החדשות כי אבטחת הרשת של LastPass נפגעה היא כמובן נושא רציני. העובדה שהחברה שנפרצה היא חברה המספקת שירות לניהול סיסמאות מחזקת את הרצינות ברמה - או עשרה. אז למה אני, מישהו שבנה קריירה על כתיבה על אבטחת IT, ולא מושך את השיער שלי על זה? הרבה מעבר לעובדה שאין לי למי למשוך, הפרת LastPass אינה עניין גדול עבור חלקנו כמו אחרים.
לא מצאנו שום ראיות לכך שנלקחו נתוני קמרון משתמשים מוצפנים וגם לא נגשת לחשבונות משתמש של LastPass, אומר לנו דובר LastPass. אז על מה כל המהומה, אתם עשויים לשאול - איפה הסיכון? ובכן זה כפול כפי שאני רואה את זה. ראשית, מכיוון שכתובות דוא'ל ותזכורות סיסמא משויכות נפגעו, הייתי מצפה לראות ניסיונות דיוג ממוקדים בצורה של הודעות מזויפות לאיפוס סיסמה בסיסית. הייתי רוצה לחשוב שלא אפול על אלה.
כיצד להגדיר את המאריך קישור tp - -
באשר לסיכון השני, סיסמאות מאסטר חלשות יהיו כרגע בכפוף לניסיונות פיצוח בכוח, באדיבות מלחי השרת למשתמש ומשתמשים באימות אימות. ככל שמגיעים לניסיונות פיצוח כאלה, העובדה ש- LastPass מחזק את חשיפות האימות הללו עם מלח אקראי וזורק למאה אלף סיבובים נוספים של PBKDF2-SHA256 בצד השרת במידה טובה מקשה על שבירתם. עם זאת, אם סיסמת המאסטר גרועה, היא עדיין תהיה פתוחה להתקפות כוח אכזרי; פשוט ייקח קצת יותר זמן לפצח אותו.
אז LastPass מכריח שינוי בסיסמת סיסמה על רוב המשתמשים, ומבקש אימות דוא'ל ממי שנכנס ממכשיר או מכתובת IP חדשה. עם זאת, לא אשנה את סיסמת המאסטר שלי, וגם לא (בואו נסתכל) כבר 442 יום מכיוון שהיא אקראית, היא מורכבת, היא אורכת יותר מ -25 תווים, היא לא משמשת בשום מקום אחר, ואני יכול לזכור את זה בעל פה. בנוסף, הוא מגובה בשתי מילות הקסם הבאות: אימות מולטיפקטורי.
בּוּם! מבחינתי, כל המאמץ הזה להיכנס לפריפריה של רשת LastPass אינו סתם כי אני משתמש בסיסמת מאסטר חזקה המגובה על ידי אימות מולטיפקטורי. גם אם איכשהו סיסמת המאסטר שלי נפגעה, התוקף יצטרך לגשת אל ה- YubiKey שלי (אסימון פיזי) על מנת לפענח את קמרון הסיסמה שלי. הגדרות מתקדמות אלה חופשיות לשימוש והיו זמינות למשתמשים מזה זמן - בנוסף, אינך צריך לרכוש YubiKey; אתה יכול להשתמש באפליקציה להורדה בחינם, כגון מאמת גוגל, אם תרצה בכך. מדוע לא תשתמש באימות דו-גורמי (2FA) בכל אתר או שירות בו הוא מוצע? לא, ברצינות?
אם כבר מדברים על הגדרות מתקדמות, יש עוד אחת שאני משתמש בה שמספקת לי עוד שכבה של ביטחון בכך שהנתונים שלי יהיו בטוחים באופן סביר עם LastPass, וזה נעילה של גישה גיאוגרפית. אתה יכול להגדיר הגבלות מדינה המאפשרות לך להחליט במדינות מהן ניתן לגשת לכספת הסיסמה שלך. אני שומר את זה נעול לבריטניה אלא אם כן אני נוסע לחו'ל, ובמקרה כזה אני מאפשר את המיקום הספציפי הזה לפני שאני עוזב. אה, ואני גם לא מאפשר כניסה מרשתות Tor. פרנואידית, מוי? לא, פשוט הגיוני לגבי הגבלת הגישה למפתחות האלה לממלכה. כמו שאתה צריך להיות גם.
מה שהכי מדאיג אותי בפשרת LastPass אינו, באופן מוזר, הפשרה עצמה אלא התגובה לה; ובעיקר זו של התקשורת - הן מקצועית והן חברתית. נראה שיש תחושת עונג בסיסית של בעיטה ב- LastPass, והרבה דיווחו לך על דיווחים מסוג זה. אבל מה בדיוק אמרת לנו? מה בדיוק קרה כאן? שום נתוני סיסמאות מוצפנים לא נפגעו ככל שנוכל לראות, ו- LastPass היה די שקוף בחשיפת האירוע והצבת צעדים להבטחת אמון המשתמשים.
מה היו עושים לנו אומרי התקשורת? לחזור לעט ולנייר, או אולי לפתור את זה בעצמך בצורה טכנית יותר? ראיתי את שניהם מוצעים, וגם לא מפחיתים את הסיכון לג'ו הממוצע, אלא להפך. אולי לעבור לספק ניהול סיסמאות אחר? שוב, איך זה עוזר כשאתה לא יודע איך הם יגיבו כאשר - לא אם - הם סובלים מהפרה? לפחות אתה יודע ש- LastPass נמצא על הכדור כשמדובר בתגובת הפרה.
מבחינתי, מנהל סיסמאות נשאר האפשרות המאובטחת ביותר עבור רוב האנשים, ואם אתה עוקב אחר ההובלה שלי ומשלב סיסמת מאסטר חזקה עם אימות מולטיפקטורי וכמה אפשרויות נעילת כניסה, אתה מקטין את הסיכון להתפשר ככל האפשר מבחינה אנושית.
וזאת, קורא יקר, זו הסיבה שאני לא צריך לשנות את סיסמת המאסטר שלי; או מנהל הסיסמאות שלי לצורך העניין.
