LastPass İhlali Güncellemesi – 22 Ağustos – 22 Aralık

26 Ocak Güncelleme 3:

CyberHoot yeni bir taslak hazırladı LastPass makalesi: LastPass için Son Damla yedek şifre yöneticisi seçimi için ayrı kriterler.

23 Aralık 2022 Güncelleme 2:

Çıplak Güvenlik Bu makale LastPass ihlali ve şifreli kasaların çalındığı itirafı hakkındaki görüşlerini ayrıntılarıyla anlatıyorlar. Bazı faydalı yorumları ve içgörüleri var. Bu, CyberHoot'u biraz daha düşünmeye sevk etti...

Form doldurma kolaylığı için Kredi Kartı bilgilerimizi LastPass'te sakladık. Kredi kartlarımızı iptal edip tekrar verecek miyiz? Kişisel olarak, iptal etmeyeceğim. Ana Parolam o kadar uzun ve karmaşıktı ki, bu şifreyi kırmak için gereken çaba... web sitesinin Şifre Gücü Ölçeri idi: 7 katrilyon yıl vay canına! Bu bir rahatlama.

23 Aralık 2022: CyberHoot LastPass İhlali Güncellemesi:

LastPass, 30 Kasım tarihli son güvenlik ihlali duyurusunda, Ağustos ayındaki güvenlik ihlaliyle bağlantılı yeni bir güvenlik ihlali tespit ettiklerini açıkladı. 22.12.2022 tarihli bu güncellemede, 256 bit AES şifreli istemci parola kasalarının üçüncü bir taraftan çalındığına inandıklarını kabul ettiler. Bu, istemci verilerinin risk altında olduğunu ilk kez kabul ettikleri anlamına geliyor. İşte durum hakkındaki görüşleri:

22 Aralık, LastPass Blog Güncellemesi:  

Yukarıdaki varsayılan ayarları kullanırsanız, genel kullanıma açık parola kırma teknolojisini kullanarak ana parolanızı tahmin etmek milyonlarca yıl sürer. Kullanıcı adları ve parolalar, güvenli notlar, ekler ve form doldurma alanları gibi hassas kasa verileriniz, LastPass'ın Sıfır Bilgi mimarisine dayanarak güvenli bir şekilde şifrelenmiş olarak kalır. Şu anda yapmanız gereken herhangi bir önerilen işlem bulunmamaktadır.

Ancak, ana parolanız yukarıdaki varsayılanları kullanmıyorsa, doğru tahmin etmek için gereken deneme sayısını önemli ölçüde azaltacağını unutmamak önemlidir. Bu durumda, ek bir güvenlik önlemi olarak, kaydettiğiniz web sitelerinin parolalarını değiştirerek riski en aza indirmeyi düşünmelisiniz.

Peki bu, LastPass kullanıcıları veya LastPass'i kullanıcılarına dağıtan şirketler için ne anlama geliyor? Aslında çok fazla iş.

CyberHoot'un Etki Değerlendirmesi:

Personelimiz şunun doğru olduğunu biliyor: Son on yılda denetlediğimiz LastPass ortamlarının çoğunda, eğitim videolarımıza ve en az 14 karakterlik parolalar (LastPass varsayılanlarından 2 karakter daha uzun) gerektiren parola politikalarımıza rağmen, birçok Ana Parolanın ZAYIF. Dolayısıyla, genel olarak güçlü bir parola hijyeninin eksikliği göz önüne alındığında, LastPass'tan gelen bu yeni ihlal bilgisi, CyberHoot'un LastPass'ı kişisel olarak veya iş yerinde kullanan herkese aşağıdaki önerileri yapmasını gerektiriyor:

