Вест да је угрожена безбедност мреже ЛастПасс је, наравно, озбиљно питање. Да је компанија која је проваљена била она која пружа услугу управљања лозинком, повећала је озбиљност за само један ниво - или десет. Па зашто ја, неко ко је каријеру изградио пишући о ИТ безбедности, а да се због тога не чупам? Изнад чињенице да немам за кога да се натежем, кршење ЛастПасс-а није толико велика ствар за неке од нас као за друге.
Нисмо пронашли доказе да су узети шифровани подаци трезора корисника нити да је приступано корисничким налозима ЛастПасс-а, каже нам портпарол ЛастПасс-а. Па, у чему је ствар, можете се запитати - где је ризик? Па, двојако је како ја видим. Прво, пошто су угрожене адресе е-поште и повезани подсетници за лозинке, очекивао бих да ћу видети циљане покушаје крађе идентитета у облику лажних порука за ресетовање главне лозинке. Волео бих да мислим да не бих пао на њих.
како сс ћаскати а да они то не знају
Што се тиче другог ризика, слабе главне лозинке тренутно ће бити подвргнуте покушајима грубе силе пробијања, љубазношћу сервера по кориснику и приступним хешовима за потврду идентитета. Што се тиче таквих покушаја пробијања, чињеница да ЛастПасс појачава та хеширања за потврду идентитета насумичном сољу и баца додатних 100.000 рунди ПБКДФ2-СХА256 на серверу на добар начин, чини их тежим разбијањем. Међутим, ако је главна лозинка лоша, она ће и даље бити отворена за грубе нападе; само ће требати мало више времена да га разбијемо.
Дакле, ЛастПасс већини корисника намеће промену главне лозинке и тражи верификацију е-поште од оних који се пријаве са новог уређаја или ИП адресе. Међутим, нећу мењати главну лозинку, нити сам је (погледајмо) већ 442 дана, јер је случајна, сложена, дуга је више од 25 знакова, не користи се нигде другде и могу то упамтити напамет. Поред тога, поткрепљен је са следеће две чаробне речи: вишефакторска аутентификација.
Бум! Што се мене тиче, сав тај напор да се уђе на периферију мреже ЛастПасс је узалудан, јер користим јаку главну лозинку која је подржана вишефакторском аутентификацијом. Чак и да је моја главна лозинка некако угрожена, нападач би тада морао да приступи мом ИубиКеи-у (физичком токену) да би дешифровао трезор мојих лозинки. Ова напредна подешавања су бесплатна за употребу и доступна су корисницима већ неко време - уз то не морате да купујете ИубиКеи; ако желите, можете да користите бесплатну апликацију за преузимање, као што је Гоогле Аутхентицатор. Зашто не бисте користили двофакторску потврду идентитета (2ФА) на било којој веб локацији или услузи где се она нуди? Не озбиљно?
Кад смо код напредних подешавања, постоји још једно које користим и које ми пружа још један ниво поверења у то да су моји подаци разумно сигурни са ЛастПасс-ом, а то је закључавање географског приступа. Можете поставити ограничења за земљу која вам омогућавају да одлучите из којих земаља ће се моћи приступити вашем трезору лозинки. Држим ово закључано у Великој Британији, осим ако не путујем у иностранство, у том случају омогућим ту одређену локацију пре него што одем. Ох, и не дозвољавам пријављивање са Тор мрежа. Параноичан, мои? Не, разумно је ограничити приступ тим кључевима краљевства. Као што бисте и ви требали бити.
Оно што ме највише брине у вези са ЛастПассовим компромисом није, колико је чудно, сам компромис већ одговор на њега; а посебно медија - како професионалних тако и друштвених. Чини се да постоји основни осећај одушевљења када се удара ЛастПасс-ом, а много тога вам је речено о таквом извештавању. Али шта сте нам тачно рекли? Шта се тачно овде догодило? Ни један шифровани податак о лозинки није угрожен колико видимо, а ЛастПасс је био прилично транспарентан у обелодањивању догађаја и постављању корака како би се додатно обезбедило поверење корисника.
Шта би медији медијски нерадници радили? Вратите се на оловку и папир или их можда техничко шифрирајте сами? Видела сам и једно и друго, а ни једно ни друго не смањује ризик за просечног Џоа, заправо управо супротно. Можда прећи на другог добављача за управљање лозинком? Опет, како то помаже када не знате како би реаговали кад - не ако - претрпе кршење? Барем знате да је ЛастПасс на удару када је у питању одговор на пробој.
За мене је менаџер лозинки најсигурнија опција за већину људи, а ако следите моје смернице и комбинујете јаку главну лозинку са вишефакторском потврдом идентитета и неким опцијама закључавања пријаве, смањујете ризик од компромиса онолико колико је то могуће у људском погледу.
И то је, драги читаоче, разлог зашто не морам да мењам главну лозинку; или мој менаџер лозинки.