Ang balita na ang seguridad ng LastPass network ay nakompromiso ay, siyempre, isang seryosong isyu. Na ang kumpanya na nilabag ay isa na nagbibigay ng isang serbisyo sa pamamahala ng password na nakakakuha ng kabigatan ng isang bingaw - o sampu. Kaya't bakit ako, isang taong nagtayo ng isang karera sa pagsusulat tungkol sa seguridad ng IT, na hindi hinuhugot ang aking buhok tungkol dito? Higit pa sa katotohanan na wala akong mahihila, ang paglabag sa LastPass ay hindi gaanong malaking deal para sa ilan sa atin tulad ng para sa iba.
Wala kaming nahanap na katibayan na ang naka-encrypt na data ng vault ng gumagamit ay kinuha ni na na-access ang mga account ng gumagamit ng LastPass, sinabi sa amin ng tagapagsalita ng LastPass. Kaya tungkol saan ang pinagkakaguluhan, maaari mong tanungin - saan ang panganib? Sa gayon ito ay dalawa sa nakikita ko ito. Una, dahil nakompromiso ang mga email address at nauugnay na mga paalala ng password, inaasahan kong makita ang mga naka-target na pagtatangka sa phishing sa anyo ng mga pekeng mensahe ng master-password-reset. Gusto kong isipin na hindi ako mahuhulog sa mga iyon.
kung paano tanggalin ang iyong spotify account
Tulad ng para sa ikalawang peligro, ang mga mahihinang master password ay kasalukuyang sasailalim sa malupit na mga pagtatangka sa pag-crack, sa kabutihang loob ng mga server ng per-user na asin at mga hash ng pagpapatotoo na na-access. Hangga't napupunta ang naturang mga pagtatangka sa pag-crack, ang katotohanan na pinalalakas ng LastPass ang mga hash ng pagpapatotoo na may isang random na asin at nagtatapon ng karagdagang 100,000 bilog ng server-side PBKDF2-SHA256 para sa mahusay na panukala ay ginagawang mas mahirap upang masira ang mga ito. Gayunpaman, kung ang master password ay mahirap pagkatapos ay magiging bukas pa rin ito sa mga pag-atake ng malupit na puwersa; kakailanganin lamang ng kaunti pang oras upang ma-crack ito.
Kaya't pinipilit ng LastPass ang isang pagbabago ng master password sa karamihan ng mga gumagamit, at humihingi ng pag-verify sa email mula sa mga nag-log in mula sa isang bagong aparato o IP address. Gayunpaman, hindi ko binabago ang aking master password, ni ako (tingnan natin) sa loob ng 442 araw ngayon dahil ito ay random, kumplikado, mahigit sa 25 character ang haba, hindi ito ginagamit kahit saan pa, at ako maaaring maalala ito sa pamamagitan ng puso. Bilang karagdagan, nai-back up ito ng sumusunod na dalawang mga salitang mahika: pagpapatotoo ng multifactor.
Boom! Hanggang sa nababahala ako, ang lahat ng pagsisikap na makapunta sa paligid ng network ng LastPass ay para sa wala dahil gumagamit ako ng isang malakas na password ng master na nai-back up ng pagpapatotoo ng multifactor. Kahit na ang aking master password ay nakompromiso sa anumang paraan, kailangang i-access ng magsasalakay ang aking YubiKey (isang pisikal na token) upang mai-decrypt ang aking vault ng password. Ang mga advanced na setting na ito ay malayang gamitin at magagamit sa mga gumagamit nang matagal - plus, hindi mo kailangang bumili ng YubiKey; maaari kang gumamit ng isang libreng-to-download na app tulad ng Google Authenticator kung nais mo. Bakit hindi mo gagamitin ang two-factor authentication (2FA) sa anumang site o serbisyo kung saan ito inaalok? Hindi, seryoso?
Pakikipag-usap sa mga advanced na setting, mayroong isa pang ginagamit kong nagbibigay sa akin ng isa pang layer ng kumpiyansa sa aking data na ligtas na ligtas sa LastPass, at iyon ay isang lockdown na pang-heograpiya. Maaari mong itakda ang mga paghihigpit sa bansa na nagbibigay-daan sa iyo upang magpasya ang mga bansa kung saan maaaring ma-access ang iyong vault ng password. Itinago ko ito sa UK maliban kung naglalakbay ako sa ibang bansa, kung saan pinapagana ko ang tukoy na lokasyon na iyon bago ako umalis. Ay, at hindi ko rin pinapayagan ang mga pag-log in mula sa mga Tor network. Paranoid, moi? Hindi, makatuwiran lamang tungkol sa paghihigpit sa pag-access sa mga susi sa kaharian. Tulad ng dapat mong maging.
Ang pinaka nag-aalala sa akin tungkol sa kompromiso ng LastPass ay hindi, kakatwa, ang kompromiso mismo ngunit ang tugon dito; at lalo na ang media - kapwa propesyonal at panlipunan. Tila mayroong isang napapailalim na pakiramdam ng kasiyahan na kinuha sa pagsipa sa LastPass, at maraming sinabi sa iyo ng pag-uulat na may ganitong uri. Ngunit ano ang eksaktong sinabi mo sa amin? Ano nga ba ang eksaktong nangyari dito? Walang naka-encrypt na data ng password na nakompromiso hanggang sa nakikita namin, at ang LastPass ay medyo naging malinaw sa pagsisiwalat ng kaganapan at paglalagay ng mga hakbang sa lugar upang mas matiyak ang kumpiyansa ng gumagamit.
Ano ang ipagawa sa amin ng mga naysayer ng media? Bumalik sa panulat at papel, o isang mas teknikal na naka-encrypt ito mismo sa iyong solusyon? Nakita ko ang parehong iminungkahing, at hindi binawasan ang panganib para sa average na Joe, kabaligtaran lamang sa katunayan. Maaaring lumipat sa ibang tagapagbigay ng pamamahala ng password? Muli, paano ito makakatulong kung hindi mo alam kung paano sila tutugon kung kailan - hindi kung - nagdurusa sila? Hindi bababa sa alam mo na ang LastPass ay nasa bola pagdating sa paglabag sa tugon.
Para sa akin, ang isang manager ng password ay mananatiling pinaka-ligtas na pagpipilian para sa karamihan ng mga tao, at kung susundin mo ang aking lead at pagsamahin ang isang malakas na master password na may pagpapatotoo ng multifactor at ilang mga pagpipilian sa pag-lock ng pag-login, binawasan mo ang peligro ng kompromiso hangga't maaari ng makatao.
At iyon, mahal na mambabasa, ang dahilan kung bakit hindi ko kailangang baguhin ang aking master password; o ang aking manager ng password para sa bagay na iyon.