Ten dramatyczny tytuł jest oczywiście przesadzony i ma na celu jedynie sztuczne podbicie zainteresowania wpisem 😉 Tak naprawdę LastPass nie jest w opałach.
Niemniej jednak coś się wczoraj wydarzyło na serwerach LP, co wywołało (zresztą nie po raz pierwszy) falę artykułów o nieco pejoratywnym zabarwieniu.
Mianowicie okazało się, że jacyś spryciarze włamali się na serwery i ukradli kilka informacji o każdym użytkowniku. A konkretnie: adresy email, hasze haseł głównych, przypominacze do haseł oraz ziarna haseł.
To oczywiście za mało, żeby się efektywnie włamać na konto (brute-force wymaga stu tysięcy iteracji na każdą próbę), ale wystarczająco, żeby wywołać niepokój wśród użytkowników. Zwłaszcza wśród tych, którzy nie używają weryfikacji dwuetapowej ani silnych haseł.
Na wszelki wypadek LastPass wprowadził obowiązkową weryfikację (przez email) dla wszystkich użytkowników logujących się z nowych adresów IP. Polega to na tym, że jeżeli logujemy się do usługi z IP, z którego się wcześniej nie logowaliśmy, zostaniemy poproszeni o zweryfikowanie się za pośrednictwem linku wysłanego na nasz adres email. To powoduje, że jeżeli nawet atakujący JAKOŚ złamie nasze hasło główne, w dalszym ciągu nie będzie w stanie dorwać się do naszego sejfu, o ile nie zaloguje się z naszego adresu IP, co jest raczej trudne do wykonania. Z drugiej jednak strony użytkownicy logujący się z dynamicznych adresów IP są "poszkodowani", bo przy każdej zmianie adresu IP muszą się potwierdzać przez email, co jest upierdliwe. To jedna fala negatywnych komentarzy.
Druga bierze się z ogólnego niezadowolenia użytkowników LP, którzy zaufali firmie - są to ludzie nie rozumiejący do końca, jak to wszystko działa; jedyne, co do nich dociera, to że było włamanie, i że teraz są zagrożeni.
A goła prawda jest taka, że włamywacze poznali nasz adres email oraz kilka cyferek umożliwiających - w astronomicznie długim czasie - złamanie naszego hasła głównego. Jeżeli więc zmienimy je na nowe, jesteśmy bezpieczeni. Jeżeli używamy autentykacji dwuetapowej, jesteśmy bezpieczeni tak czy siak.
Ja na wszelki wypadek zmieniłem hasło główne. Teraz jest dłuższe, niż poprzednio (to jeden z tych przypadków, gdzie długość ma znaczenie...) i bardziej losowe. Upewniłem się również, że jestem w stanie je odtworzyć z pamięci w warunkach "bojowych".
I śpię spokojnie.
Hmm, ja nie wiem czy zmienię, bo moje obecne „lastpass123” łatwo zapamiętać.
W zeszłym roku a może już dwa lata temu też wyciekły emaile i hashe z LP i jakoś się świat nie zawalił. Dopiero jak się zjawią konkretne maszyny kwantowe, to trza będzie się nieco martwić.
A propos zabezpieczeń to raz do nas przyjechał kolega z Irlandii, co zalogował się na swojego LP z mojego kompa a potem sobie pojechał i zapomniał się wylogować. Dzięki temu mieliśmy dostęp do kont Premium na redtubie, do tajnego zrzeszenia jodłujących emigrantów i wielu innych stron. Zatem polecam gorąco ustawić sobie w LP opcje automatycznego wylogowywania dla roztargnionych amnezjuszy.
Jak to rzekł słusznie Paolo Coelho „Im perfekcyjniejszy system, tym bardziej zawodnym ogniwem jest człowiek”
… a im lepsza terenówka, tym dalej trzeba iść po traktor. Howgh!