Oppdatering om LastPass-brudd – 22. august – 22. desember

27. desember 2022 | Rådgivning, Blogg

LastPass 2022-bruddoppdatering

26. januar Oppdatering 3:

CyberHoot utarbeidet et nytt LastPass-artikkel: Siste dråpe for LastPass separat med kriterier for valg av en erstatningspassordbehandler.

23. desember 2022 Oppdatering 2:

Naken Security har denne artikkelen der de beskriver sitt syn på LastPass-bruddet og innrømmelsen av at krypterte hvelv ble stjålet. De har noen nyttige kommentarer og innsikter. Dette fikk CyberHoot til å tenke litt mer ...

Vi lagret kredittkortinformasjonen vår i LastPass for enkel bruk av skjemautfylling. Vil vi kansellere og utstede kredittkortene våre på nytt? Når jeg snakker personlig nå, vil jeg ikke det. Hovedpassordet mitt var så langt og komplekst at knekkingsinnsatsen som kreves i henhold til dette nettstedets passordstyrkemåler var: 7 kvadrillioner år. Puh! Det er en lettelse.

23. desember 2022: Oppdatering om CyberHoot LastPass-brudd:

LastPass har publisert ny informasjon om sin siste melding om sikkerhetsbrudd fra 30. november, der overvåkingen deres identifiserte et nytt sikkerhetsbrudd (knyttet til sikkerhetsbruddet deres i august). I denne oppdateringen fra 12 innrømmer de at de tror at 22-bit AES-krypterte klientpassordhvelv ble stjålet fra tredjeparten. Dette er første gang de har erkjent at klientdata var i fare. Her er deres syn på situasjonen:

22. desember, LastPass-bloggoppdatering:

«Hvis du bruker standardinnstillingene ovenfor, ville det ta millioner av år å gjette hovedpassordet ditt ved hjelp av allment tilgjengelig teknologi for passordknekking. Dine sensitive hvelvdata, for eksempel brukernavn og passord, sikre notater, vedlegg og skjemautfyllingsfelt, forblir trygt kryptert basert på LastPass' Zero Knowledge-arkitektur. Det er ingen anbefalte handlinger du må utføre på dette tidspunktet.»

Det er imidlertid viktig å merke seg at hvis hovedpassordet ditt ikke bruker standardinnstillingene ovenfor, vil det redusere antall forsøk som trengs for å gjette det riktig betydelig. I dette tilfellet bør du, som et ekstra sikkerhetstiltak, vurdere å minimere risikoen ved å endre passordene til nettsteder du har lagret.

Så, hva betyr dette for alle dere LastPass-brukere der ute, eller for selskaper som har distribuert LastPass til brukerne sine? Mye arbeid faktisk.

CyberHoots konsekvensutredning:

Våre ansatte vet at følgende er sant: i mange av LastPass-miljøene vi har overvåket det siste tiåret, til tross for at opplæringsvideoene våre og passordreglene våre krever et passord på minst 14 tegn (2 lengre enn LastPass-standardene), har vi sett mange masterpassord som var SVAK. Gitt den generelle mangelen på sterke passordhygiene generelt, krever denne nye informasjonen om sikkerhetsbrudd fra LastPass at CyberHoot gir følgende anbefalinger til alle som bruker LastPass personlig eller i bedriften:

