Son saldırıya uğradı: işte yapmanız gerekenler

LastPass'ı o kadar çok sevmiştik ki aslında En İyi Şifre Yöneticisi olarak adlandırdık. Öyleyse, hack hikayesi bir süre önce patlak verdiğinde, hepimiz şok durumundaydık. Ancak, bu, herkesin LastPass'ı bırakıp başka bir şey kullanması gerektiği anlamına mı geliyor? Şifreleriniz bulutta güvende mi? Şirkete tekrar güvenebilir miyiz? Bulmaya çalıştığımız şey bu.

Panik Yapma

Söylemeye gerek yok, yapılması gereken ilk şey bu. Herhangi bir ortama yanlış bilgi yaymak panik veya daha kötüsü, herhangi bir krize cevap vermenin doğru yolu değil. Böyle bir haberi okurken kendinizi korkmuş hissetmek doğal olsa da, gereksiz panikin sadece herhangi bir amaca hizmet etmediğini anlamalısınız. Blog yayınlarında, LastPass açıkça ortaya koymuş ve alıntı yapıyorum,

Araştırmamızda, şifreli kullanıcı kasası verilerinin alındığına ya da LastPass kullanıcı hesaplarına erişildiğine dair hiçbir kanıt bulamadık.

Evet, öyle devam ediyor

Bununla birlikte, araştırma, LastPass hesap e-posta adreslerinin, şifre hatırlatıcılarının, kullanıcı tuzlu sunucularının ve kimlik doğrulama karma değerlerinin tehlikeye girdiğini göstermiştir.

Fakat bunun anlamı ne ? Basitçe ifade etmek gerekirse, tüm şifreleriniz güvende olsa da, diğer bilgiler olmayabilir. Bunun için, yine, blog yazısında zaten birkaç faydalı ipucu belirtti.

Evet, şifre yöneticilerinden gelen veriler bulutta depolanır, ancak bilgiler doğrudan bilgisayarınızda şifrelenir. Ve bulut bilişim mimarisi küçük bir risk içermesine rağmen, şifrelenmiş tüm verilerin orada asla depolanmadığını bilerek kolayca dinlenebilirsiniz. Tüm şifrelerinizi içeren.

Faydalı İpucu: İnternette şifreleri oluşturma ve yönetme hakkında her şeyi bilmek için Şifreler hakkındaki Ultimate Rehberimize bakın.

Korunma her zaman tedaviden iyidir

Bu eski özdeyiş, asla internetten sızma ve mahremiyet kaybı dönemlerinden daha alakalı olamaz. İşte, bu tür olaylar karşısında uykunuzu kaybetmemek için, LastPass hesabınıza geldiğinde izlemeniz gereken bazı adımlar.

Ana Şifreyi Değiştir

LastPass'ın Ana Parolasını değiştirmek için, sol tarafta Hesap ayarları bölümünü bulacağınız Tercihler'e tıklamanız yeterlidir. Bunu tıkladığınızda, aşağıda gösterildiği gibi hesap ayarlarını başlatmak için burayı tıklayın.

Bunun üzerine tıkladığınızda, yapmanız gereken tek şey Ana Parolayı Değiştir düğmesine basmak ve daha yeni (ve daha güçlü) bir alternatif bulmaktır.

İşte bu, bu olaydan sonra yapmanız gereken en önemli adım!

2 Faktörlü Kimlik Doğrulama ve Diğer Güvenlik Seçenekleri

2 Faktörlü Kimlik Doğrulamayı mümkün olan her yerde ve özellikle hassas verilerin depolandığı yerlerde kullanmanın iyi bir fikir olduğunu düşünüyoruz. LastPass bu hizmetin kullanılmasını önermekte kesinlikle haklı ve ana şifrenizi değiştirdikten sonra hemen yapmalısınız. Aslında, siz onun yanında, kullandığınız tüm hizmetlere hassas veriler içeren 2 Adımlı Kimlik Doğrulama Faktörü eklemeyi düşünün.

LastPass'ta, Multifactor Seçeneklerini Hesap Ayarlarında bulabilirsiniz (yukarıya bakın). LastPass hesabınızı daha da güvenli hale getirecek seçenekleri burada bulabilirsiniz. Ayrıca daha önce hakkında yazdığımız Kılavuz Kimlik Doğrulama seçeneğini de göreceksiniz.

Ülke Bazında Kısıtlama

LastPass'ın kullanıcılarını keşfetmesini gerektirdiği bir diğer güvenlik katmanı da ülke temelli kısıtlama politikasıdır. Etkinleştirildiğinde, bu, LastPass verilerinize erişmek için yalnızca ikamet ettiğiniz ülkeden kaynaklanan cihazları etkinleştirir. Başka bir ülkeden bir cihaz erişmeye çalışırsa, bir hata mesajı gösterir. Bu konuyu çok ayrıntılı olarak ele aldık ve henüz okumadıysanız kesinlikle okumalısınız.

