LastPass Hacked: Zmień hasło główne, włącz uwierzytelnianie wieloskładnikowe

LastPass opublikował dziś na swoim blogu powiadomienie o bezpieczeństwie, informujące użytkowników, że jego serwery zostały zhakowane, a niektóre dane skradzione. Oto, co powiedział LastPass, w jaki sposób zmienić hasło główne i włączyć w wielu przypadkach uwierzytelnianie wieloskładnikowe.

LastPass Hacked

W post na blogu, LastPass podał pewne ograniczone szczegóły na temat tego, co się stało:

Chcemy powiadomić naszą społeczność, że w piątek nasz zespół wykrył i zablokował podejrzane działania w naszej sieci. W naszym dochodzeniu nie znaleźliśmy żadnych dowodów na to, że pobrano zaszyfrowane dane z przechowalni użytkowników ani nie uzyskano dostępu do kont użytkowników LastPass. Dochodzenie wykazało jednak, że zagrożone były adresy e-mail kont LastPass, przypomnienia o hasłach, sole na serwer dla każdego użytkownika oraz skróty uwierzytelniające.

Jesteśmy przekonani, że nasze środki szyfrowania są wystarczające, aby chronić ogromną większość użytkowników. LastPass wzmacnia skrót uwierzytelniania losową solą i 100 000 rund PBKDF2-SHA256 po stronie serwera, oprócz rund wykonywanych po stronie klienta. To dodatkowe wzmocnienie utrudnia atak skradzionymi hashami ze znaczną prędkością.

Firma powiedziała również: „Wymagamy, aby wszyscy użytkownicy logujący się z nowego urządzenia lub adresu IP najpierw zweryfikowali swoje konto za pomocą wiadomości e-mail, chyba że masz włączone uwierzytelnianie wieloskładnikowe. W ramach dodatkowej ostrożności będziemy również monitować użytkowników o aktualizację hasła głównego. ”

Jedną z rzeczy, która dość irytuje wielu użytkowników, jest to, że znajdują informacje o tych wiadomościach na stronach internetowych. Jak firma powiedziała również w swoim poście, e-maile są wysyłane do wszystkich użytkowników na temat incydentu bezpieczeństwa. W chwili pisania tego tekstu nie otrzymałem ani jednego, a po komentarzach na blogu LastPass nie ma wielu innych użytkowników.

Zmień hasło główne LastPass

Aby zmienić hasło główne i kliknij Ustawienia konta w lewym okienku.

Następnie w oknie Ustawienia konta kliknij Zmień hasło główne w sekcji Dane logowania.

Spowoduje to przejście do strony resetowania hasła, na której możesz po prostu postępować zgodnie z instrukcjami wyświetlanymi na ekranie, aby zmienić hasło główne. Podczas tego procesu LastPass ponownie zaszyfruje wszystko i wyśle ​​Ci e-mail weryfikacyjny, że zmieniłeś wzorzec.

Włącz uwierzytelnianie MultiFactor dla LastPass

W tym momencie zalecamy włączenie uwierzytelniania wieloskładnikowego na koncie LastPass. Dodaje to dodatkowej warstwy bezpieczeństwa do twojego konta i daje ci większy spokój ducha, że ​​twoje hasła są bezpieczne.

W swoim dzisiejszym oświadczeniu LastPass powiedział: „Wymagamy, aby wszyscy użytkownicy logujący się z nowego urządzenia lub adresu IP najpierw zweryfikowali swoje konto przez e-mail, chyba że masz uwierzytelnianie wieloskładnikowe włączone ”.

Pokazaliśmy Ci, jak to zrobić Włącz uwierzytelnianie dwuskładnikowe LastPass kilka lat temu. Proces jest niezwykle prosty i nie ma lepszego sposobu na zabezpieczenie konta LastPass. Szczerze mówiąc, w dzisiejszym klimacie online włączenie uwierzytelniania dwuskładnikowego naprawdę nie jest już opcjonalne, jeśli chcesz zabezpieczyć swoje konta online. Mówiliśmy o tym dogłębnie tutaj na groovyPost i planujemy skupić się na tym jeszcze bardziej w nadchodzących tygodniach.

Aby włączyć uwierzytelnianie dwuskładnikowe lub wieloskładnikowe w Lastpass, wystarczy przejść do Ustawienia konta> Opcje wieloskładnikowe i wybrać metodę, której chcesz użyć… Google Authenticator jest prawdopodobnie najłatwiejszy.

Istnieją inne usługi użytkowników, którzy mają konto Premium (12 USD rocznie), mogą korzystać z takich jak skanery linii papilarnych i klucze USB.

Aktualizacja 16.06.2015:

Dzisiaj w końcu otrzymałem wiadomość e-mail od LastPass dotyczącą problemu bezpieczeństwa. Jest krótki i nie zawiera o wiele więcej szczegółów niż to, co już wiemy.

Drogi użytkowniku LastPass,

Chcieliśmy poinformować, że niedawno nasz zespół odkrył i natychmiast zablokował podejrzane działania w naszej sieci. Nie zostały zaszyfrowane dane z przechowalni użytkowników, jednak inne dane, w tym adresy e-mail i przypomnienia hasła, zostały naruszone.

Jesteśmy przekonani, że stosowane przez nas algorytmy szyfrowania zapewnią wystarczającą ochronę naszych użytkowników. Aby dodatkowo zapewnić bezpieczeństwo, wymagamy weryfikacji przez e-mail przy logowaniu z nowego urządzenia lub adresu IP i będziemy monitować użytkowników o aktualizację swoich haseł głównych.

Przepraszamy za niedogodności, ale ostatecznie uważamy, że lepiej ochroni to użytkowników LastPass. Dziękujemy za zrozumienie i korzystanie z LastPass.

Pozdrowienia,
Zespół LastPass

Ogólnie rzecz biorąc, nie wydaje się to być powodem do paniki, ponieważ hasła przechowywane w skarbcu są dobrze chronione i nie powinny być narażone na szwank. Jednak zdecydowanie chcesz zmienić swoje hasło główne i włączyć uwierzytelnianie wieloskładnikowe jak najszybciej.