Uudis, et LastPassi võrgu turvalisust on rikutud, on muidugi tõsine probleem. See, et ettevõte, mida rikutakse, oli see, mis pakkus paroolihaldusteenust, tõstatab tõsiduse kümne võrra. Miks ma siis olen keegi, kes on loonud karjääri IT-turvalisusest kirjutades, mitte ei tõmba sellest juukseid? Lisaks sellele, et mul pole kedagi tõmmata, pole LastPassi rikkumine nii mõnelegi meist nii suur kui teistele.
Me ei ole leidnud tõendeid selle kohta, et oleks võetud krüpteeritud kasutajahoidla andmeid ega oleks lastPassi kasutajakontole juurde pääsetud, ütleb meile LastPassi pressiesindaja. Nii et milles see kära on, võite küsida - kus on oht? Noh, see on kahesugune, nagu ma seda näen. Esiteks, kuna e-posti aadresse ja sellega seotud paroolimeeldetuletusi on rikutud, näeksin sihitud andmepüügikatseid võltsitud peaparooliga lähtestatud sõnumite kujul. Tahaksin arvata, et ma nende vastu ei lange.
kuidas vestelda ilma nende teadmata
Mis puutub teisesse ohtu, siis nõrkade põhiparoolide suhtes tehakse praegu jõulisi jõupingutusi, viisakalt serveri kasutajate soolade ja autentimisrässide juurde pääsemiseks. Niipalju kui sellised krakkimiskatsed lähevad, muudab asjaolu, et LastPass tugevdab neid autentimisrässe juhusliku soolaga ja viskab hea mõõtmise jaoks täiendavalt 100 000 ringi serveripoolset PBKDF2-SHA256, raskendab nende purustamist. Kui aga põhiparool on halb, on see endiselt avatud toore jõu rünnakutele; selle murdmine võtab lihtsalt natuke rohkem aega.
Nii sunnib LastPass enamikku kasutajaid põhiparooli muutma ja palub e-posti aadressi kinnitamist neilt, kes uuest seadmest või IP-aadressilt sisse logivad. Ma ei muuda siiski oma põhiparooli ega ole ka nüüd (vaatame) 442 päeva, sest see on juhuslik, keeruline, üle 25 tähemärgi pikkune, seda ei kasutata kusagil mujal ja ma suudab seda peast meeles pidada. Lisaks sellele toetavad seda kaks võlusõna: mitmeteguriline autentimine.
Boom! Mis puudutab mind, siis kõik need jõupingutused, et pääseda LastPassi võrgu äärealadele, pole midagi, sest ma kasutan tugevat põhiparooli, mida toetab mitmeteguriline autentimine. Isegi kui minu põhiparool oleks kuidagi rikutud, peaks ründaja minu paroolihoidla dekrüpteerimiseks pääsema juurde minu YubiKey-le (füüsiline märgis). Neid täpsemaid seadeid on tasuta kasutada ja need on juba mõnda aega kasutajatele kättesaadavad - lisaks ei pea te YubiKey-d ostma; soovi korral saate kasutada tasuta allalaaditavat rakendust, näiteks Google Authenticatorit. Miks te ei kasutaks kaheastmelist autentimist (2FA) ühelgi saidil või teenuses, kus seda pakutakse? Ei, tõsiselt?
Täpsematest seadetest rääkides on veel üks, mida kasutan, mis annab mulle veel ühe kindlustunde, et minu andmed on LastPassiga mõistlikult turvalised, ja see on geograafilise juurdepääsu lukustus. Saate seada riigipiirangud, mis võimaldavad teil otsustada, kust riikidest pääsete juurde oma paroolihoidlale. Hoidsin seda Ühendkuningriiki lukustatuna, kui ma ei sõida välismaale. Sel juhul luban enne lahkumist selle konkreetse asukoha. Oh, ja ma ei luba ka sisselogimist Tori võrkudest. Paranoid, moi? Ei, lihtsalt mõistlik piirata juurdepääsu neile kuningriigi võtmetele. Nagu peaks ka olema.
LastPassi kompromissi pärast ei muretse mind kõige kummalisemal kombel kompromiss ise, vaid vastus sellele; ja eriti meedia oma - nii professionaalse kui sotsiaalse. Tundub, et LastPassi lüües on tunda rõõmu ja palju öeldi teile sellist tüüpi aruandlust. Aga mida sa meile täpselt ütlesid? Mis siin täpselt juhtus? Krüpteeritud parooliandmeid pole niipalju ohustatud, kui näeme, ning LastPass on olnud sündmuse avalikustamisel ja kasutajate enesekindluse tagamiseks sammude seadmisel üsna läbipaistev.
Mida meediakanalid meid teeksid? Kas pöörduda pliiatsi ja paberi poole või on tehnilisem krüptida see ise lahendus? Olen näinud mõlemaid soovitusi ega vähendanud keskmise Joe riski, vaid vastupidi. Võib-olla koliks mõne muu paroolihalduse pakkuja juurde? Jällegi, kuidas see aitab, kui te ei tea, kuidas nad reageerivad, kui nad saavad rikkumise? Vähemalt teate, et LastPass on pallil, kui tegemist on rikkumisvastusega.
Minu jaoks jääb paroolihaldur enamiku inimeste jaoks kõige turvalisemaks võimaluseks ning kui järgite minu eeskuju ja kombineerite tugeva põhiparooli mitmetegurilise autentimise ja mõne sisselogimise lukustamisvõimalusega, vähendate kompromisside tekkimise ohtu nii palju kui inimlikult võimalik.
Ja seetõttu, kallis lugeja, pole mul vaja oma parooli muuta; või minu paroolihaldur selles küsimuses.