ข่าวที่ว่าการรักษาความปลอดภัยเครือข่าย LastPass ถูกบุกรุกแน่นอนว่าเป็นปัญหาที่ร้ายแรง บริษัท ที่ถูกละเมิดเป็น บริษัท ที่ให้บริการจัดการรหัสผ่านเพิ่มความร้ายแรงโดยการบากหรือสิบ แล้วทำไมฉันถึงเป็นคนที่สร้างอาชีพเกี่ยวกับการเขียนเกี่ยวกับความปลอดภัยด้านไอทีถึงไม่ดึงผมออกไปเกี่ยวกับเรื่องนี้? นอกเหนือจากความจริงที่ว่าฉันไม่มีใครจะฉุดรั้งการละเมิด LastPass ไม่ใช่เรื่องใหญ่สำหรับพวกเราบางคนเหมือนกับที่คนอื่น ๆ เห็น
เราไม่พบหลักฐานว่ามีการใช้ข้อมูลห้องนิรภัยของผู้ใช้ที่เข้ารหัสหรือไม่มีการเข้าถึงบัญชีผู้ใช้ LastPass โฆษกของ LastPass บอกเรา เอะอะอะไรก็ถามได้ - ความเสี่ยงอยู่ที่ไหน มันเป็นสองเท่าอย่างที่ฉันเห็น อันดับแรกเนื่องจากที่อยู่อีเมลและการแจ้งเตือนรหัสผ่านที่เกี่ยวข้องถูกบุกรุกฉันคาดว่าจะเห็นการพยายามฟิชชิงที่กำหนดเป้าหมายในรูปแบบของข้อความรีเซ็ตรหัสผ่านหลักปลอม ฉันอยากจะคิดว่าฉันจะไม่ตกหลุมรักสิ่งเหล่านั้น
วิธีดูสิ่งที่อยากได้ไอน้ำของใครบางคน
สำหรับความเสี่ยงประการที่สองในปัจจุบันรหัสผ่านหลักที่อ่อนแอจะถูกพยายามถอดรหัสโดยใช้กำลังอย่างรุนแรงโดยได้รับความอนุเคราะห์จากเกลือของเซิร์ฟเวอร์ต่อผู้ใช้และการเข้าถึงแฮชการตรวจสอบสิทธิ์ เท่าที่ความพยายามในการแคร็กดังกล่าวเกิดขึ้นความจริงที่ว่า LastPass เพิ่มความแข็งแกร่งให้กับแฮชการตรวจสอบสิทธิ์เหล่านั้นด้วยเกลือแบบสุ่มและพ่น PBKDF2-SHA256 ฝั่งเซิร์ฟเวอร์เพิ่มเติมอีก 100,000 รอบเพื่อการวัดที่ดีทำให้ยากต่อการทำลาย อย่างไรก็ตามหากรหัสผ่านหลักไม่ดีรหัสผ่านจะยังคงเปิดให้ใช้การโจมตีแบบเดรัจฉาน จะต้องใช้เวลาอีกสักหน่อยกว่าจะแตก
LastPass จึงบังคับให้เปลี่ยนรหัสผ่านหลักสำหรับผู้ใช้ส่วนใหญ่และขอการยืนยันอีเมลจากผู้ที่เข้าสู่ระบบจากอุปกรณ์ใหม่หรือที่อยู่ IP อย่างไรก็ตามฉันจะไม่เปลี่ยนรหัสผ่านหลักของฉันหรือฉัน (ลองดู) เป็นเวลา 442 วันในตอนนี้เพราะมันเป็นแบบสุ่มมันซับซ้อนมีความยาวมากกว่า 25 ตัวอักษรมันไม่ได้ใช้ที่อื่นและฉัน จำมันได้ด้วยหัวใจ นอกจากนี้ยังได้รับการสำรองข้อมูลด้วยคำวิเศษสองคำต่อไปนี้: การตรวจสอบสิทธิ์แบบหลายปัจจัย
ตูม! เท่าที่ฉันกังวลความพยายามทั้งหมดในการเข้าถึงรอบนอกของเครือข่าย LastPass นั้นไม่มีประโยชน์อะไรเพราะฉันใช้รหัสผ่านหลักที่คาดเดายากซึ่งสำรองไว้โดยการตรวจสอบสิทธิ์แบบหลายปัจจัย แม้ว่ารหัสผ่านหลักของฉันจะถูกบุกรุก แต่ผู้โจมตีจะต้องเข้าถึง YubiKey ของฉัน (โทเค็นทางกายภาพ) ของฉันเพื่อถอดรหัสห้องนิรภัยรหัสผ่านของฉัน การตั้งค่าขั้นสูงเหล่านี้ใช้งานได้ฟรีและพร้อมให้ผู้ใช้ใช้งานมาระยะหนึ่งแล้วนอกจากนี้คุณยังไม่ต้องซื้อ YubiKey อีกด้วย คุณสามารถใช้แอปดาวน์โหลดฟรีเช่น Google Authenticator ได้หากต้องการ เหตุใดคุณจึงไม่ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ที่ไซต์หรือบริการใด ๆ ที่มีให้บริการ ไม่จริงจัง?
