Нам так понравился LastPass, что мы даже назвали его «Лучшим менеджером паролей». Итак, когда некоторое время назад вспыхнула история со взломом, мы все были в состоянии шока. Но значит ли это, что каждый должен отказаться от LastPass и использовать что-то другое? Надежны ли ваши пароли в облаке? Можем ли мы снова доверять компании? Вот что мы пытаемся выяснить.
Не позволяйте им украсть ваши пароли | Шаттерсток
Не паникуйте
Излишне говорить, что это первое, что необходимо сделать. Паника или, что еще хуже, распространение ложной информации через любые средства массовой информации — это просто неправильный способ реагировать на любой кризис. Хотя естественно испытывать страх, читая подобные новости, вы должны понимать, что ненужная паника просто не имеет смысла. В своем блоге LastPass ясно дал понять, и я цитирую:
В нашем расследовании мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные хранилища пользователей или что был получен доступ к учетным записям пользователей LastPass.
Да, это продолжает говорить, что
Однако расследование показало, что адреса электронной почты учетной записи LastPass, напоминания о пароле, соли сервера для каждого пользователя и хэши аутентификации были скомпрометированы.
Но, какие это значит, спросите вы? Проще говоря, это означает, что хотя все ваши пароли в безопасности, другой информации может не быть. Для чего, опять же, в сообщении в блоге уже указано несколько полезных советов.
Да, данные от менеджеров паролей хранятся в облаке, но информация шифруется прямо на вашем компьютере. И хотя архитектура облачных вычислений сопряжена с небольшим риском, вы все равно можете быть спокойны, зная, что все зашифрованные данные никогда не хранятся там. Который включает в себя все ваши пароли.
Полезный совет: Ознакомьтесь с нашим полным руководством по паролям, чтобы узнать все о создании и управлении паролями в Интернете.
Профилактика всегда лучше, чем лечение
Эта старая пословица никогда не может быть более актуальной, чем в наше время интернет-слежения и потери конфиденциальности. Вот несколько шагов, которые вы должны выполнить, когда дело доходит до вашей учетной записи LastPass, чтобы гарантировать, что вы не потеряете сон из-за таких инцидентов.
Изменить мастер-пароль
Чтобы изменить мастер-пароль LastPass, просто нажмите на Настройки, где слева вы найдете раздел настроек учетной записи. Нажав на нее, вы получите возможность Нажмите здесь, чтобы запустить настройки учетной записи как показано ниже.
При нажатии на нее откроется новая вкладка, где все, что вам нужно сделать, это нажать кнопку Изменить мастер-пароль кнопку и перейдите на более новую (и более сильную) альтернативу.
Вот и все, самый важный шаг, который вы должны сделать после этого инцидента!
Двухфакторная аутентификация и другие параметры безопасности
Мы считаем хорошей идеей использовать двухфакторную аутентификацию везде, где это возможно, и особенно в местах, где хранятся конфиденциальные данные. LastPass совершенно правильно предлагает использовать эту услугу, и мы считаем, что вы должны сделать это сразу после смены мастер-пароля. На самом деле, пока вы это делаете, рассмотрите возможность добавления фактора двухэтапной аутентификации ко всем используемым вами службам, которые содержат конфиденциальные данные.
В LastPass вы найдете Многофакторные параметры в настройках учетной записи (см. выше). Здесь вы найдете варианты для дополнительной защиты вашей учетной записи LastPass. Вы также увидите опцию Grid Authentication, о которой мы писали ранее.
Ограничение по стране
Еще один уровень безопасности, который LastPass предлагает своим пользователям изучить, — это политика ограничений в зависимости от страны. После включения это позволит только устройствам из страны вашего проживания получать доступ к вашим данным LastPass. Если устройство из любой другой страны попытается получить к нему доступ, оно покажет сообщение об ошибке. Мы рассмотрели это очень подробно, и вам обязательно следует ее прочитать, если вы еще этого не сделали.
Все еще беспокоитесь?
Не будь. Здесь больше нечего делать. LastPass уже обновил свою систему безопасности и уже предлагает пользователям пройти проверку по электронной почте, если они используют новое устройство или новый IP-адрес. Чтобы убедиться в этом, мы попробовали именно это и были рады сообщить, что этот шаг работает именно так, как рекламируется.
Существующим пользователям также будет предложено изменить свой мастер-пароль, но даже если вы не получите это приглашение, мы настоятельно рекомендуем вам сделать это в любом случае. Наконец, мы хотели бы процитировать Джереми Госни (эксперта по безопасности паролей в Stricture Group), который рассказал Ars Technica о взломе:
На NVIDIA GTX Titan X, который в настоящее время является самым быстрым графическим процессором для взлома паролей, злоумышленник сможет угадать менее 10 000 раз в секунду для одного хэша пароля. Это правильно медленно! Даже слабые пароли достаточно надежны с таким уровнем защиты (если только вы не используете абсурдно слабый пароль). И это даже не учитывает количество итераций на стороне клиента, которое настраивается пользователем. По умолчанию установлено 5 000 итераций, поэтому мы рассматриваем как минимум 105 000 итераций. На самом деле я установил 65 000 итераций, так что всего 165 000 итераций защищают мою парольную фразу Diceware. Так что нет, я определенно не буду париться из-за этого нарушения. Я даже не чувствую необходимости менять мастер-пароль.
На самом деле довольно много членов нашей собственной команды используют этот инструмент, и мы сделали то же самое, о чем говорили выше. И теперь мы хотим распространить знания как можно большему количеству людей.
Хотите попробовать альтернативы?
Ладно, если вы чувствуете, что потеряли веру в LastPass из-за всего этого, то, конечно, всегда есть альтернативы. Если вы готовы вложить немного денег (и часть из них потеряли веру), то всегда есть 1Password. Это та же архитектура и меры безопасности, но Agilebits, компания, стоящая за 1Password, имеет лучший послужной список, чем LastPass. Под этим мы подразумеваем, что он никогда не был взломан. Не сообщается, если быть точнее. Пока что.
Перенесите свои пароли в iOS: Вы можете легко перенести свои данные из LastPass в 1Password для iOS, прочитав нашу полезную статью об этом.
Если вы не хотите ничего тратить, есть бесплатная альтернатива. Он называется KeepPass и тоже с открытым исходным кодом. И мы также написали руководство по переносу ваших паролей LastPass в Keepass.
Несмотря на то, что он не так удобен, как 1Password, если вы хотите поиграть, можно добавить несколько плагинов, чтобы они соответствовали функциональности его платного аналога. Однако это требует некоторого терпения, так что будьте готовы.
Наши 2 цента
Очень легко обвинить компанию и сказать, что они не были осторожны с вашими данными. Но это все равно, что обвинять банки в ограблении. Люди не перестали вкладывать туда свои деньги, и вы также не должны переставать доверять менеджерам паролей только потому, что один из них был взломан.
Мы даже не говорим, что безопасность LastPass была слабой, но им определенно нужно поднапрячься. Это был не первый раз, когда в их системе была обнаружена угроза, но оба раза ничего серьезного не было украдено/потеряно. Они действовали быстро и своевременно уведомляли пользователей и уже решили проблему безопасности, которая привела к этому. Приложив немного больше предосторожности, вы можете обеспечить гораздо более счастливое состояние ума. Если вы можете потратить все это время на размышления о своем банковском балансе, мы уверены, что вы также можете подумать о паролях, которые обеспечивают их безопасность?
