Opdatering om LastPass-brud – 22. august – 22. december

27. december 2022 | Rådgivende, Blog

LastPass 2022-sikkerhedsbrudsopdatering

Opdatering 26 den 3. januar:

CyberHoot udarbejdede et nyt LastPass-artikel: Den sidste dråbe for LastPass separat med kriterier for valg af en erstatningsadgangskodeadministrator.

23. december 2022 Opdatering 2:

Det har Naked Security denne artikel hvor de beskriver deres syn på LastPass-bruddet og indrømmer, at krypterede hvælvinger blev stjålet. De har nogle nyttige kommentarer og indsigter. Dette fik CyberHoot til at tænke lidt mere…

Vi gemte vores kreditkortoplysninger i LastPass for at gøre det nemmere at udfylde formularer. Vil vi annullere og genudstede vores kreditkort? Personligt vil jeg ikke. Min masteradgangskode var så lang og kompleks, at den nødvendige indsats i henhold til denne... webstedets adgangskodestyrkemåler var: 7 kvadrillioner år! Pyha! Det er en lettelse.

23. december 2022: CyberHoot LastPass-brudsopdatering:

LastPass har offentliggjort nye oplysninger om deres seneste meddelelse om brud fra den 30. november, hvor deres overvågning identificerede et nyt brud (knyttet til deres brud i august). I denne opdatering fra den 12/22/2022 indrømmer de, at de mener, at 256-bit AES-krypterede klientadgangskodebokse blev stjålet fra tredjeparten. Dette er første gang, de har erkendt, at klientdata var i fare. Her er deres syn på situationen:

22. december, LastPass-blogopdatering:

"Hvis du bruger standardindstillingerne ovenfor, ville det tage millioner af år at gætte din masteradgangskode ved hjælp af alment tilgængelig teknologi til adgangskodeknækkelse. Dine følsomme data i din hvælving, såsom brugernavne og adgangskoder, sikre noter, vedhæftede filer og formularfelter, forbliver sikkert krypteret baseret på LastPass' Zero Knowledge-arkitektur. Der er ingen anbefalede handlinger, du skal foretage dig på nuværende tidspunkt."

Det er dog vigtigt at bemærke, at hvis din masteradgangskode ikke bruger ovenstående standardindstillinger, vil det reducere antallet af forsøg, der er nødvendige for at gætte den korrekt, betydeligt. I dette tilfælde bør du som en ekstra sikkerhedsforanstaltning overveje at minimere risikoen ved at ændre adgangskoder på websteder, du har gemt.

Så hvad betyder det for alle jer LastPass-brugere derude, eller for virksomheder, der har implementeret LastPass hos deres brugere? Faktisk meget arbejde.

CyberHoots konsekvensanalyse:

Vores personale ved følgende: I mange af de LastPass-miljøer, vi har overvåget i løbet af det sidste årti, har vi, på trods af at vores træningsvideoer og adgangskodepolitikker kræver mindst 14 tegn lange adgangskoder (2 længere end LastPass-standarderne), set mange masteradgangskoder, der var SVAG. I betragtning af den generelle mangel på stærk adgangskodehygiejne generelt, kræver disse nye oplysninger om brud fra LastPass derfor, at CyberHoot kommer med følgende anbefalinger til alle, der bruger LastPass personligt eller i deres virksomhed:

