Kemas Kini Pelanggaran LastPass – 22 Ogos – 22 Disember

27hb Disember 2022 | Penasihat, Blog

Kemas Kini Pelanggaran LastPass 2022

Kemas Kini 26 3 Jan:

CyberHoot merangka yang baharu Artikel LastPass: Straw Terakhir untuk LastPass secara berasingan dengan kriteria untuk memilih pengurus kata laluan gantian.

23 Dis. 2022 Kemas Kini 2:

Keselamatan Naked telah artikel ini memperincikan pandangan mereka terhadap pelanggaran LastPass dan pengakuan bahawa peti besi yang disulitkan telah dicuri. Mereka mempunyai beberapa komen dan pandangan yang berguna. Ini membuatkan CyberHoot berfikir lagi…

Kami menyimpan maklumat Kad Kredit kami dalam LastPass untuk kemudahan Pengisian Borang. Adakah kami akan membatalkan dan mengeluarkan semula kad kredit kami? Bercakap secara peribadi sekarang, saya tidak akan. Kata Laluan Induk saya terlalu panjang dan rumit sehinggakan usaha meretakkan diperlukan mengikut ini Meter Kekuatan Kata Laluan tapak web ialah: 7 kuadrilion tahun wow! Itu satu kelegaan.

23 Dis. 2022: Kemas Kini Pelanggaran CyberHoot LastPass:

LastPass mengeluarkan maklumat baharu tentang pengumuman pelanggaran terbaharu mereka dari 30 November di mana pemantauan mereka mengenal pasti pelanggaran baharu (terikat dengan pelanggaran Ogos mereka). Dalam kemas kini ini dari 12/22/2022, mereka mengakui bahawa mereka percaya peti besi kata laluan pelanggan yang disulitkan AES 256 bit telah dicuri daripada pihak ke-3. Ini adalah kali pertama mereka mengakui bahawa data pelanggan berisiko. Berikut adalah pandangan mereka tentang situasi tersebut:

22 Disember, Kemas Kini Blog LastPass:

"Jika anda menggunakan tetapan lalai di atas, ia akan mengambil masa berjuta-juta tahun untuk meneka kata laluan induk anda menggunakan teknologi pemecahan kata laluan yang tersedia secara umum. Data peti besi sensitif anda, seperti nama pengguna dan kata laluan, nota selamat, lampiran dan medan isi borang, kekal disulitkan dengan selamat berdasarkan seni bina Zero Knowledge LastPass. Tiada tindakan disyorkan yang perlu anda lakukan pada masa ini.

Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa jika kata laluan induk anda tidak menggunakan lalai di atas, maka ia akan mengurangkan dengan ketara bilangan percubaan yang diperlukan untuk menekanya dengan betul. Dalam kes ini, sebagai langkah keselamatan tambahan, anda harus mempertimbangkan untuk meminimumkan risiko dengan menukar kata laluan tapak web yang telah anda simpan.”

Jadi, apakah maksud ini untuk semua pengguna LastPass anda di luar sana, atau untuk Syarikat yang telah menggunakan LastPass kepada Pengguna mereka? Banyak kerja sebenarnya.

Penilaian Kesan CyberHoot:

Kakitangan luar mengetahui perkara berikut adalah benar: dalam kebanyakan persekitaran LastPass yang telah kami selia sepanjang dekad yang lalu, walaupun video latihan kami dan dasar kata laluan kami memerlukan sekurang-kurangnya 14 kata laluan aksara (2 lebih lama daripada lalai LastPass) kami telah melihat banyak Kata Laluan Induk yang LEMAH. Oleh itu, memandangkan kekurangan umum kebersihan kata laluan yang kukuh secara amnya, maklumat pelanggaran baharu daripada LastPass ini memerlukan CyberHoot untuk membuat pengesyoran berikut kepada sesiapa sahaja yang menggunakan LastPass secara peribadi atau dalam perniagaan anda:

Maklumkan kepada pengguna anda tentang pelanggaran ini dan nyatakan perkara berikut: “Kira panjang kata laluan anda hari ini. Jika anda menggunakan Kata Laluan Induk yang panjangnya lebih pendek daripada 12 aksara, anda mesti menukar Kata Laluan Induk anda hari ini."
Jika anda mempunyai kata laluan induk yang mengandungi 12 aksara atau lebih, anda masih boleh mengikut nasihat di bawah, tetapi kami tidak fikir ia 100% perlu. Anda boleh LANGKAH KE LANGKAH 3.3 DI BAWAH. Walau bagaimanapun, jika kata laluan anda lebih pendek, terutamanya 8 atau 9 aksara atau lebih pendek panjangnya, teruskan ke langkah 3.
Jika anda menukar Kata Laluan Induk anda kerana cadangan #1 di atas, lakukan juga SETIAP SATU daripada yang berikut:
1. 1. Jadikan Kata Laluan Induk baharu sebagai frasa laluan panjang 14 hingga 20 aksara! Tonton ini Video Kata Laluan dan Frasa Laluan CyberHoot untuk tips berguna.
  2. Tukar Kata Laluan pada SEMUA AKAUN KRITIKAL ANDA yang disimpan dalam Bilik Kebal Kata Laluan anda. [Nota: ya kami mendengar rintihan kolektif mengenai cadangan ini. Lakukan juga.] Sebabnya ialah jika anda mempunyai kata laluan pendek yang boleh dipaksa secara kasar, maka semua kata laluan anda mungkin berisiko. Anda mempunyai masa yang singkat sebelum penggodam LastPass secara teorinya boleh menyasarkan Vault anda dan memaksa akaun anda secara kasar. Oleh itu, dengan penuh berhati-hati, tukar semua kata laluan akaun kritikal anda untuk melindunginya daripada pencerobohan. [Petua CyberHoot: Tukar Kata Laluan E-mel anda dahulu jika anda tidak terikat dengan pengesahan berbilang faktor aka: MFA).
  3. Dayakan Akses Berbilang Faktor ke Bilik Kebal Kata Laluan LastPass anda. Gunakan APP Authenticator (ia tidak semestinya LastPass Authenticator). Apl Pengesah lebih selamat daripada MFA Pemesejan Teks. [Nota CyberHoot: setelah MFA mendayakan TIADA APA-APA untuk melindungi peti besi yang dicuri dalam pelanggaran LastPass ini. Pencuri akan cuba memburuk-burukkan peti besi kata laluan semata-mata berdasarkan kekuatan (panjang) kata laluan induk yang anda tetapkan.]
Langkah ini berlaku untuk SEMUA ORANG. Dayakan Pengesahan Berbilang Faktor (MFA), menggunakan Apl Pengesah, atau jika anda benar-benar tegar keselamatan, a yubikey token perkakasan, pada semua akaun dalam talian anda yang menyokong MFA. Ini akan menghalang walaupun peti besi LastPass yang dilanggar daripada membawa kepada pencerobohan akaun dilindungi MFA anda. MFA ialah rakan anda. Ia mungkin kelihatan seperti sakit kadang-kadang, tetapi sebenarnya, kesakitan kompromi adalah jauh lebih teruk. Lakukan ini hari ini.

Daya Tahan CyberHoot LastPass: Q: Adakah CyberHoot berpendapat LastPass adalah penyelesaian yang berdaya maju memandangkan pelanggaran ini dan pelanggaran sebelumnya yang pernah mereka hadapi?

Jawapan: Kami tidak dapat menjawab soalan itu untuk anda. Untuk Cyberhoot, kami akan terus menggunakan LastPass kerana kami terletak hak sepenuhnya pada mereka pada ketika ini. Kata Laluan Induk kami JAUH LEBIH PANJANG daripada 12 aksara menjadikan kecurian peti besi kami tidak mungkin menghasilkan apa-apa kepada penggodam yang dimaksudkan di sini. Di samping itu, walaupun episod ini menyakitkan untuk LastPass, ia menunjukkan komitmen mereka terhadap ketelusan dan keselamatan. Ia mungkin lebih mudah bagi mereka untuk menyembunyikan kejadian ini dengan menyapunya di bawah permaidani. Mereka tidak. Kami mahu syarikat yang telus. Mengaku kesilapan apabila ia berlaku. Mempunyai pemantauan lanjutan untuk menangkap peristiwa keselamatan (seperti yang mereka lakukan dalam kes ini). Dan melaporkannya secara jujur dan terbuka. Kami akan mengakhiri dengan kenyataan yang FBI telah lama disebut kerana ia terpakai kepada SEMUA syarikat dan SEMUA vendor perisian pengurus kata laluan.

"Terdapat dua jenis syarikat di dunia ini. Mereka yang tahu mereka telah digodam, dan mereka yang tidak tahu mereka telah digodam.”

Kami tahu bila dan bagaimana LastPass digodam di sini. Adakah kita tahu apa-apa tentang mana-mana vendor pengurus kata laluan lain yang digodam?

Ketelusan penuh: CyberHoot tidak membuat satu sen pun daripada LastPass dalam sebarang kapasiti, program rujukan atau sebaliknya. Kami mungkin telah meninggalkan $1000 dolar rujukan di atas meja kerana keinginan kami untuk terus berpegang pada pelaporan kami.