Informer brukerne dine om dette sikkerhetsbruddet og oppgi følgende: «Tell lengden på passordet ditt i dag. Hvis du brukte et hovedpassord som var kortere enn 12 tegn, må du endre hovedpassordet i dag."
Hvis du hadde et hovedpassord som var på 12 tegn eller mer, kan du fortsatt følge rådene nedenfor, men vi tror ikke det er 100 % nødvendig. Du kan GÅ TIL TRINN 3.3 NEDENFOR. Men hvis passordet ditt var kortere, spesielt de som var på 8 eller 9 tegn eller kortere, går du videre til trinn 3.
Hvis du endrer hovedpassordet ditt på grunn av anbefaling nr. 1 ovenfor, gjør det også HVER EN AV de følgende:
1. 1. Gjør det nye hovedpassordet til en passfrase på 14 til 20 tegn! Se dette Video om CyberHoot-passord og passordfrase for nyttige tips.
  2. Endre passordene på ALLE DINE VIKTIGSTE KONTOER som er lagret i passordhvelvet ditt. [Merk: ja, vi hører den kollektive stønnen over dette forslaget. Gjør det uansett.] Grunnen er at hvis du hadde et kort passord som kunne brute-tvangeres, så kunne alle passordene dine være i faresonen. Du har et kort tidsvindu før LastPass-hackere teoretisk sett kan målrette hvelvet ditt og brute-tvangere kontoen din. Vær derfor svært forsiktig og endre alle viktige kontopassord for å beskytte dem mot kompromittering. [CyberHoot-tips: Endre e-postpassordet ditt først hvis du ikke har det koblet til flerfaktorautentisering (også kjent som MFA).
  3. Aktiver flerfaktortilgang til LastPass-passordhvelvet ditt. Bruk en Authenticator-app (det trenger ikke å være LastPass Authenticator). Authenticator-apper er sikrere enn Text Messaging MFA. [CyberHoot-notatÅ ha MFA aktivert gjør INGENTING for å beskytte de stjålne hvelvene i dette LastPass-bruddet. Tyvene vil prøve å få tak i passordhvelvene utelukkende basert på styrken (lengden) på hovedpassordet du har angitt.
Dette trinnet gjelder for ALLEAktiver Multifaktorautentisering (MFA), ved hjelp av en Authenticator-app, eller hvis du er en skikkelig sikkerhetsekspert, en yubikey maskinvaretoken, på alle dine onlinekontoer som støtter MFA. Dette ville forhindre at selv et brutt LastPass-hvelv fører til kompromittering av dine MFA-beskyttede kontoer. MFA er din venn. Det kan virke som et ork noen ganger, men sannheten er at smerten ved et kompromittering er mye verre. Gjør dette i dag.

CyberHoot LastPass-levedyktighet: Q: Tror CyberHoot at LastPass er en levedyktig løsning gitt dette sikkerhetsbruddet og tidligere sikkerhetsbrudd de har opplevd?

Svar: Vi kan ikke svare på det spørsmålet for deg. For Cyberhoot vil vi fortsette å bruke LastPass, ettersom vi på dette tidspunktet har full tillit til dem. Hovedpassordene våre er MYE LENGRE enn 12 tegn, noe som gjør at det er usannsynlig at tyveriet vårt av hvelv vil gi noe til hackerne det er snakk om her. I tillegg, så smertefullt som denne episoden har vært for LastPass, viser den deres forpliktelse til åpenhet og sikkerhet. Det ville potensielt vært mye enklere for dem å skjule denne hendelsen ved å feie den under teppet. Det gjorde de ikke. Vi ønsker et selskap som er transparent. Innrømmer feil når de skjer. Har avansert overvåking på plass for å fange opp sikkerhetshendelser (slik de gjorde i dette tilfellet). Og rapporterer om det ærlig og åpent. Vi avslutter med en uttalelse FBI lenge har blitt sitert for fordi den gjelder ALLE selskaper og ALLE leverandører av passordbehandlingsprogramvare.

"Det finnes to typer selskaper i denne verden. De som vet at de har blitt hacket, og de som ikke vet at de har blitt hacket.

Vi vet når og hvordan LastPass ble hacket her. Vet vi noe om andre leverandører av passordbehandling som har blitt hacket?

Full åpenhet: CyberHoot har ikke tjent en eneste krone på LastPass, verken via henvisningsprogram eller på annen måte. Vi har sannsynligvis lagt tusenvis av dollar i henvisningsdollar på bordet fordi vi ønsker å holde oss på armlengdes avstand når det gjelder rapportering.