Uutinen siitä, että LastPass-verkon tietoturva on vaarantunut, on tietysti vakava asia. Että yritys, jota rikotaan, oli sellainen, joka tarjosi salasananhallintapalvelun, joka nostaa vakavuuden kärjellä - tai kymmenellä. Joten miksi minä, joku, joka on rakentanut uran kirjoittamalla IT-turvallisuudesta, en vedä hiuksiani siitä? Sen lisäksi, että minulla ei ole ketään vetää, LastPass-rikkomus ei ole yhtä iso juttu joillekin meistä kuin toisille.
Emme ole löytäneet todisteita siitä, että salattuja käyttäjätietotietoja olisi otettu tai että LastPass-käyttäjätilejä olisi käytetty, LastPass-tiedottaja kertoo meille. Joten mistä kaikesta on kyse, voit kysyä - missä riski on? No, se on kaksinkertainen, kun näen sen. Ensinnäkin, koska sähköpostiosoitteet ja niihin liittyvät salasanamuistutukset ovat vaarantuneet, odotan nähdä kohdennettuja tietojenkalasteluyrityksiä väärennettyjen pääsalasanan palauttamisviestien muodossa. Haluaisin ajatella, että en lankea niihin.
gmail kuinka lajitella koon mukaan
Mitä tulee toiseen riskiin, heikkoihin pääsalasanoihin kohdistuu tällä hetkellä raakaa voimaa sisältäviä murtamisyrityksiä, palvelinkäyttäjäkohtaisten suolojen ja todennuksen hajautusten saamiseksi. Sikäli kuin tällaiset murtamisyritykset menevät, se, että LastPass vahvistaa näitä todennushajautuksia satunnaisella suolalla ja heittää vielä 100 000 kierrosta palvelinpuolen PBKDF2-SHA256, tekee niiden rikkomisen vaikeammaksi. Jos pääsalasana on huono, se on silti avoin raakavoimien hyökkäyksille; sen murtaminen vie vain vähän enemmän aikaa.
Joten LastPass pakottaa pääsalasanan vaihdon useimmille käyttäjille ja pyytää sähköpostivahvistusta niiltä, jotka kirjautuvat sisään uudelta laitteelta tai IP-osoitteelta. En kuitenkaan vaihda pääsalasanaa, enkä ole (katsotaanpa) 442 päivää, koska se on satunnaista, monimutkaista, yli 25 merkkiä pitkä, sitä ei käytetä missään muualla, ja minä voi muistaa sen pois päältä. Lisäksi sitä tukevat seuraavat kaksi maagista sanaa: monitekijätodennus.
Puomi! Minun mielestäni kaikki ponnistelut päästäksesi LastPass-verkon perifeerialle ovat turhia, koska käytän vahvaa pääsalasanaa, jota tukee monitekijätodennus. Vaikka pääsalasanani olisi jotenkin vaarantunut, hyökkääjän olisi tällöin käytettävä YubiKey-laitettani (fyysinen tunnus) voidakseen purkaa salasanavarastoni. Nämä lisäasetukset ovat ilmaisia käyttää, ja ne ovat olleet käyttäjien käytettävissä jo jonkin aikaa - ja sinun ei tarvitse ostaa YubiKeyä. voit käyttää ilmaiseksi ladattavaa sovellusta, kuten Google Authenticatoria, jos haluat. Miksi et käyttäisi kaksivaiheista todennusta (2FA) missään sivustossa tai palvelussa, jossa sitä tarjotaan? Ei, vakavasti?
Lisäasetuksista puhumalla on toinen, jota käytän ja joka antaa minulle vielä yhden luottamuksen siihen, että tietoni ovat kohtuullisen turvallisia LastPassin kanssa, ja se on maantieteellinen pääsyn esto. Voit asettaa maarajoituksia, joiden avulla voit päättää maista, joista salasanasäilösi pääsee. Pidän tämän lukittuna Yhdistyneeseen kuningaskuntaan, ellet ole matkalla ulkomaille, jolloin sallin kyseisen sijainnin ennen lähtöäni. Voi, enkä salli kirjautumista myös Tor-verkoista. Paranoidi, moi? Ei, vain järkevää rajoittaa pääsyä näihin valtakunnan avaimiin. Kuten sinun pitäisi olla.
LastPass-kompromississa eniten huolestuttaa minua, kumma kyllä, itse kompromissi vaan vastaus siihen; ja erityisesti tiedotusvälineiden - sekä ammatillisen että sosiaalisen. Vaikuttaa siltä, että LastPassin potkiminen on ilahduttavaa, ja paljon kerrottiin sinulle tällaisen tyyppisiä raportteja. Mutta mitä sanoit meille tarkalleen? Mitä täällä on tapahtunut? Mitään salattuja salasanatietoja ei ole vaarantunut niin pitkälle kuin voimme nähdä, ja LastPass on ollut melko läpinäkyvä paljastaessaan tapahtuman ja asettamalla vaiheet käyttäjän luottamuksen turvaamiseksi.
Mitä mediapelaajat tekisivät meidän tekevän? Palaa kynään ja paperiin, tai teknisempi salata se itse ratkaisu? Olen nähnyt molemmat ehdottaneet, eivätkä kumpikaan vähennä keskimääräisen Joen riskiä, itse asiassa päinvastoin. Ehkä siirrytään toiseen salasananhallintapalveluun? Jälleen, kuinka tämä auttaa, kun et tiedä, miten he reagoivat, kun - jos ei - he kärsivät rikkomuksesta? Ainakin tiedät, että LastPass on pallossa, kun on kyse rikkomuksista.
Minulle salasananhallinta on edelleen turvallisin vaihtoehto useimmille ihmisille, ja jos noudatat esimerkkiäni ja yhdistät vahvan pääsalasanan usean tekijän todennukseen ja joihinkin sisäänkirjautumisen estovaihtoehtoihin, vähennät vaarantumisriskiä mahdollisimman paljon.
Ja siksi, rakas lukija, minun ei tarvitse vaihtaa pääsalasanaa. tai salasananhallintaasi.