LastPass w opałach

Ten dramatyczny tytuł jest oczywiście przesadzony i ma na celu jedynie sztuczne podbicie zainteresowania wpisem 😉 Tak naprawdę LastPass nie jest w opałach.

Niemniej jednak coś się wczoraj wydarzyło na serwerach LP, co wywołało (zresztą nie po raz pierwszy) falę artykułów o nieco pejoratywnym zabarwieniu.

Mianowicie okazało się, że jacyś spryciarze włamali się na serwery i ukradli kilka informacji o każdym użytkowniku. A konkretnie: adresy email, hasze haseł głównych, przypominacze do haseł oraz ziarna haseł.

To oczywiście za mało, żeby się efektywnie włamać na konto (brute-force wymaga stu tysięcy iteracji na każdą próbę), ale wystarczająco, żeby wywołać niepokój wśród użytkowników. Zwłaszcza wśród tych, którzy nie używają weryfikacji dwuetapowej ani silnych haseł.

Na wszelki wypadek LastPass wprowadził obowiązkową weryfikację (przez email) dla wszystkich użytkowników logujących się z nowych adresów IP. Polega to na tym, że jeżeli logujemy się do usługi z IP, z którego się wcześniej nie logowaliśmy, zostaniemy poproszeni o zweryfikowanie się za pośrednictwem linku wysłanego na nasz adres email. To powoduje, że jeżeli nawet atakujący JAKOŚ złamie nasze hasło główne, w dalszym ciągu nie będzie w stanie dorwać się do naszego sejfu, o ile nie zaloguje się z naszego adresu IP, co jest raczej trudne do wykonania. Z drugiej jednak strony użytkownicy logujący się z dynamicznych adresów IP są “poszkodowani”, bo przy każdej zmianie adresu IP muszą się potwierdzać przez email, co jest upierdliwe. To jedna fala negatywnych komentarzy.

Druga bierze się z ogólnego niezadowolenia użytkowników LP, którzy zaufali firmie – są to ludzie nie rozumiejący do końca, jak to wszystko działa; jedyne, co do nich dociera, to że było włamanie, i że teraz są zagrożeni.

A goła prawda jest taka, że włamywacze poznali nasz adres email oraz kilka cyferek umożliwiających – w astronomicznie długim czasie – złamanie naszego hasła głównego. Jeżeli więc zmienimy je na nowe, jesteśmy bezpieczeni. Jeżeli używamy autentykacji dwuetapowej, jesteśmy bezpieczeni tak czy siak.

Ja na wszelki wypadek zmieniłem hasło główne. Teraz jest dłuższe, niż poprzednio (to jeden z tych przypadków, gdzie długość ma znaczenie…) i bardziej losowe. Upewniłem się również, że jestem w stanie je odtworzyć z pamięci w warunkach “bojowych”.

I śpię spokojnie.


Zapisz się
Powiadom o
guest
2 komentarzy
Inline Feedbacks
Zobacz wszystkie komentarze
2
0
Zapraszam do skomentowania wpisu.x
()
x