Włamano się do LastPass. Wyciekły hasła (zaszyfrowane)
Na blogu LastPass prezes firmy zamieścił zatrważający komunikat: ktoś włamał się do systemów backupowych LastPass i wykradł stamtąd bazy danych, zawierające loginy i hasła tego po popularnego menedżera haseł. Czy to oznacza, że teraz przestępcy będą się mogli zalogować do naszych usług? Uspokajamy – nie stało się nic strasznego, co nie znaczy, że jesteśmy w pełni bezpieczni.
Zwolenników menedżerów haseł jest tak samo dużo, jak ich przeciwników. Niewątpliwie to idealne rozwiązanie pozwalające zapamiętać loginy i hasła do wszystkich usług, z których korzystamy. A już zwłaszcza wtedy, gdy do każdej usługi mamy inne hasło (zasada jest taka, by nigdy nie używać tego samego hasła w więcej niż jednej usłudze).
Menedżer haseł przechowuje dane albo lokalnie, na dysku użytkownika, albo w chmurze, której operatorem lub administratorem jest dostawca narzędzia. W przypadku pierwszego rozwiązania jesteśmy uwiązani tylko do jednego urządzenia, w przypadku drugiego ryzykujemy wyciek bazy, na który nie mamy żadnego wpływu. To się właśnie stało w przypadku LastPass.
LastPass jest jednym z najpopularniejszych menedżerów haseł. Oczywiście jest on ciągłym celem ataków cyberprzestępców, ale tym razem udało im się przełamać zabezpieczenia i wykraść bazę danych z loginami i hasłami użytkowników.
Hasła LastPass wyciekły. Ale wciąż są praktycznie nie do odszyfrowania
Ale – bez stresu. LastPass przechowuje hasła w postaci zaszyfrowanej niezwykle silnym algorytmem AES-256, którego odszyfrowanie wymaga klucza prywatnego – a ten jest przechowywany wyłącznie po stronie użytkownika i wymaga podania hasła głównego. Danych nie są w stanie odszyfrować nawet sami właściciele LastPass. Hasła są szyfrowane i odszyfrowywane zawsze na urządzeniu klienta – nie po stronie serwera.
Niestety nie wszystkie rekordy w bazie są zaszyfrowane. Przykładowo, adresy URL stron, do których się logujemy, zapisane są otwartym tekstem. Przestępcy znają nasze loginy do LastPass (nie znają hasła) oraz adresy stron, na których się logujemy. Haseł nie znają i nie są w stanie ich odszyfrować – chyba że uda im się poznać Wasze hasło główne.
Jeśli Wasze hasło główne (master password) jest skomplikowane i nigdzie indziej nie było przez Was używane (nie znalazło się w żadnej innej bazie, która wyciekła), możecie być spokojni.
Jeśli jednak jest ryzyko, że przestępcy mogą odgadnąć Wasze hasło, powinniście natychmiast wykonać te dwa kroki:
- Zmieńcie natychmiast hasło główne do LastPass
- Jeśli to możliwe, zmieńcie też hasła do wszystkich usług
Niezależnie od powyższego, zawsze warto aktywować autoryzację dwuskładnikową (2FA) – czyli by prócz loginu i hasła usługa wymagała od Was podania kodu z wiadomości SMS czy z aplikacji autoryzacyjnej (np. Google Authenticator). To zminimalizuje ryzyko włamu na Wasze konto praktycznie do zera.
Dziennikarz komputerowy od 1994 roku. Właściciel i redaktor naczelny portalu ITbiznes; prowadzący magazyn ITbiznes na antenie kanału telewizyjnego Biznes24; gospodarz programu poradnikowego „Cyfrowy Niezbędnik” na antenie kanału telewizyjnego Antena HD; gospodarz podcastów Elektrycznie Tematyczni o samochodach elektrycznych oraz Zrozumieć AI o sztucznej inteligencji. Współprowadzący podcast ITbiznes o technologiach w biznesie. Twórca bloga o pasjach Fabryka Pasji. Założyciel, redaktor naczelny i były właściciel portalu PCLab.pl. Założyciel i były redaktor naczelny serwisów AGDLab.pl, Softonet.pl. Były redaktor naczelny serwisów PC.com.pl i Technowinki.onet.pl.
