Huling na-hack: narito ang kailangan mong gawin

Mahal na mahal namin ang LastPass kaya't talagang tinawag namin itong The Best Password Manager. Kaya, kapag ang kuwento ng hack ay sumabog ng isang oras na ang nakaraan, lahat tayo ay nasa isang estado ng pagkabigla. Ngunit, nangangahulugan ba ito na nararapat na matakpan ng lahat ang LastPass at gumamit ng iba pa? Ligtas ba ang iyong mga password sa ulap? Maaari ba tayong magtiwala muli sa kumpanya? Iyon ang sinusubukan nating malaman.

Huwag Panic

Hindi na kailangang sabihin, ito ang unang bagay na kailangang gawin. Ang panicking, o mas masahol pa, ang pagkalat ng maling impormasyon sa pamamagitan ng anumang daluyan, ay hindi lamang ang tamang paraan upang tumugon sa anumang krisis. Habang natural na nakakaramdam ng takot kapag nagbasa ka ng isang balita tulad nito, dapat mong mapagtanto na ang hindi kinakailangang gulat ay hindi nagsisilbi ng anumang layunin. Sa kanilang blog post, nilinaw ito ng LastPass, at binanggit ko,

Sa aming pagsisiyasat, wala kaming nakitang ebidensya na nakuha ang naka-encrypt na data ng vault ng gumagamit, o na-access din ang mga account sa gumagamit ng LastPass.

Oo, nagpapatuloy ito upang sabihin iyon

Ang pagsisiyasat ay ipinakita, gayunpaman, na ang mga email sa email ng LastPass account, mga paalala ng password, server bawat gumagamit ng asin, at mga hashes sa pagpapatotoo ay nakompromiso.

Ngunit, ano ang ibig sabihin nito, tatanungin mo? Sa simpleng sinabi, nangangahulugan ito na ligtas ang lahat ng iyong mga password, maaaring hindi iba pang impormasyon. Para sa kung saan, muli, ang blog post ay nakasaad ng ilang mga kapaki-pakinabang na tip.

Oo, ang data mula sa mga tagapamahala ng password ay naka-imbak sa ulap, ngunit ang impormasyon ay naka-encrypt mismo sa iyong computer. At kahit na ang arkitektura ng cloud computing ay nagsasangkot ng isang bahagyang panganib, maaari mo pa ring magpahinga ng madali alam na ang lahat ng naka-encrypt na data ay hindi naka-imbak doon. Na kasama ang lahat ng iyong mga password.

Nakatutulong na Tip: Suriin ang aming Ultimate Guide sa mga password upang malaman ang lahat tungkol sa paglikha at pamamahala ng mga password sa internet.

Ang Pag-iwas ay Laging Mas mahusay kaysa sa Pagalingin

Ang dating adage na ito ay hindi kailanman maaaring maging mas nauugnay kaysa sa mga panahong ito ng pag-agaw sa internet at pagkawala ng privacy. Narito ang ilang mga hakbang na dapat mong sundin pagdating sa iyong LastPass account, upang matiyak na hindi mo mawawala ang iyong pagtulog sa mga nasabing insidente.

Baguhin ang Master Password

Upang mabago ang Master Password ng LastPass, i-click lamang sa Mga Kagustuhan, kung saan makikita mo ang seksyon ng mga setting ng Account sa kaliwa. Ang pag-click na magbibigay sa iyo ng pagpipilian upang Mag - click dito upang ilunsad ang mga setting ng account tulad ng ipinakita sa ibaba.

Ang pag-click na magbubukas ng isang bagong tab, kung saan kailangan mo lang gawin ay pindutin ang pindutan ng Change Master Password at pumunta para sa isang mas bago (at mas malakas) na kahalili.

Iyon lang, ang pinakamahalagang hakbang na dapat mong gawin pagkatapos maganap ang insidente na ito!

2-Factor Authentication at Iba pang Mga Pagpipilian sa Seguridad

Nararamdaman namin na isang magandang ideya na gamitin ang 2-Factor Authentication kung saan posible, at lalo na sa mga lugar kung saan naka-imbak ang sensitibong data. Ang LastPass ay ganap na tama sa pagmumungkahi ng paggamit ng serbisyong ito at sa tingin namin ay dapat mong gawin ito kaagad, matapos mabago ang iyong master password. Sa katunayan, habang naroroon ka, isaalang-alang ang pagdaragdag ng 2-Step Authentication Factor sa lahat ng mga serbisyo na ginagamit mo na may hawak na sensitibong data.

Sa LastPass, makakakita ka ng Mga Pagpipilian sa Multifactor sa Mga Setting ng Account (tingnan sa itaas). Dito makikita mo ang mga pagpipilian upang mas ma-secure ang iyong LastPass account. Makakakita ka rin ng pagpipilian ng Grid Authentication na isinulat namin tungkol sa dati.

Pagbabawal na nakabatay sa Bansa

Ang isa pang layer ng seguridad na hinihimok ng LastPass sa mga gumagamit nito upang galugarin ay ang patakaran sa paghihigpit na batay sa bansa. Kapag pinagana, mapapagana lamang nito ang mga aparato na nagmula sa bansa ng iyong tirahan upang ma-access ang iyong data ng LastPass. Kung ang isang aparato mula sa anumang ibang bansa ay sumusubok na ma-access ito, magpapakita sila ng isang mensahe ng error. Nasobrahan namin ito nang mas detalyado at dapat mo talaga itong basahin, kung wala ka pa.

