LastPass נפרץ: שנה את סיסמת המאסטר שלך, אפשר אימות מולטי-פקטור

LastPass פרסמה היום הודעת אבטחה בבלוג שלה והודיעה למשתמשים כי השרתים שלה נפרצו וכמה נתונים נגנבו. להלן מבט על מה שאמר LastPass, כיצד לשנות את סיסמת המאסטר שלך ולאפשר אימות מולטי-פאקטור במידה טובה.

LastPass פרוץ

ב פוסט בבלוג, LastPass מסרה כמה פרטים מוגבלים על מה שקרה:

אנו רוצים להודיע ​​לקהילה שלנו כי ביום שישי הצוות שלנו גילה וחסם פעילות חשודה ברשת שלנו. בחקירתנו לא מצאנו הוכחות לכך שנלקחו נתוני כספת משתמשים מוצפנים, ולא ניתן היה לגשת לחשבונות משתמש של LastPass. עם זאת, החקירה הראתה שכתובות דוא"ל של חשבון LastPass, תזכורות לסיסמאות, מלחים של שרת למשתמש, וערכי אימות.

אנו בטוחים כי אמצעי ההצפנה שלנו מספיקים כדי להגן על הרוב המכריע של המשתמשים. LastPass מחזק את חשיפת האימות באמצעות מלח אקראי ו 100,000 סיבובים של PBKDF2-SHA256 בצד השרת, בנוסף לסיבובים שבוצעו בצד הלקוח. חיזוק נוסף זה מקשה על תקיפת החשיש הגנוב במהירות מהותית.

החברה גם אמרה, "אנו דורשים שכל המשתמשים אשר נכנסים למכשיר או מכתובת IP חדשה יאמתו תחילה את חשבונם באמצעות דוא"ל, אלא אם כן תפעיל את אימות המפעל. כאמצעי זהירות נוסף, אנו נבקש מהמשתמשים לעדכן את סיסמת האב שלהם. "

דבר שמרגיז עבור רבים מהמשתמשים הוא שהם מגלים על חדשות אלה באתרים. כפי שאמרה החברה גם בפוסט שלה כי דוא"ל נשלח לכל המשתמשים על אירוע האבטחה. בזמן כתיבת שורות אלה, לא קיבלתי תגובה זו, ועל פי מבט ההערות בבלוג LastPass, לא היו לי הרבה משתמשים אחרים.

שנה את סיסמת המאסטר שלך ל- LastPass

כדי לשנות את סיסמת האב שלך ולחץ על הגדרות חשבון מהחלונית הימנית.

ואז בחלון הגדרות החשבון לחץ על שנה סיסמת אב בקטע אישורי כניסה.

זה יביא אותך לדף איפוס הסיסמה שבו אתה יכול פשוט לעקוב אחר ההוראות שעל המסך כדי לשנות את סיסמת האב שלך. במהלך התהליך, LastPass יצפין מחדש את הכל, וישלח אליך דוא"ל אימות ששנית את המאסטר.

אפשר אימות MultiFactor עבור LastPass

תוך כדי העניין, אנו ממליצים שתאפשר אימות רב-גורמי עבור חשבון LastPass שלך. זה מוסיף שכבה נוספת של אבטחה לחשבונך ויעניק לך שקט נפשי רב יותר שהסיסמאות שלך מאובטחות.

בהצהרתה היום, אמרה LastPass: "אנו דורשים שכל המשתמשים אשר נכנסים למכשיר או מכתובת IP חדשה יאמתו תחילה את חשבונם בדוא"ל, אלא אם כן יש לך אימות רב-פקטורי מופעל. "

הראינו לכם כיצד אפשר אימות של גורמים אחרונים לפני כמה שנים. התהליך הוא פשוט ביותר ואין דרך טובה יותר לאבטח את חשבון LastPass שלך. בכנות, באקלים המקוון שיש לנו כיום, הפעלת אימות של שני גורמים זה כבר לא אופציונלי אם ברצונך לשמור על חשבונותיך המקוונים. דיברנו על כך לעומק כאן ב groovyPost ואנחנו מתכננים להתמקד בזה אפילו יותר בשבועות הקרובים.

כדי לאפשר אימות של שני גורמים או מולטי-פאקטורים ב- Lastpass, פשוט התחל לבצע הגדרות חשבון> אפשרויות Multifactor ובחר את השיטה בה ברצונך להשתמש... המאמת של גוגל הוא כנראה הקל ביותר.

ישנם שירותים אחרים שמשתמשים שיש להם חשבון פרימיום (12 $ לשנה) יכולים להשתמש בהם כמו סורקי הדפסת אצבעות ומפתחות USB.

עדכון 6/16/2015:

היום קיבלתי סוף סוף דוא"ל מ- LastPass בנושא נושא האבטחה. זה קצר ולא נותן פירוט רב יותר ממה שאנחנו כבר יודעים.

משתמש LastPass היקר,

רצינו להתריע בפניכם כי לאחרונה הצוות שלנו גילה וחסם מיד פעילות חשודה ברשת שלנו. לא צולמו נתוני כספת משתמשים מוצפנים, אולם נתונים אחרים, כולל כתובות דוא"ל ותזכורות סיסמאות, לא נפגעו.

אנו בטוחים שאלגוריתמי ההצפנה בהם אנו משתמשים יגנו על המשתמשים שלנו במידה מספקת. כדי להבטיח עוד יותר את ביטחונך, אנו דורשים אימות באמצעות דואר אלקטרוני בעת כניסה ממכשיר או כתובת IP חדשים, ונבקש מהמשתמשים לעדכן את סיסמאות האב שלהם.

אנו מתנצלים על אי הנוחות, אך בסופו של דבר אנו מאמינים שזה יגן טוב יותר על משתמשי LastPass. תודה על ההבנה שלך ועל השימוש ב- LastPass.

בברכה,
צוות LastPass

בסך הכל, לא נראה כי הדבר נבהל מכיוון שהסיסמאות המאוחסנות בכספת שלך מוגנות היטב ולא היו צריכות להיפגע. עם זאת, בהחלט תרצו לשנות את סיסמת האב שלכם ולאפשר אימות Multifactor בהקדם האפשרי.