LastPass 침해 업데이트 – 8월 22일 – 12월 22일

27년 2022월 XNUMX일 | 조언하는, Blog

LastPass 2022 침해 업데이트

1월 26일 업데이트 3:

CyberHoot가 새로운 초안을 작성했습니다. LastPass 기사: LastPass의 마지막 순간 대체 비밀번호 관리자를 선택하기 위한 기준은 별도로 제공됩니다.

2022년 12월 23일 업데이트 2:

네이키드 시큐리티는 이 문서 LastPass 침해 사건에 대한 입장을 자세히 설명하고 암호화된 금고가 도난당했다는 사실을 인정했습니다. 유용한 의견과 통찰력을 제시했습니다. 이 글을 통해 CyberHoot은 더 많은 생각을 하게 되었습니다…

양식 작성 편의를 위해 LastPass에 신용카드 정보를 저장했습니다. 신용카드를 취소하고 재발급받을까요? 개인적으로 말씀드리자면, 저는 취소하지 않을 겁니다. 제 마스터 비밀번호가 너무 길고 복잡해서 이 규정에 따라 필요한 해독 작업은 웹사이트의 비밀번호 강도 측정기 7천조 년이라니, 휴! 정말 다행이네요.

2022년 12월 23일: CyberHoot LastPass 침해 업데이트:

LastPass는 11월 30일 최신 침해 사고 발표와 관련하여 새로운 정보를 공개했습니다. 이 사고는 모니터링 과정에서 새로운 침해 사고(8월 침해 사고와 관련됨)를 발견했습니다. 2022년 12월 22일자 업데이트에서 LastPass는 256비트 AES 암호화 클라이언트 비밀번호 저장소가 제3자로부터 도난당했다고 추정한다고 밝혔습니다. 클라이언트 데이터가 위험에 처해 있다는 사실을 인정한 것은 이번이 처음입니다. LastPass의 입장은 다음과 같습니다.

12월 22일, LastPass 블로그 업데이트:

위의 기본 설정을 사용하면 일반적으로 사용 가능한 암호 해독 기술을 사용하여 마스터 비밀번호를 추측하는 데 수백만 년이 걸릴 수 있습니다. 사용자 이름 및 비밀번호, 보안 메모, 첨부 파일, 양식 입력 필드와 같은 민감한 저장소 데이터는 LastPass의 제로 지식 아키텍처를 기반으로 안전하게 암호화됩니다. 현재 권장되는 조치는 없습니다.

하지만 마스터 비밀번호가 위의 기본값을 사용하지 않을 경우, 정확한 추측에 필요한 시도 횟수가 크게 줄어들 수 있다는 점을 유의해야 합니다. 이 경우, 추가적인 보안 조치로 저장된 웹사이트의 비밀번호를 변경하여 위험을 최소화하는 것이 좋습니다.

그렇다면 LastPass 사용자 여러분, 또는 자사 사용자에게 LastPass를 배포한 회사들에게는 어떤 의미가 있을까요? 사실 많은 노력이 필요합니다.

CyberHoot의 영향 평가:

우리 직원은 다음 사실이 사실임을 알고 있습니다. 지난 10년 동안 우리가 감독한 많은 LastPass 환경에서 우리의 교육 비디오와 최소 14자 비밀번호(LastPass 기본값보다 2자 더 길음)를 요구하는 비밀번호 정책에도 불구하고 우리는 많은 마스터 비밀번호를 보았습니다. 약한. 따라서 전반적으로 강력한 비밀번호 관리가 부족하다는 점을 감안할 때, LastPass에서 발표한 이 새로운 침해 정보에 따라 CyberHoot에서는 개인적으로나 업무적으로 LastPass를 사용하는 모든 사람에게 다음과 같은 권장 사항을 제시해야 합니다.

