LastPass hakkeroitu: Vaihda pääsalasanasi, ota monitoimitunnistus käyttöön

LastPass julkaisi tänään blogissaan tietoturvailmoituksen, joka kertoi käyttäjille, että sen palvelimet olivat hakkeroitu ja osa tietoja varastettu. Tässä on katsaus siihen, mitä LastPass sanoi, kuinka muuttaa pääsalasanasi ja ottaa Monitoimitunnistus käyttöön hyväksi.

LastPass hakkeroitu

Jonkin sisällä blogipostaus, LastPass antoi joitain rajoitettuja tietoja tapahtumista:

Haluamme ilmoittaa yhteisöllemme, että tiimimme löysi perjantaina epäilyttävän toiminnan verkossa ja esti sen. Tutkimuksissamme emme ole löytäneet todisteita siitä, että salattuja käyttäjän holvitietoja olisi otettu tai että LastPass-käyttäjätileihin olisi päästy. Tutkimus on kuitenkin osoittanut, että LastPass-tilin sähköpostiosoitteet, salasanamuistutukset, palvelimen käyttäjäkohtaiset suolat ja todennus hashit ovat vaarantuneet.

Olemme varmoja, että salaustoimenpiteemme riittävät suojelemaan valtaosaa käyttäjistä. LastPass vahvistaa todennus hashia satunnaisella suolalla ja 100 000 kierroksella palvelinpuolen PBKDF2-SHA256, suoritettujen kierrosten lisäksi asiakaspuolella. Tämä lisävahvistus vaikeuttaa hyökkäystä varastettuihin hashiin merkittävällä nopeudella.

Yhtiö sanoi myös: ”Vaadimme, että kaikki käyttäjät, jotka kirjautuvat sisään uudesta laitteesta tai IP-osoitteesta, tarkistavat ensin tilinsä sähköpostitse, paitsi jos monitoimitunnistus on käytössä. Lisävarotoimenpiteenä pyydämme käyttäjiä päivittämään isäntäsalasanansa. ”

Yksi asia, joka ärsyttää paljon käyttäjiä, on se, että he löytävät uutisia verkkosivustoilla. Kuten yritys sanoi myös viestissään, että kaikille käyttäjille lähetetään sähköpostiviestejä turvavälikohtauksesta. Tätä kirjoitettaessa en ole saanut sellaista, ja LastPass-blogin kommenttien perusteella minulla ei ole paljon muita käyttäjiä.

Vaihda LastPass-pääsalasanasi

Voit vaihtaa pääsalasanasi ja napsauttamalla vasemmasta ruudusta Tilin asetukset.

Napsauta sitten Tilin asetukset -ikkunassa Kirjaudu sisäänkirjautumistiedot -osiossa Vaihda pääsalasana.

Siirryt salasanan palautussivulle, jolla voit yksinkertaisesti seurata näytön ohjeita vaihtaaksesi pääsalasanasi. Prosessin aikana LastPass salaa kaiken uudelleen ja lähettää sinulle vahvistussähköpostin, jonka olet vaihtanut isäntään.

Ota MultiPactor-todennus käyttöön LastPassille

Suosittelemme, että kun käytät sitä, ota monitekijäinen todennus käyttöön LastPass-tililläsi. Se lisää tilillesi ylimääräisen suojauskerroksen ja antaa sinulle enemmän mielenrauhaa siitä, että salasanasi ovat turvallisia.

LastPass sanoi tänään antamassaan lausunnossa: ”Vaadimme, että kaikki käyttäjät, jotka kirjautuvat sisään uudesta laitteesta tai IP-osoitteesta, tarkistavat tilinsä ensin sähköpostitse, ellei sinulla ole monitekijäinen todennus käytössä.”

Näytimme sinulle kuinka Ota käyttöön LastPass-kaksitekijän todennus muutama vuosi sitten. Prosessi on erittäin yksinkertainen, eikä ole parempaa tapaa suojata LastPass-tiliäsi. Rehellisesti sanottuna nykyisessä online-ilmapiirissä kahden tekijän todennuksen mahdollistaminen ei todellakaan ole enää valinnaista, jos haluat pitää online-tilisi turvassa. Olemme puhuneet tästä perusteellisesti täällä groovyPostissa ja aiomme keskittyä tähän entistä enemmän tulevina viikkoina.

Jos haluat ottaa käyttöön kaksikerroisen tai monikerroksisen todennuksen Lastpassissa, siirry vain Tiliasetukset> Monitekijä-asetukset ja valitse käytettävä menetelmä… Google Authenticator on luultavasti helpoin.

On myös muita palveluita, joilla on Premium-tili (12 dollaria / vuosi), kuten sormenjälkiskannerit ja USB-avaimet.

Päivitys 16.6.2015:

Tänään sain viimeinkin sähköposti LastPassilta tietoturvaongelmasta. Se on lyhyt eikä anna paljon yksityiskohtaisempaa kuin mitä me jo tiedämme.

Hyvä LastPass-käyttäjä,

Halusimme ilmoittaa sinulle, että äskettäin ryhmämme löysi ja epäonnistui välittömästi epäilyttävät toimet verkossamme. Salattuja käyttäjän holvitietoja ei otettu, mutta muut tiedot, kuten sähköpostiosoitteet ja salasanamuistutukset, olivat vaarantuneet.

Luotamme siihen, että käyttämämme salausalgoritmit suojaavat käyttäjiä riittävästi. Turvallisuuden lisäämiseksi vaadimme vahvistusta sähköpostitse, kun kirjaudut sisään uudesta laitteesta tai IP-osoitteesta, ja pyydämme käyttäjiä päivittämään pääsalasanansa.

Pahoittelemme häiriöitä, mutta uskomme lopulta, että tämä suojaa paremmin LastPass-käyttäjiä. Kiitos ymmärryksestäsi ja LastPassin käytöstä.

Terveiset,
LastPass-tiimi

Kaiken kaikkiaan tämä ei näytä olevan mitään paniikkia, koska holviin tallennetut salasanat ovat hyvin suojattuja, eikä niitä olisi pitänyt vaarantaa. Haluat kuitenkin ehdottomasti vaihtaa pääsalasanasi ja ottaa monitoimitunnistuksen käyttöön mahdollisimman pian.