziko, slabé hlavné heslá budú v súčasnosti predmetom pokusov o prelomenie hrubou silou, s povolením solí na servera podľa jednotlivých používateľov a prístupom k hašovaniu autentifikácie. Pokiaľ ide o takéto pokusy o prelomenie, skutočnosť, že LastPass posilňuje tieto overovacie hashe náhodnou soľou a vhodne hodí ďalších 100 000 kôl servera PBKDF2-SHA256, ich sťažuje. Ak je však hlavné heslo zlé, bude stále prístupné útokom hrubou silou; proste bude to trvať trochu viac času, kým to rozlúskneme.
LastPass teda núti väčšinu používateľov zmeniť hlavné heslo a žiada o overenie e-mailu od tých, ktorí sa prihlásia z nového zariadenia alebo adresy IP. Nebudem však meniť svoje hlavné heslo, ani nebudem (poďme sa na to pozrieť) už 442 dní, pretože je to náhodné, zložité, má viac ako 25 znakov, nepoužíva sa nikde inde a ja si to môže pamätať naspamäť. Okrem toho je podporené nasledujúcimi dvoma magickými slovami: viacfaktorová autentifikácia.
Boom! Pokiaľ ide o mňa, všetka tá námaha dostať sa na perifériu siete LastPass nie je na nič, pretože používam silné hlavné heslo zálohované viacfaktorovou autentifikáciou. Aj keby bolo moje hlavné heslo nejako zneužité, útočník by potom musel pristúpiť k môjmu YubiKey (fyzický token), aby mohol dešifrovať moje heslo. Tieto pokročilé nastavenia sú zadarmo a sú používateľom k dispozícii už nejaký čas - navyše si nemusíte kupovať YubiKey; Ak chcete, môžete použiť aplikáciu na stiahnutie zadarmo, napríklad Google Authenticator. Prečo by ste nepoužívali dvojfaktorovú autentizáciu (2FA) na žiadnom webe alebo v službe, kde sú ponúkané? Ale teraz už vážne?
Keď hovoríme o pokročilých nastaveniach, používam ešte jedno, ktoré mi poskytuje ešte ďalšiu vrstvu dôvery v to, že moje dáta sú v LastPass primerane bezpečné, a to uzamknutie geografického prístupu. Môžete nastaviť obmedzenia krajín, ktoré vám umožnia rozhodnúť sa o krajinách, z ktorých je k vášmu trezoru hesiel prístupný. Ak necestujem do zahraničia, ponechám toto uzamknuté vo Veľkej Británii. V takom prípade pred odletom povolím konkrétne miesto. Och, a tiež nepovoľujem prihlásenie zo sietí Tor. Paranoidné, moi? Nie, je rozumné obmedzovať prístup k týmto kľúčom od kráľovstva. Ako by ste mali byť tiež.
Čo ma na kompromise LastPass trápi najviac, napodiv nie je samotný kompromis, ale jeho reakcia; a najmä médií - profesionálnych aj sociálnych. Zdá sa, že pri kopaní do LastPassu panuje hlboký pocit rozkoše a veľa správ vám hovorilo. Čo konkrétne ste nám ale povedali? Čo sa tu presne stalo? Pokiaľ vidíme, neboli napadnuté žiadne údaje o šifrovanom hesle a program LastPass bol pri zverejňovaní udalosti a zavádzaní krokov na zabezpečenie dôvery používateľov dosť transparentný.
Čo by si od nás nechali urobiť mediálne výroky? Vrátiť sa k peru a papieru, alebo technickejšiemu šifrovaniu, že je to možné riešenie? Videl som, ako obaja navrhujú, a ani jedno z nich neznižuje riziko pre priemerného Joea, skôr naopak. Možno sa presuniete k inému poskytovateľovi správy hesiel? Ako to znova pomôže, keď neviete, ako by odpovedali, keď - nie ak - dôjde k porušeniu? Prinajmenšom viete, že LastPass je pri lopte, pokiaľ ide o reakciu na porušenie.
Pre mňa zostáva správca hesiel najbezpečnejšou voľbou pre väčšinu ľudí a ak budete nasledovať moje vedenie a spojíte silné hlavné heslo s viacfaktorovou autentifikáciou a niektorými možnosťami uzamknutia prihlásenia, znížite riziko kompromisu, ako je to len v ľudskej miere možné.
A to je, vážený čitateľ, dôvod, prečo nemusím meniť svoje hlavné heslo; alebo môj správca hesiel.