Zprávy o ohrožení zabezpečení sítě LastPass jsou samozřejmě vážným problémem. Že společnost, která byla porušena, byla ta, která poskytuje službu správy hesel, zvyšuje závažnost o stupeň - nebo deset. Proč tedy já, někdo, kdo si vybudoval kariéru na psaní o bezpečnosti IT, a nevytahoval mi z toho vlasy? Kromě toho, že nemám za koho tahat, není porušení LastPass pro některé z nás tak velké řešení, jako pro ostatní.
Nenašli jsme žádné důkazy o tom, že byla pořízena data šifrovaného uživatelského trezoru ani o tom, že byly přistupovány uživatelské účty LastPass, říká nám mluvčí LastPass. Takže o co jde, můžete se zeptat - kde je riziko? Jak vidím, je to dvojnásobné. Zaprvé, protože byly prolomeny e-mailové adresy a související připomenutí hesla, očekával bych, že uvidím cílené pokusy o phishing ve formě falešných zpráv o obnovení hlavního hesla. Chtěl bych si myslet, že bych pro ně nespadl.
jak automaticky mazat e-maily v Gmailu
Pokud jde o druhé riziko, slabá hlavní hesla budou v současné době vystavena pokusům o prolomení hrubou silou, s laskavým svolením přístupu jednotlivých uživatelů na server a hash autentizace. Pokud jde o takové pokusy o prolomení, skutečnost, že LastPass posiluje tyto ověřovací hashe náhodnou solí a hodí pro další opatření dalších 100 000 kol PBKDF2-SHA256 na straně serveru, je těžší je zlomit. Pokud je však hlavní heslo špatné, bude i nadále přístupné útokům hrubou silou; bude to trvat jen trochu více času, než to prolomíte.
LastPass tedy u většiny uživatelů vynucuje změnu hlavního hesla a požaduje ověření e-mailu od těch, kteří se přihlašují z nového zařízení nebo adresy IP. Nebudu však měnit své hlavní heslo, ani jsem (podívejme se) na 442 dní, protože je to náhodné, složité, má více než 25 znaků, nepoužívá se nikde jinde a já si to pamatuje zpaměti. Navíc je podpořena následujícími dvěma kouzelnými slovy: vícefaktorové ověřování.
Výložník! Pokud jde o mě, veškerá ta snaha dostat se na periferii sítě LastPass není k ničemu, protože používám silné hlavní heslo zálohované vícefaktorovou autentizací. I kdyby moje hlavní heslo bylo nějakým způsobem prolomeno, útočník by pak musel přistupovat k mému YubiKey (fyzický token), aby mohl dešifrovat svůj trezor hesla. Tato pokročilá nastavení jsou zdarma a jsou uživatelům k dispozici již nějakou dobu - navíc nemusíte kupovat YubiKey; můžete použít bezplatnou aplikaci ke stažení, například Google Authenticator, pokud chcete. Proč byste nepoužili dvoufaktorové ověřování (2FA) na žádném webu nebo ve službě, kde jsou nabízeny? Ne vážně?
Když mluvíme o pokročilých nastaveních, používám ještě další, které mi poskytuje ještě další vrstvu důvěry v to, že moje data jsou s LastPass přiměřeně bezpečná, a to je uzamčení geografického přístupu. Můžete nastavit omezení zemí, která vám umožní rozhodnout, ze kterých zemí bude přístup k vašemu trezoru hesel možný. Pokud necestuji do zahraničí, nechávám to uzamčené ve Velké Británii. V takovém případě povolím konkrétní místo před odletem. A také nepovoluji přihlášení ze sítí Tor. Paranoidní, moi? Ne, rozumné je omezit přístup k těm klíčům od království. Jak byste měli být.
Co mě na kompromisu LastPass nejvíce znepokojuje, není kupodivu samotný kompromis, ale reakce na něj; a zejména médií - profesionálních i sociálních. Zdá se, že v kopání do LastPassu je skrytý pocit potěšení, a spousta vám řekla zprávy takového typu. Ale co přesně jsi nám řekl? Co přesně se tu stalo? Pokud vidíme, nebyla ohrožena žádná zašifrovaná data hesla a LastPass byl docela transparentní při zveřejňování události a zavádění kroků k dalšímu zabezpečení důvěry uživatelů.
Co by nás nechali udělat mediální nezbedníci? Vrátit se k peru a papíru, nebo techničtější šifrování sami řešení možná? Viděl jsem, jak oba navrhli, a ani jeden nesnižuje riziko pro průměrného Joea, právě naopak. Možná přejít k jinému poskytovateli správy hesel? Jak to opět pomůže, když nevíte, jak by reagovali, když - ne pokud - utrpí porušení? Přinejmenším víte, že LastPass je na místě, pokud jde o reakci na narušení.
Správce hesel pro mě zůstává pro většinu lidí nejbezpečnější volbou a pokud budete následovat mého příkladu a zkombinujete silné hlavní heslo s vícefaktorovým ověřováním a některými možnostmi uzamčení přihlášení, snížíte riziko kompromisu, jak je to lidsky možné.
A proto, milý čtenáři, nepotřebuji měnit své hlavní heslo; nebo můj správce hesel.