เมื่อพูดถึงการตั้งค่าขั้นสูงแล้วยังมีอีกสิ่งหนึ่งที่ฉันใช้ซึ่งให้ความมั่นใจอีกชั้นหนึ่งว่าข้อมูลของฉันปลอดภัยพอสมควรกับ LastPass และนั่นคือการปิดกั้นการเข้าถึงทางภูมิศาสตร์ คุณสามารถตั้งค่าข้อ จำกัด ของประเทศที่ช่วยให้คุณสามารถเลือกประเทศที่จะเข้าถึงห้องเก็บรหัสผ่านของคุณได้ ฉันเก็บเรื่องนี้ไว้ที่สหราชอาณาจักรเว้นแต่ฉันจะเดินทางไปต่างประเทศซึ่งในกรณีนี้ฉันจะเปิดใช้งานสถานที่เฉพาะนั้นก่อนที่ฉันจะออกเดินทาง อ้อฉันไม่อนุญาตให้ล็อกอินจากเครือข่าย Tor ด้วย หวาดระแวงมอย? ไม่เพียงแค่มีเหตุผลเกี่ยวกับการ จำกัด การเข้าถึงกุญแจเหล่านั้นของอาณาจักร อย่างที่คุณควรจะเป็นด้วย.
สิ่งที่ทำให้ฉันกังวลมากที่สุดเกี่ยวกับการประนีประนอม LastPass ไม่ได้ผิดปกติเพียงพอการประนีประนอม แต่เป็นการตอบสนองต่อมัน และโดยเฉพาะอย่างยิ่งสื่อ - ทั้งมืออาชีพและสังคม ดูเหมือนว่าจะมีความรู้สึกยินดีเป็นอย่างยิ่งในการเตะ LastPass และมีการรายงานมากมายที่บอกคุณ แต่คุณบอกอะไรเรา? เกิดอะไรขึ้นที่นี่? ไม่มีการบุกรุกข้อมูลรหัสผ่านที่เข้ารหัสอย่างที่เราเห็นและ LastPass ค่อนข้างโปร่งใสในการเปิดเผยเหตุการณ์และวางขั้นตอนต่างๆเพื่อเพิ่มความมั่นใจให้กับผู้ใช้
พวกเราจะทำอะไรให้กับคนที่ไม่ชอบสื่อ? เปลี่ยนกลับไปใช้ปากกาและกระดาษหรืออาจใช้วิธีการเข้ารหัสทางเทคนิคมากขึ้นด้วยตัวคุณเอง? ฉันได้เห็นทั้งสองข้อเสนอแนะและไม่ได้ลดความเสี่ยงสำหรับค่าเฉลี่ย Joe แต่ตรงกันข้ามในความเป็นจริง อาจจะย้ายไปยังผู้ให้บริการจัดการรหัสผ่านรายอื่น? อีกครั้งวิธีนี้จะช่วยได้อย่างไรเมื่อคุณไม่รู้ว่าพวกเขาจะตอบสนองอย่างไรเมื่อใดไม่ใช่ว่าพวกเขาประสบกับการละเมิด อย่างน้อยคุณก็รู้ว่า LastPass อยู่บนลูกบอลเมื่อมีการตอบสนองต่อการละเมิด
สำหรับฉันตัวจัดการรหัสผ่านยังคงเป็นตัวเลือกที่ปลอดภัยที่สุดสำหรับคนส่วนใหญ่และหากคุณทำตามผู้นำของฉันและรวมรหัสผ่านหลักที่รัดกุมเข้ากับการตรวจสอบสิทธิ์แบบหลายปัจจัยและตัวเลือกการล็อกการเข้าสู่ระบบบางอย่างคุณจะลดความเสี่ยงจากการบุกรุกได้มากที่สุดเท่าที่จะเป็นไปได้
และนั่นคือเหตุผลที่ฉันไม่จำเป็นต้องเปลี่ยนรหัสผ่านหลักของฉัน หรือผู้จัดการรหัสผ่านของฉันสำหรับเรื่องนั้น