A hír, hogy a LastPass hálózati biztonságát veszélyeztették, természetesen komoly kérdés. Az, hogy a megsértett vállalat jelszókezelő szolgáltatást nyújt, egy vagy tíz fokozattal felruházza a komolyságot. Akkor miért vagyok én, aki karriert építettem az informatikai biztonságról írva, és nem húztam ki a hajamat emiatt? Jóval azon túl, hogy nincs senkim, akit rángathatnék, a LastPass megsértése néhányunk számára nem akkora probléma, mint másoknak.
Nem találtunk semmilyen bizonyítékot sem arra, hogy titkosított felhasználói tároló adatokat vittek volna, sem hogy a LastPass felhasználói fiókokhoz férnének hozzá - mondja el a LastPass szóvivője. Tehát mi a nagy felhajtás, megkérdezheti - hol van a kockázat? Nos ez kettős, ahogy látom. Először is, mivel az e-mail címek és a hozzájuk tartozó jelszóra vonatkozó emlékeztetők sérültek, célzott adathalász kísérleteket várnék hamis fő-jelszó-visszaállító üzenetek formájában. Szeretném azt gondolni, hogy nem esnék ezeknek.
ne hagyja abba a spotify-t az indítási ablakokban
Ami a második kockázatot illeti, a gyenge master jelszavakra jelenleg durva erőszakos próbálkozások vonatkoznak, a kiszolgáló felhasználónkénti sóinak jóvoltából és a hitelesítési hashok elérésével. Ami az ilyen feltörési kísérleteket illeti, az a tény, hogy a LastPass véletlenszerű sóval erősíti ezeket a hitelesítési hash-okat, és további 100 000 forduló szerveroldali PBKDF2-SHA256-ot dob be jó intézkedésként, megnehezíti a törésüket. Ha azonban a fő jelszó gyenge, akkor az továbbra is nyers erőszakos támadásokra lesz nyitva; csak egy kicsit több időbe telik a feltörése.
A LastPass tehát a legtöbb felhasználóra kényszeríti a mesterjelszó megváltoztatását, és e-mail igazolást kér azoktól, akik új eszközről vagy IP-címről jelentkeznek be. Nem fogom azonban megváltoztatni a fő jelszavamat, és nem is (nézzük meg) 442 napja, mert véletlenszerű, összetett, több mint 25 karakter hosszú, sehol máshol nem használják, és én fejből emlékezhet rá. Ezenkívül a következő két varázsszó alátámasztja: többtényezős hitelesítés.
Bumm! Ami engem illet, semmi erőfeszítés, hogy bejuthassak a LastPass hálózat perifériájába, semmit sem jelent, mert erős, többtényezős hitelesítéssel alátámasztott fő jelszót használok. Még akkor is, ha a fő jelszavamat valamiképpen veszélyeztetnék, a támadónak hozzá kell férnie a YubiKey-hez (egy fizikai tokenhez) a jelszó tároló visszafejtéséhez. Ezek a speciális beállítások ingyenesen használhatók, és egy ideje elérhetőek a felhasználók számára - ráadásul nem kell YubiKey-t vásárolnia; használhat egy ingyenesen letölthető alkalmazást, például a Google Authenticator programot, ha úgy tetszik. Miért ne használna kétfaktoros hitelesítést (2FA) bármely olyan webhelyen vagy szolgáltatásban, ahol azt kínálják? Nem komolyan?
A haladó beállításokról szólva van egy másik, amelyet használok, ami újabb bizalmat biztosít számomra abban, hogy az adataim ésszerűen biztonságban vannak a LastPass használatával, és ez egy földrajzi hozzáférésű zárolás. Beállíthat olyan országkorlátozásokat, amelyek lehetővé teszik annak eldöntését, hogy mely országokból érhető el a jelszótároló. Ezt csak az Egyesült Királyságban tartom, kivéve, ha külföldre utazom, ebben az esetben engedélyezem az adott helyet, mielőtt elindulok. Ja, és a Tor hálózatokból sem engedélyezem a bejelentkezést. Paranoid, moi? Nem, csak ésszerű a királyság kulcsaihoz való hozzáférés korlátozása. Ahogy neked is kellene lennie.
Ami engem a LastPass kompromisszum miatt aggaszt a legjobban, nem furcsa módon maga a kompromisszum, hanem az erre adott válasz; és különösen a médiaé - mind szakmai, mind társadalmi. Úgy tűnik, hogy a LastPass felrúgása mögött örömöt éreznek, és rengeteg ilyen jellegű beszámolót mondtak neked. De pontosan mit mondtál nekünk? Mi történt pontosan itt? Semmilyen titkosított jelszóadat nem sérült, amennyire láthatjuk, és a LastPass elég átlátható volt az esemény nyilvánosságra hozatala és a felhasználók bizalmának további biztosítása érdekében tett lépések meghozatalakor.
Mit tennének a médiafenntartók? Visszatérés a tollra és a papírra, vagy esetleg egy technikaibb titkosítás maga a megoldás? Láttam mindkét javaslatot, és egyikük sem csökkenti az átlagos Joe kockázatát, sőt az ellenkezője. Esetleg másik jelszókezelő szolgáltatóhoz költözik? Ismét, hogyan segít ez, ha nem tudja, hogyan reagálnának, ha - ha nem - megsértik? Legalább tudod, hogy a LastPass a labdán van, amikor a szabálysértési válaszról van szó.
Számomra a jelszókezelő marad a legbiztonságosabb lehetőség a legtöbb ember számára, és ha követi a példámat, és ötvözi az erős fő jelszót a többtényezős hitelesítéssel és néhány bejelentkezési zárolási lehetőséggel, akkor a lehető legkevésbé csökkenti a kompromisszum kockázatát.
És ezért, kedves olvasó, ezért nem kell megváltoztatnom a fő jelszavamat; vagy a jelszókezelőm.