LastPass взломан: измените свой главный пароль, включите многофакторную аутентификацию

LastPass сегодня опубликовал уведомление о безопасности в своем блоге, сообщающее пользователям, что его серверы были взломаны, а некоторые данные были украдены. Вот посмотрим, что сказал LastPass, как изменить свой мастер-пароль и включить многофакторную аутентификацию для хорошей меры.

LastPass взломан

В Сообщение блогаLastPass дал некоторые ограниченные подробности о том, что произошло:

Мы хотим уведомить наше сообщество, что в пятницу наша команда обнаружила и заблокировала подозрительную активность в нашей сети. В ходе нашего расследования мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные хранилища пользователей или что к учетным записям пользователей LastPass обращались. Однако расследование показало, что адреса электронной почты учетной записи LastPass, напоминания пароля, количество серверов на пользователя и хэши аутентификации были скомпрометированы.

Мы уверены, что наши меры шифрования достаточны для защиты подавляющего большинства пользователей. LastPass усиливает хэш аутентификации случайной солью и 100 000 раундов на стороне сервера PBKDF2-SHA256, в дополнение к раундам, выполняемым на стороне клиента. Это дополнительное усиление затрудняет атаку украденных хэшей со значительной скоростью.

Компания также заявила: «Мы требуем, чтобы все пользователи, которые входят в систему с нового устройства или IP-адреса, сначала проверили свою учетную запись по электронной почте, если у вас не включена многофакторная аутентификация. В качестве дополнительной меры предосторожности мы также будем предлагать пользователям обновить свой главный пароль ».

Одна вещь, которая довольно раздражает многих пользователей, это то, что они находят эти новости на сайтах. В сообщении компании также говорится, что всем пользователям рассылаются электронные письма об инциденте с безопасностью. На момент написания статьи я не получил ни одного, и, судя по комментариям в блоге LastPass, ни у кого нет других пользователей.

Изменить мастер-пароль LastPass

Чтобы изменить мастер-пароль, нажмите «Настройки учетной записи» на левой панели.

Затем в окне «Настройки учетной записи» нажмите «Изменить главный пароль» в разделе «Учетные данные для входа».

Это приведет вас на страницу сброса пароля, где вы можете просто следовать инструкциям на экране, чтобы изменить свой мастер-пароль. В ходе этого процесса LastPass повторно зашифрует все и отправит вам подтверждение по электронной почте, что вы сменили мастер.

Включить многофакторную аутентификацию для LastPass

Пока вы это делаете, мы рекомендуем вам включить многофакторную аутентификацию для вашей учетной записи LastPass. Это добавляет дополнительный уровень безопасности к вашей учетной записи, и даст вам больше уверенности, что ваши пароли в безопасности.

В своем сегодняшнем заявлении LastPass сказал: «Мы требуем, чтобы все пользователи, которые входят в систему с нового устройства или IP-адреса, сначала подтвердили свою учетную запись по электронной почте, если у вас нет многофакторная аутентификация включено «.

Мы показали вам, как Включить двухфакторную аутентификацию LastPass пару лет назад. Процесс очень прост, и нет лучшего способа защитить вашу учетную запись LastPass. Честно говоря, в сегодняшней онлайн-среде включение двухфакторной аутентификации больше не является обязательным, если вы хотите обеспечить безопасность своих учетных записей в Интернете. Мы говорили об этом подробно здесь, в groovyPost, и мы планируем сосредоточиться на этом еще больше в ближайшие недели.

Чтобы включить двухфакторную или многофакторную аутентификацию в Lastpass, просто перейдите в «Настройки учетной записи»> «Многофакторные параметры» и выберите метод, который вы хотите использовать... Google Authenticator, вероятно, самый простой.

Существуют и другие сервисы, которые пользователи с премиум-аккаунтом ($ 12 / год) могут использовать как сканеры отпечатков пальцев и USB-ключи.

Обновление 16.06.2015:

Сегодня я наконец получил письмо от LastPass о проблеме безопасности. Это коротко и не дает намного больше деталей, чем то, что мы уже знаем.

Уважаемый пользователь LastPass!

Мы хотели предупредить вас, что недавно наша команда обнаружила и немедленно заблокировала подозрительную активность в нашей сети. Зашифрованные данные хранилища пользователей не были взяты, однако другие данные, включая адреса электронной почты и напоминания пароля, были скомпрометированы.

Мы уверены, что используемые нами алгоритмы шифрования в достаточной степени защитят наших пользователей. Чтобы дополнительно обеспечить вашу безопасность, мы требуем проверки по электронной почте при входе с нового устройства или IP-адреса и будем предлагать пользователям обновить свои мастер-пароли.

Мы приносим извинения за неудобства, но в конечном итоге мы считаем, что это будет лучше защищать пользователей LastPass. Спасибо за ваше понимание и за использование LastPass.

С Уважением,
Команда LastPass

В целом, это не то, чтобы паниковать, так как пароли, хранящиеся в вашем хранилище, хорошо защищены и не должны были быть скомпрометированы. Тем не менее, вы определенно захотите изменить свой мастер-пароль и включить многофакторную аутентификацию как можно скорее.