사용자에게 이 위반 사실을 알리십시오. 그리고 다음과 같이 말합니다: “오늘 비밀번호 길이를 확인해 보세요. 12자 미만의 마스터 비밀번호를 사용하셨다면, 오늘 마스터 비밀번호를 변경해야 합니다."
마스터 비밀번호가 12자 이상이더라도 아래 지침을 따를 수 있지만, 100% 필수는 아니라고 생각합니다. 아래 3.3단계로 건너뛸 수 있습니다. 하지만 비밀번호가 더 짧다면, 특히 8자 또는 9자 이하라면 3단계로 넘어가세요.
위의 권장 사항 #1에 따라 마스터 비밀번호를 변경하는 경우에도 다음을 수행하십시오. 다음 중 하나:
1. 1. 새로운 마스터 비밀번호를 14~20자 길이의 암호문구로 만들어 보세요! CyberHoot 비밀번호 및 암호 문구 비디오 유용한 팁을 위해.
  2. 비밀번호 보관소에 저장된 모든 중요 계정의 비밀번호를 변경하세요.[참고: 네, 이 제안에 대해 모두가 불평하는 것을 알고 있습니다. 그래도 실행하세요.] 이유는 무차별 대입 공격에 취약한 짧은 비밀번호를 사용했다면 모든 비밀번호가 위험에 노출될 수 있기 때문입니다. LastPass 해커가 이론적으로 Vault를 공격하여 계정을 무차별 대입 공격할 수 있는 시간은 매우 짧습니다. 따라서 모든 중요한 계정 비밀번호를 변경하여 해킹으로부터 보호해야 합니다. [CyberHoot 팁: 다중 인증(MFA)에 연결되어 있지 않은 경우 먼저 이메일 비밀번호를 변경하세요.
  3. LastPass 비밀번호 보관소에 다중 요소 액세스 활성화. 인증 앱을 사용하세요(LastPass 인증 앱일 필요는 없습니다). 인증 앱은 문자 메시지 MFA보다 더 안전합니다.사이버후트 노트: MFA를 활성화해도 이번 LastPass 침해 사고에서 도난당한 볼트를 보호하는 데 아무런 효과가 없습니다. 도둑은 설정된 마스터 비밀번호의 강도(길이)만을 이용하여 비밀번호 볼트를 무차별 공격하려고 할 것입니다.]
이 단계는 모든 사람에게 적용됩니다. 할 수 있게 하다 다단계 인증(MFA), 인증 앱을 사용하거나 보안에 매우 신경을 쓰는 경우 유비 키 MFA를 지원하는 모든 온라인 계정에 하드웨어 토큰을 적용하세요. 이렇게 하면 LastPass 볼트가 침해되어도 MFA로 보호되는 계정이 손상되는 것을 방지할 수 있습니다. MFA는 여러분의 든든한 친구입니다. 때로는 번거로울 수 있지만, 사실 손상의 고통은 훨씬 더 큽니다. 오늘 이것을 해보세요.

CyberHoot LastPass의 실행 가능성: Q: CyberHoot에서는 이번 침해와 이전에 겪었던 침해를 고려할 때 LastPass가 실행 가능한 솔루션이라고 생각합니까?

답변: 해당 질문에는 답변해 드릴 수 없습니다. Cyberhoot의 경우, 저희는 LastPass를 계속 사용할 것입니다. 현재 저희는 LastPass에 대한 모든 권한을 가지고 있기 때문입니다. 저희 마스터 비밀번호는 12자보다 훨씬 길기 때문에 저희의 금고가 도난당하더라도 해커들에게 아무런 이득을 가져다줄 가능성은 낮습니다. 또한, 이번 사건이 LastPass에게는 고통스러웠지만, 투명성과 보안에 대한 그들의 헌신을 보여주는 사례입니다. 그들이 이 사건을 덮어두는 편이 훨씬 더 쉬웠을 가능성이 있습니다. 그들은 그렇게 하지 않았습니다. 우리는 투명한 회사를 원합니다. 실수가 발생하면 인정하고, 보안 사고를 포착하기 위한 고급 모니터링 시스템을 갖추고 있습니다(이번 사례처럼). 그리고 그 사고에 대해 정직하고 공개적으로 보고합니다. FBI가 오랫동안 인용되어 온 이 성명으로 마무리하겠습니다. 이 성명은 모든 회사와 모든 비밀번호 관리 소프트웨어 공급업체에 적용되기 때문입니다.

"이 세상에는 두 가지 유형의 회사가 있습니다. 해킹당했다는 사실을 아는 회사와, 해킹당했다는 사실을 모르는 회사입니다.

LastPass가 언제 어떻게 해킹당했는지는 여기서 알 수 있습니다. 다른 비밀번호 관리자 업체가 해킹당했다는 소식은 알고 있나요?

완전한 투명성: CyberHoot은 추천 프로그램이든 다른 어떤 방식으로든 LastPass로부터 단 한 푼도 받지 못했습니다. 보도를 위해 거리를 두려는 바람에 수천 달러에 달하는 추천 수익을 놓쳤을 것입니다.