Hala Endişeli misin?

Olma Burada yapılacak daha fazla bir şey yok. LastPass güvenliklerini zaten güncelledi ve yeni bir cihaz veya yeni bir IP kullanıyorlarsa, kullanıcıların e-posta yoluyla doğrulanmalarını zaten istiyor. Bunu doğrulamak için tam olarak bunu denedik ve bu adımın reklamı yapıldığı gibi çalıştığını bildirmekten memnuniyet duyduk.

Mevcut kullanıcılardan Ana Parolalarını değiştirmeleri de isteniyor, ancak sizden bu istemi alamazsanız bile, yine de yapmanızı öneririz. Son olarak, Ars Technica ile hack hakkında konuşan Jeremi Gosney'i (Stricture Group'taki bir şifre güvenliği uzmanı) alıntı yapmak istiyoruz -

Parola kırma işleminde en hızlı GPU olan NVIDIA GTX Titan X'te, bir saldırgan yalnızca bir parola karmaşası için saniyede yalnızca 10.000'den az tahmin yapabilir. Bu uygun yavaş! Zayıf şifreler bile bu koruma düzeyiyle oldukça güvenlidir (çok zayıf bir şifre kullanmıyorsanız). Bu, kullanıcı tarafından yapılandırılabilen istemci tarafı yinelemelerin sayısını da hesaba katmaz. Varsayılan değer 5.000 iterasyondur, bu yüzden en azından 105.000 iterasyona bakıyoruz. Aslında benim 65.000 yineleme ayarlamıştım, bu yüzden Diceware şifremi koruyan toplam 165.000 yineleme. Yani hayır, kesinlikle bu ihlali terlemiyorum. Ana şifremi değiştirmek zorunda bile hissetmiyorum.

Aslında, ekibimizin oldukça az bir kısmı aracı kullanıyor ve yukarıda belirttiğimiz şeylerin aynısını yaptık. Ve şimdi bilgiyi mümkün olduğunca çok insana yaymak istiyoruz.

Alternatifleri Denemek İster misiniz?

Tamam, tüm bunlardan dolayı LastPass'a olan inancınızı kaybettiğinizi düşünüyorsanız, o zaman elbette alternatifler vardır. Biraz para yatırmaya istekliysen (ve bu kaybedilen inancının bir kısmı), o zaman her zaman 1Password vardır. Oyunda aynı mimari ve güvenlik önlemleri var, ancak 1Password'ün arkasındaki şirket olan Agilebits, LastPass'tan daha iyi bir sicile sahip. Bununla, asla saldırıya uğramadığını kastediyoruz. Daha kesin olduğu bildirilmedi. Oysa.

Şifrelerinizi iOS'ta Transfer Edin: Verilerinizi LastPass'tan iOS için 1Password'e aktarmak kolaydır, bununla ilgili faydalı makalemizi okuyun.

Bir şey harcamak istemiyorsanız, o zaman ücretsiz bir alternatif var. Buna KeepPass denir ve açık kaynaktır. Ayrıca, LastPass şifrelerinizi Keepass'a aktarmak için bir kılavuz yazdık.

1Password kadar kullanışlı olmasa da, oynamak isterseniz, ücretli eşin işlevselliğine uygun birkaç eklenti eklenebilir. Biraz sabrınız olsa da hazırlıklı olun.

Bizim 2 kuruş

Bir şirketi suçlamak ve verilerinize dikkat etmediklerini söylemek çok kolaydır. Ama bu bir soygun olduğunda bankaları suçlamak kadar iyidir. İnsanlar paralarını oraya koymaktan vazgeçmediler ve ne de olsa, saldırıya uğradıkları için şifre yöneticilerine güvenmeyi bırakmamalısınız.

Güvenliğin, LastPass'ın tarafında gevşek olduğunu bile söylemiyoruz, ama kesinlikle çoraplarını çıkarmaları gerekiyor. Sisteminde ilk kez bir tehdit tespit edilmedi, fakat her iki durumda da önemli bir şey çalındı ​​/ kaybolmadı. Hızlı ve anında harekete geçmiş kullanıcıları bilgilendirdiler ve buna neden olan güvenlik sorununu çoktan ele aldılar. Kendinizi biraz daha tedbir alarak, daha mutlu bir zihin durumu sağlayabilirsiniz. Bunca zamanını banka bakiyenizi düşünerek harcayabiliyorsanız, onları güvende tutan şifreler için de birkaç düşünceyi ayıracağınızdan eminiz?