1. Kullanıcılarınızı bu ihlal konusunda bilgilendirin ve şunu belirtin: “Bugünkü parolanızın uzunluğunu hesaplayın. 12 karakterden kısa bir Ana Parola kullandıysanız, Ana Parolanızı bugün değiştirmelisiniz."
2. 12 karakter veya daha uzun bir ana parolanız varsa, aşağıdaki tavsiyeleri yine de uygulayabilirsiniz, ancak bunun %100 gerekli olacağını düşünmüyoruz. AŞAĞIDAKİ 3.3. ADIM'A GEÇEBİLİRSİNİZ. Ancak, parolanız daha kısaysa, özellikle 8 veya 9 karakterden oluşuyorsa veya daha kısaysa, 3. adıma geçin.
3. Yukarıdaki 1 numaralı öneri nedeniyle Ana Parolanızı değiştiriyorsanız, o zaman şunu da yapın: AŞAĞIDAKİLERİN HER BİRİ:
   1. 1. Yeni Ana Parolayı 14 ila 20 karakter uzunluğunda bir parola ifadesi yapın! Şunu izleyin CyberHoot Parolaları ve Parola İfadesi videosu Yararlı ipuçları için.
      2. Şifre Kasanızda saklanan TÜM KRİTİK HESAPLARINIZIN Şifrelerini değiştirin[Not: Evet, bu öneriye karşı çıkanların hep birlikte homurdandığını duyuyoruz. Yine de yapın.] Bunun nedeni, kaba kuvvetle kırılabilecek kısa bir parolanız varsa, tüm parolalarınızın risk altında olabilmesidir. LastPass korsanlarının teorik olarak Kasanızı hedef alıp hesabınıza kaba kuvvetle saldırabilmesi için kısa bir zaman aralığınız var. Bu nedenle, aşırı dikkatli olmak ve tüm kritik hesap parolalarınızı değiştirerek bunların tehlikeye girmesini önleyin.CyberHoot İpucu: Çok faktörlü kimlik doğrulamasına (MFA) bağlı değilse, öncelikle E-posta Şifrenizi değiştirin.
      3. LastPass Parola Kasanıza Çok Faktörlü Erişimi Etkinleştirin.  Bir Kimlik Doğrulayıcı UYGULAMASI kullanın (LastPass Kimlik Doğrulayıcı olmak zorunda değil). Kimlik Doğrulayıcı uygulamaları, Metin Mesajlaşması MFA'sından daha güvenlidir.CyberHoot Notu: Çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi, bu LastPass ihlalinde çalınan kasaları korumak için HİÇBİR ŞEY yapmaz. Hırsızlar, yalnızca belirlediğiniz ana parolanın gücüne (uzunluğuna) dayanarak parola kasalarını ele geçirmeye çalışacaklardır.]
4. Bu adım HERKES için geçerlidir. Olanak vermek Çok Faktörlü Kimlik Doğrulama (MFA), bir Kimlik Doğrulayıcı Uygulaması kullanarak veya gerçekten güvenlik konusunda titizseniz, Yubikey MFA'yı destekleyen tüm çevrimiçi hesaplarınızda donanım belirteci. Bu, ihlal edilmiş bir LastPass kasasının bile MFA korumalı hesaplarınızın tehlikeye girmesine yol açmasını engeller. MFA sizin dostunuzdur. Bazen can sıkıcı görünebilir, ancak gerçek şu ki, bir ihlalin acısı çok daha büyüktür.  Bunu bugün yapın.

CyberHoot LastPass'ın Uygulanabilirliği:  Q: CyberHoot, bu ihlal ve daha önce karşılaştıkları ihlaller göz önüne alındığında LastPass'ın uygulanabilir bir çözüm olduğunu düşünüyor mu?

Cevap: Bu soruyu sizin adınıza cevaplayamayız. Cyberhoot için, şu anda tamamen onlara bağlı olduğumuz için LastPass kullanmaya devam edeceğiz. Ana Parolalarımız 12 karakterden ÇOK DAHA UZUN, bu da kasa hırsızlığımızın söz konusu bilgisayar korsanlarına bir şey verme olasılığını düşürüyor. Ayrıca, bu olay LastPass için ne kadar acı verici olsa da, şeffaflık ve güvenliğe olan bağlılıklarını gösteriyor.  Bu olayı örtbas edip örtbas etmeleri onlar için çok daha kolay olabilirdi.  Yapmadılar. Şeffaf bir şirket istiyoruz. Hataları olduğunda kabul eden. Güvenlik olaylarını yakalamak için gelişmiş izleme sistemlerine sahip olan (bu vakada yaptıkları gibi). Ve bunları dürüst ve açık bir şekilde raporlayan. FBI'ın uzun zamandır alıntılandığı bir açıklamayla bitirelim çünkü bu açıklama TÜM şirketler ve TÜM parola yöneticisi yazılımı satıcıları için geçerli.

"Bu dünyada iki tür şirket vardır: Hacklendiğini bilenler ve hacklendiğini bilmeyenler.

LastPass'ın ne zaman ve nasıl hacklendiğini biliyoruz. Başka şifre yöneticisi sağlayıcılarının da hacklendiğine dair bir bilgimiz var mı?

Tam şeffaflık:  CyberHoot, LastPass'tan hiçbir şekilde, yönlendirme programı veya başka bir şekilde tek kuruş bile kazanmadı. Habercilik konusunda mesafeli durma arzumuz nedeniyle muhtemelen binlerce dolarlık yönlendirme parasını boşa harcadık.

kaynaklar:

Naked Security'nin 23 Aralık tarihli LastPass İhlali Makalesi

LastPass Blog'u ihlali ve verdikleri yanıtı özetliyor

İşletmenizi bugün CyberHoot ile güvence altına alın!!!

Şimdi Üye Olun