Informer dine brugere om dette brud og angiv følgende: "Tæl længden af din adgangskode i dag. Hvis du brugte en masteradgangskode, der var kortere end 12 tegn, skal du ændre din masteradgangskode i dag."
Hvis du havde en masteradgangskode på 12 tegn eller mere, kunne du stadig følge nedenstående råd, men vi mener ikke, det er 100 % nødvendigt. Du kan SPRINGE TIL TRIN 3.3 NEDENFOR. Men hvis din adgangskode var kortere, især dem på 8 eller 9 tegn eller kortere, skal du gå videre til trin 3.
Hvis du ændrer din masteradgangskode på grund af anbefaling nr. 1 ovenfor, så gør det også HVER EN AF de følgende:
1. 1. Lav den nye masteradgangskode til en adgangsfrase på 14 til 20 tegn! Se dette CyberHoot-adgangskoder og adgangsfrase-video for nyttige tips.
  2. Skift adgangskoder på ALLE DINE VIGTIGSTE KONTI, der er gemt i din adgangskodeboks. [Bemærk: Ja, vi hører den kollektive støn over dette forslag. Gør det alligevel.] Årsagen er, at hvis du havde en kort adgangskode, der kunne brute-tvinges, så kunne alle dine adgangskoder være i fare. Du har et kort tidsrum, før LastPass-hackere teoretisk set kan målrette din Vault og brute-tving din konto. Derfor skal du med stor forsigtighed ændre alle dine kritiske kontoadgangskoder for at beskytte dem mod kompromittering. [CyberHoot-tip: Skift først din e-mailadgangskode, hvis du ikke har den knyttet til multifaktor-godkendelse (også kendt som MFA).
  3. Aktivér multifaktoradgang til din LastPass-adgangskodeboks. Brug en Authenticator-app (det behøver ikke at være LastPass Authenticator). Authenticator-apps er mere sikre end Text Messaging MFA.CyberHoot-noteAt have MFA aktiveret gør INTET for at beskytte de stjålne hvælvinger i dette LastPass-brud. Tyvene vil forsøge at få adgangskodehvælvingerne udelukkende baseret på styrken (længden) af den masteradgangskode, du har angivet.]
Dette trin gælder for ALLEAktivér Multifaktorgodkendelse (MFA), ved hjælp af en Authenticator-app, eller hvis du er virkelig sikkerhedsnørd, en Yubikey hardwaretoken, på alle dine onlinekonti, der understøtter MFA. Dette ville forhindre selv en brudt LastPass-boks i at føre til kompromittering af dine MFA-beskyttede konti. MFA er din ven. Det kan virke som en plage nogle gange, men sandheden er, at smerten ved en kompromittering er langt værre. Gør dette i dag.

CyberHoot LastPass-levedygtighed: Q: Mener CyberHoot, at LastPass er en brugbar løsning i betragtning af dette brud og tidligere brud, de har oplevet?

Svar: Vi kan ikke besvare det spørgsmål for dig. For Cyberhoot vil vi fortsætte med at bruge LastPass, da vi på nuværende tidspunkt har fuld myndighed til dem. Vores masteradgangskoder er LANGT LÆNGERE end 12 tegn, hvilket gør det usandsynligt, at vores tyveri af vores hvælving vil give noget til de pågældende hackere. Derudover, hvor smertefuldt denne episode end har været for LastPass, viser den deres engagement i gennemsigtighed og sikkerhed. Det ville potentielt have været langt nemmere for dem at skjule denne hændelse ved at feje den ind under gulvtæppet. Det gjorde de ikke. Vi ønsker en virksomhed, der er transparent. Indrømmer fejl, når de sker. Har avanceret overvågning på plads for at fange sikkerhedshændelser (som de gjorde i denne sag). Og rapporterer ærligt og åbent om det. Vi slutter af med en udtalelse, som FBI længe er blevet citeret for, fordi den gælder for ALLE virksomheder og ALLE leverandører af adgangskodehåndteringssoftware.

"Der findes to typer virksomheder i denne verden. Dem, der ved, at de er blevet hacket, og dem, der ikke ved, at de er blevet hacket.

Vi ved hvornår og hvordan LastPass blev hacket her. Ved vi noget om, at andre leverandører af adgangskodehåndtering er blevet hacket?

Fuld gennemsigtighed: CyberHoot har ikke tjent en eneste krone på LastPass, hverken via henvisningsprogram eller andet. Vi har sandsynligvis ladet tusindvis af dollars i henvisningsdollars ligge på bordet, fordi vi ønsker at forblive på afstand af vores rapportering.