Nag-aalala pa rin?

Huwag maging. Wala nang magagawa dito. Na-update na ng LastPass ang kanilang seguridad at sinenyasan na ang mga gumagamit na mapatunayan sa pamamagitan ng email, kung gumagamit sila ng isang bagong aparato o isang bagong IP. Upang mapatunayan ito, sinubukan namin lamang iyon at masaya kaming nag-ulat na ang hakbang na ito ay gumagana tulad ng nai-advertise.

Ang mga umiiral na mga gumagamit ay sinenyasan din na baguhin ang kanilang Master Password, ngunit kahit na hindi mo makuha ang agarang iyon, hinihimok ka namin na gawin mo pa rin. Panghuli, nais naming quote ni Jeremi Gosney (isang dalubhasa sa seguridad ng password sa Stricture Group) na nagsalita sa Ars Technica tungkol sa hack -

Sa isang NVIDIA GTX Titan X, na kung saan ay kasalukuyang pinakamabilis na GPU para sa pag-crack ng password, ang isang magsasalakay ay makakagawa lamang ng mas kaunti sa 10, 000 hula bawat segundo para sa isang solong password. Iyon ay tamang mabagal! Kahit na ang mga mahina na password ay medyo ligtas sa antas ng proteksyon na iyon (maliban kung gumagamit ka ng isang hindi wastong mahina na password.) At hindi kahit na ang account para sa bilang ng mga pag-aalsa ng kliyente, na kung saan ay mai-configure ng gumagamit. Ang default ay 5, 000 mga iterasyon, kaya sa isang minimum na tinitingnan namin ang 105, 000 iterations. Tunay na mayroon akong minahan sa 65, 000 mga iterasyon, kaya iyon ay isang kabuuang 165, 000 mga iterations na nagpoprotekta sa aking Diceware passphrase. Kaya hindi, siguradong hindi ko pinapawisan ang paglabag na ito. Hindi ko din napilitang baguhin ang aking master password.

Sa katunayan, kakaunti ng mga miyembro ng aming sariling koponan ang gumagamit ng tool at nagawa namin nang eksakto ang parehong mga bagay na sinabi namin sa itaas. At ngayon nais naming maikalat ang kaalaman sa maraming tao hangga't maaari.

Nais bang Subukang Mga Alternatibo?

Okay, kung sa tingin mo na nawalan ka ng pananampalataya sa LastPass dahil sa lahat ng ito, pagkatapos siyempre, palaging may mga kahalili. Kung handa kang mamuhunan ng kaunting pera (at ilan sa nawalang pananampalataya) pagkatapos ay palaging mayroong 1Password. Ito ay ang parehong mga arkitektura at panukala sa seguridad sa paglalaro, ngunit ang Agilebits, ang kumpanya sa likod ng 1Password, ay may mas mahusay na record ng track kaysa sa LastPass. Sa pamamagitan nito, nangangahulugan kami na hindi ito kailanman na-hack. Hindi naiulat, upang maging mas tumpak. Pa.

Ilipat ang Iyong Mga Password sa iOS: Madaling ilipat ang iyong data mula sa LastPass sa 1Password para sa iOS, sa sandaling mabasa mo ang aming kapaki-pakinabang na artikulo tungkol dito.

Kung ayaw mong gumastos ng anupaman, pagkatapos ay mayroong isang libreng alternatibo. Ito ay tinatawag na KeepPass at bukas din itong mapagkukunan. At sumulat din kami ng isang gabay upang mailipat ang iyong mga LastPass password sa Keepass.

Kahit na hindi ito maginhawa bilang 1Password, kung handa kang maglaro sa paligid, ang ilang mga plugin ay maaaring maidagdag upang tumugma sa pag-andar ng bayad na peer. Gayunman, nangangailangan ng kaunting pasensya.

Ang aming 2 Cents

Napakadaling sisihin ang isang kumpanya at sabihin na hindi sila maingat sa iyong data. Ngunit kasing ganda ng pagsisi sa mga bangko kapag may nakawan. Ang mga tao ay hindi tumigil sa paglalagay ng kanilang pera doon at hindi mo dapat ihinto ang pagtitiwala sa mga tagapamahala ng password, dahil lamang na ang isa ay na-hack.

Hindi rin namin sinasabi na ang seguridad ay lax sa bahagi ng LastPass, ngunit tiyak na kailangan nilang hilahin ang kanilang mga medyas. Hindi ito ang unang pagkakataon na ang isang pagbabanta ay nakita sa kanilang system, ngunit sa parehong oras walang pangunahing ninakaw / nawala. Sila ay kumilos nang mabilis at kaagad na ipagbigay-alam sa mga gumagamit at na-deal sa isyu ng seguridad na hahantong sa ito. Sa pamamagitan ng isang maliit na higit pang pag-iingat sa iyong sarili, masisiguro mo ang isang mas maligayang estado ng pag-iisip. Kung maaari mong gastusin ang lahat ng oras sa pag-iisip tungkol sa iyong balanse sa bangko, natitiyak namin na maaari kang mag-ekstrang ilang mga saloobin para sa mga password na nagpapanatiling ligtas din?