Jeśli kiedykolwiek korzystałeś z LastPass, powinieneś teraz zmienić wszystkie swoje hasła

Jeśli kiedykolwiek korzystałeś z LastPass, powinieneś teraz zmienić wszystkie swoje hasła
Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską. Czytaj więcej.

Dane osobowe i skarbce haseł zawierające dane logowania milionów użytkowników są teraz w rękach przestępców. Jeśli kiedykolwiek korzystałeś z menedżera haseł LastPass, powinieneś teraz zmienić wszystkie swoje hasła do wszystkiego. I powinieneś natychmiast podjąć dalsze środki, aby się chronić.





Co się stało podczas naruszenia danych LastPass w 2022 r.?

metalowy dom zamknięty na kłódkę

LastPass to usługa zarządzania hasłami, która działa w modelu „freemium”. Użytkownicy mogą przechowywać wszystkie swoje hasła i loginy do usług online za pomocą LastPass i uzyskiwać do nich dostęp za pośrednictwem interfejsu internetowego, dodatków do przeglądarki i dedykowanych aplikacji na smartfony.



Hasła są przechowywane w „skarbcach”, które są chronione jednym hasłem głównym.





jak zmienić dpi w gimp

W sierpniu 2022 r. LastPass ogłosił, że przestępcy wykorzystali przejęte konto programisty, aby uzyskać dostęp do środowiska programistycznego LastPass, kodu źródłowego i informacji technicznych.

Dalsze szczegóły zostały ujawnione w listopadzie 2022 r., kiedy LastPass dodał, że niektóre dane klientów zostały ujawnione.



Prawdziwa dotkliwość naruszenia została ujawniona 22 grudnia, kiedy a Wpis na blogu LastPass zauważył, że przestępcy wykorzystali część informacji uzyskanych podczas wcześniejszego ataku do kradzieży kopii zapasowych danych, w tym nazw klientów, adresów i numerów telefonów, adresów e-mail, adresów IP i częściowych numerów kart kredytowych. Ponadto udało im się ukraść skarbce haseł użytkowników zawierające niezaszyfrowane adresy URL i nazwy witryn, a także zaszyfrowane nazwy użytkowników i hasła.

Czy przestępcom trudno jest złamać hasło główne LastPass?

Teoretycznie tak, hakerzy powinni mieć trudności ze złamaniem hasła głównego. W poście na blogu LastPass zauważono, że jeśli użyjesz ich domyślnych zalecanych ustawień, „odgadnięcie hasła głównego za pomocą ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat”.



Czy system Windows może czytać rozszerzony system Mac?

LastPass wymaga, aby hasło główne składało się z co najmniej 12 znaków i zaleca, aby „nigdy nie używać ponownie hasła głównego na innych stronach internetowych”.

Jednak LastPass jest wyjątkowy wśród usług zarządzania hasłami, ponieważ pozwala użytkownikom ustawić podpowiedź do hasła, aby przypomnieć im o swoim haśle głównym w przypadku jego utraty.



W efekcie zachęca to użytkowników do używania słów i wyrażeń ze słownika jako części hasła, zamiast prawdziwie losowego silnego hasła. Żadna wskazówka do hasła nie pomoże, jeśli hasło to „lVoT=.N]4CmU”.

Magazyny haseł LastPass są już od jakiegoś czasu w rękach przestępców i mimo że są zaszyfrowane, w końcu być obiektem ataków brute-force .

Atakujący będą mieli łatwiejszą pracę dzięki istnieniu ogromnych baz danych powszechnie używanych haseł. Możesz pobrać listę haseł o pojemności 17 GB zawierającą 613 milionów najpopularniejszych haseł zostałem ukarany , na przykład. Inne listy haseł i poświadczeń są dostępne w ciemnej sieci.

Wypróbowanie każdego z pół miliarda najczęściej używanych kluczy w pojedynczym skarbcu zajęłoby kilka minut i chociaż stosunkowo niewiele wymagałoby 12 znaków, cyberprzestępcy prawdopodobnie będą w stanie łatwo włamać się do znacznej części skarbców.

Dodajmy do tego fakt, że moc obliczeniowa rośnie z roku na rok, a zmotywowani przestępcy mogą korzystać z sieci rozproszonych, aby wspomóc ten wysiłek; „miliony lat” nie wydaje się wykonalne dla większości rachunków.

Czy naruszenie LastPass wpływa tylko na hasła?

haker uruchamiający kod

Podczas gdy nagłówki wiadomości są takie, że przestępcy mogą poświęcić swój czas na włamanie się do twojego skarbca LastPass, mogą cię wykorzystać na inne sposoby, używając twojego imienia i nazwiska, adresu, numeru telefonu, adresu e-mail, adresu IP i częściowego numeru karty kredytowej.

Mogą one być wykorzystywane do wielu niecnych celów, w tym ataki typu spearphishing wymierzone w Ciebie i Twoje kontakty , kradzież tożsamości, zaciąganie kredytów i pożyczek na swoje nazwisko oraz ataki typu SIM swap.

Jak możesz się chronić po naruszeniu danych LastPass?

Należy założyć, że w ciągu kilku lat Twoje hasło główne zostanie naruszone, a wszystkie zawarte w nim hasła będą znane przestępcom. Powinieneś je teraz zmienić i używać unikalnych haseł, których nigdy wcześniej nie używałeś i których nie ma na żadnej z powszechnie używanych list haseł.

jak blokować numery na androidach

W odniesieniu do innych przestępców danych uzyskanych z LastPass, powinieneś zamrozić swój kredyt i zaangażuj usługę monitorowania kredytu w celu monitorowania wszelkich nowych wniosków o wydanie karty lub pożyczki w Twoim imieniu. Jeśli możesz zmienić numer telefonu bez większych niedogodności, też powinieneś to zrobić.

Weź odpowiedzialność za własne bezpieczeństwo

Łatwo obwiniać LastPass za naruszenia danych, które spowodowały, że twoje skarbce haseł i dane osobowe wpadły w ręce przestępców, ale usługi zarządzania hasłami, które zabezpieczają twoje życie i pomagają generować unikalne kombinacje, są nadal najlepszym sposobem na zabezpieczenie twojego życia online.

Jednym ze sposobów na utrudnienie potencjalnym złodziejom zdobycia ważnych danych jest hostowanie menedżera haseł na własnym sprzęcie. Jest to tanie, łatwe do wykonania, a niektóre rozwiązania, takie jak VaultWarden, można nawet wdrożyć na Raspberry Pi Zero.