Nie, LastPass nie ujawnia twoich haseł

Kiedy o to zapytano LastPass został zhakowany, Czy twoje serce tonie? Czy kiedykolwiek wyobrażałeś sobie, że wszystkie Twoje konta i hasła zostały przejęte przez przypadkowych hakerów? Jeśli tak, mam dobrą wiadomość: Twoje hasła są bezpieczne. Żadna witryna, która musi śledzić naruszone informacje o klientach, nie jest specjalnym iw pełni zaszyfrowanym skarbcem, w którym przechowywane są Twoje hasła.


Co więc zostało skradzione podczas naruszenia LastPass?

Pomyśl o swoim skarbcu haseł jak o bankowym sejfie pełnym kosztowności. Kradzież pudełka może być katastrofalna. Obecny hack przypomina zrobienie zdjęcia, gdy wchodzisz do banku. Istnieją pewne zagrożenia dla Twojej prywatności, ale żadne dla przechowywanych kosztowności.

Ważne jest, aby odróżnić kod, który generuje witrynę LastPass, od zaszyfrowanej bazy danych, w której przechowywane są hasła. Witryna musi być wyeksponowana na zewnątrz — w przeciwnym razie nikt jej nie zobaczy. Ta ekspozycja oznacza, że ​​każda luka w zabezpieczeniach może zostać wykorzystana.

Z drugiej strony, Twój magazyn haseł otwiera się tylko z Tobą Silne hasło główne. Ramy bezpieczeństwa o zerowym zaufaniu, standard dla narzędzi do zarządzania hasłami, oznaczają, że firma nie może uzyskać twoich danych, kropka. Federalni nie mogą zmusić LastPass do ujawnienia twoich haseł. Niezadowolony pracownik nie może ich ukraść. Tylko ty możesz otworzyć skarbiec.

Logo PCMag Proste sztuczki, aby zapamiętać bezpieczniejsze hasła

Jak być może pamiętasz, LastPass spotkał się również ze stroną internetową Naruszenie bezpieczeństwa w sierpniu 2022 r. Haker uzyskał dostęp i utrzymywał go przez cztery dni, zabierając trochę kodu źródłowego LastPass i niektóre zastrzeżone dane techniczne, ale bez haseł. Zgodnie z oświadczeniem firmy, obecnie ujawnione naruszenie zostało załatane Informacje skradzione podczas poprzedniego naruszenia.

LastPass nie określił dokładnie, jakie informacje zostały przechwycone podczas naruszenia, nazywając to „Niektóre elementy informacji naszych klientów(otwiera się w nowym oknie).” Ponieważ naruszenie miało miejsce w usłudze przechowywania w chmurze innej firmy używanej przez LastPass, jej spółkę macierzystą Goto i inne, podejrzewam, że hakerzy mogli przechwycić informacje o klientach, takie jak adresy e-mail, adresy pocztowe i niektóre zaszyfrowane karty kredytowe informacji. Ponownie ten hack nie zbliżył się do twoich haseł. .


Wyglądaliśmy gorzej

Jak wspomniano, Twoje hasła są przechowywane w zaszyfrowanej internetowej bazie danych i są odszyfrowywane tylko wtedy, gdy musisz ich użyć na swoim urządzeniu lokalnym. To jest zrobi Twoje hasło jest lokalnie w postaci niezaszyfrowanej, przynajmniej tymczasowo. Hack z 2019 roku wykorzystał ten fakt i wysadził go w powietrze Rozszerzenie LastPass do przeglądarki Chrome Aby narysować najnowszy zestaw danych logowania. Zespół bezpieczeństwa w LastPass szybko załatał rozszerzenia dla Chrome i Firefox oraz dokładnie zbadał rozszerzenia dla innych przeglądarek.

Według naukowca, który odkrył lukę, haker może zakodować stronę internetową, aby otrzymać najnowszy wpis z LastPass, chociaż wymagałoby to od ofiary wielokrotnego kliknięcia na sfałszowaną stronę. Nie jest jasne, czy hack zawierał adres URL pasujący do danych logowania, chociaż informacje te można było uzyskać w inny sposób.

Jest to o wiele gorsze niż niedawny incydent bezpieczeństwa, w którym przestępca uzyskał dostęp do danych logowania. Ale jeśli nie używasz tego samego hasła w wielu witrynach (zły pomysł!), tylko jedno konto jest niebezpieczne. Wszystkie inne hasła przechowywane w skarbcu są bezpieczne. Sam skarbiec pozostaje nienaruszony.

Polecany przez naszych nauczycieli


Potrzebujesz użyć menedżera haseł?

Czas więc się poddać Fantazyjne menedżery haseł Musisz chodzić w tę iz powrotem z arkuszem kalkulacyjnym swoich haseł lub papierowym notatnikiem? Nie całkiem. Zapisane hasła mogą zostać skradzione, a jeśli musisz wpisać je ręcznie, będziesz miał pokusę, aby były nieracjonalnie krótkie i łatwe. Możesz kopiować i wklejać hasła z arkusza kalkulacyjnego, to prawda, ale nawet jeśli umieścisz je w Arkuszach Google, nie będziesz mieć wygodnego menedżera haseł między witrynami. Ponadto, czy naprawdę ufasz swoim hasłom do bezpieczeństwa Google?

Podczas gdy LastPass nakłada ograniczenia na korzystanie z darmowej wersji, Wielu użytkowników wskoczyło na pokład. Ponieważ twoje hasła nie zostały faktycznie ujawnione podczas tego ostatniego naruszenia, czy jest jakiś prawdziwy powód? Zmień menedżerów haseł? Może jest. LastPass był jednym z pierwszych programów do zarządzania hasłami i jest bardzo dobrze znany, więc jest dużym celem. Możesz być bezpieczny, wybierając przydatne, ale mniej popularne rozwiązanie dotyczące haseł. Możesz także otrzymać najlepszego darmowego menedżera haseł od zwycięzcy konkursu PCMag Editors’ Choice Bidwarton.

Logo PCMag Co to jest uwierzytelnianie dwuskładnikowe?

Wykorzystuje strukturę zerowego zaufania do przechowywania haseł. Ale powinieneś zachować swoją własną stronę równania bezpieczeństwa, wybierając silne hasło główne, które możesz zapamiętać, ale nikt inny nie może go odgadnąć. Zaangażuj swoich menedżerów haseł Uwierzytelnianie wieloskładnikowe system. W ten sposób nawet oszust, który ukradnie długie, silne hasło, nie uzyska dostępu.

Hakerzy zamierzają włamać się, a czasem nawet z powodzeniem naruszyć witrynę menedżera haseł. Podobnie jak w przypadku innych naruszeń danych, mogą odejść z niektórymi informacjami o klientach. Ale jeśli chodzi o hasła, są one ściśle zamknięte.

co czytasz

Zapisz się Monitorowanie bezpieczeństwa Biuletyn z naszymi najważniejszymi historiami dotyczącymi prywatności i bezpieczeństwa dostarczany prosto do Twojej skrzynki odbiorczej.

Ten biuletyn może zawierać reklamy, oferty lub linki partnerskie. Zapisanie się do newslettera jest równoznaczne z wyrażeniem przez Ciebie zgody Warunki korzystania I Polityka prywatności. W każdej chwili możesz zrezygnować z otrzymywania newsletterów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *