Vijest da je ugrožena sigurnost mreže LastPass je, naravno, ozbiljan problem. Tvrtka koja je probijena bila je ona koja pruža uslugu upravljanja lozinkom, što je ozbiljno povećalo za jedan stupanj - ili deset. Pa zašto ja, netko tko je karijeru izgradio pišući o IT sigurnosti, ne čupajući kosu zbog toga? Iznad činjenice da nemam za koga navlačiti, kršenje LastPass-a nije toliko velika stvar za neke od nas kao za druge.
Nismo pronašli dokaze da su uzeti šifrirani podaci trezora korisnika niti da je pristupano korisničkim računima LastPass-a, kaže nam glasnogovornik LastPass-a. Dakle, u čemu je sva frka, možete se zapitati - gdje je rizik? Pa dvojako je kako ja vidim. Prvo, budući da su ugrožene adrese e-pošte i pridruženi podsjetnici na lozinke, očekivao bih da ću vidjeti ciljane pokušaje krađe identiteta u obliku lažnih poruka za resetiranje glavne lozinke. Volio bih misliti da ne bih pao na to.
ne mogu prenijeti datoteke na Google pogon
Što se tiče drugog rizika, slabe glavne lozinke trenutno će biti podvrgnute pokušajima grube sile probijanja, zahvaljujući usluzi poslužitelja po korisniku i pristupu hešovima provjere autentičnosti. Što se tiče takvih pokušaja probijanja, činjenica da LastPass ojačava ta hash-a za provjeru autentičnosti nasumičnom soli i ubacuje dodatnih 100 000 krugova PBKDF2-SHA256 na poslužitelju za dobru mjeru, čini ih težim razbijanjem. Međutim, ako je glavna lozinka loša, ona će i dalje biti otvorena za grube napade; trebat će samo malo više vremena da ga raspuknete.
Tako LastPass većini korisnika prisiljava na promjenu glavne lozinke i traži provjeru e-pošte od onih koji se prijave s novog uređaja ili IP adrese. Međutim, neću mijenjati glavnu lozinku, niti sam je (pogledajmo) već 442 dana, jer je slučajna, složena, duga je više od 25 znakova, ne koristi se nigdje drugdje, a ja mogu to zapamtiti napamet. Uz to, podržane su sljedeće dvije čarobne riječi: višefaktorska autentifikacija.
Bum! Što se mene tiče, sav taj napor da se uđe na periferiju mreže LastPass nije ni za što, jer koristim snažnu glavnu lozinku potkrijepljenu višefaktorskom autentifikacijom. Čak i da je moja glavna lozinka nekako ugrožena, napadač bi tada morao pristupiti mom YubiKeyu (fizičkom tokenu) kako bi dešifrirao trezor lozinke. Ove napredne postavke su besplatne i dostupne su korisnicima već neko vrijeme - uz to ne morate kupiti YubiKey; ako želite, možete koristiti besplatnu aplikaciju za preuzimanje, kao što je Google Authenticator. Zašto ne biste upotrebljavali dvofaktorsku provjeru autentičnosti (2FA) na bilo kojem web mjestu ili usluzi na kojoj se nudi? Ne ozbiljno?
Kad smo kod naprednih postavki, postoji još jedna koju koristim i koja mi pruža još jedan nivo povjerenja u to da su moji podaci razumno sigurni s LastPassom, a to je geografsko zaključavanje. Možete postaviti ograničenja za zemlju koja vam omogućavaju da odlučite iz kojih će zemalja biti dostupan vaš trezor lozinki. Držim ovo zaključano u Velikoj Britaniji, osim ako ne putujem u inozemstvo, u tom slučaju omogućim to određeno mjesto prije nego što odem. Oh, a ni ja ne dopuštam prijave s Tor mreža. Paranoičan, moi? Ne, samo je razumno ograničiti pristup tim ključevima kraljevstva. Kao što biste i vi trebali biti.
Ono što me najviše brine u vezi s LastPassovim kompromisom, nije čudno, sam kompromis već odgovor na njega; a posebno medija - kako profesionalnih tako i društvenih. Čini se da postoji temeljni osjećaj oduševljenja kada se udara nogom LastPass, a puno vam je toga rečeno. Ali što ste nam točno rekli? Što se točno ovdje dogodilo? Niti jedan šifrirani podatak o lozinki nije ugrožen koliko vidimo, a LastPass je bio prilično transparentan u otkrivanju događaja i postavljanju koraka kako bi se dodatno osiguralo povjerenje korisnika.
Što bi radili medijski zlobnici? Vratiti se na olovku i papir ili možda tehničko šifriranje, možda? Vidio sam kako sugeriraju, a niti smanjuju rizik za prosječnog Joea, već upravo suprotno. Možda se prebaciti na drugog davatelja usluga upravljanja lozinkom? Opet, kako to pomaže kad ne znate kako bi reagirali kad - ne ako - pretrpe kršenje? Barem znate da je LastPass na udaru kada je u pitanju odgovor na proboj.
Za mene je upravitelj lozinki najsigurnija opcija za većinu ljudi, a ako slijedite moje smjernice i kombinirate snažnu glavnu lozinku s višefaktorskom provjerom autentičnosti i nekim mogućnostima zaključavanja prijave, smanjujete rizik od kompromisa onoliko koliko je to moguće u ljudskom pogledu.
I to je, dragi čitatelju, razlog zašto ne trebam mijenjati glavnu lozinku; ili moj upravitelj lozinki.
