Nyheten om at LastPass-nettverkssikkerhet er kompromittert er selvfølgelig et alvorlig problem. At selskapet som ble brutt var en som leverer en passordadministrasjonstjeneste, skrår opp alvoret - eller ti. Så hvorfor er jeg, noen som har bygget en karriere med å skrive om IT-sikkerhet, ikke å trekke håret ut av det? Langt utover det faktum at jeg ikke har noen å rive med, er LastPass-bruddet ikke så stor en avtale for noen av oss som for andre.
Vi har ikke funnet noe bevis for at krypterte brukerhvelvdata ble tatt, og heller ikke at LastPass-brukerkontoer ble åpnet, forteller en talsmann for LastPass oss. Så hva er alt oppstyret med, kan du spørre - hvor er risikoen? Vel, det er dobbelt slik jeg ser det. For det første, siden e-postadresser og tilknyttede passordpåminnelser er blitt kompromittert, forventer jeg å se målrettede phishing-forsøk i form av falske meldinger om tilbakestilling av hovedpassord. Jeg vil tro at jeg ikke ville falle for dem.
hvordan du fjerner bilder fra iphone
Når det gjelder den andre risikoen, vil svake hovedpassord for øyeblikket være gjenstand for brute-force cracking forsøk, med tillatelse fra serveren per bruker-salter og autentiseringshasker. Så langt slike krakningsforsøk går, gjør det faktum at LastPass styrker disse autentiseringshaskene med et tilfeldig salt og kaster inn ytterligere 100.000 runder PBKDF2-SHA256 på serversiden for godt mål å gjøre det vanskeligere å bryte dem. Imidlertid, hvis hovedpassordet er dårlig, vil det fremdeles være åpent for brute-force angrep; det vil bare ta litt mer tid å knekke den.
Så LastPass tvinger en hovedpassordendring på de fleste brukere, og ber om e-postbekreftelse fra de som logger på fra en ny enhet eller IP-adresse. Jeg vil imidlertid ikke endre hovedpassordet mitt, og heller ikke (la oss se) i 442 dager nå fordi det er tilfeldig, det er komplekst, det er mer enn 25 tegn langt, det brukes ikke noe annet sted, og jeg kan huske det utenat. I tillegg støttes det av følgende to magiske ord: multifaktorautentisering.
Boom! Så vidt jeg er bekymret for, er all den innsatsen for å komme inn i periferien til LastPass-nettverket for ingenting fordi jeg bruker et sterkt hovedpassord støttet av multifaktorautentisering. Selv om hovedpassordet mitt på en eller annen måte var kompromittert, måtte angriperen få tilgang til YubiKey (et fysisk token) for å dekryptere passordhvelvet mitt. Disse avanserte innstillingene er gratis å bruke og har vært tilgjengelige for brukere i noen tid - pluss at du ikke trenger å kjøpe en YubiKey; du kan bruke en app som du kan laste ned gratis, for eksempel Google Authenticator, hvis du vil. Hvorfor bruker du ikke tofaktorautentisering (2FA) på et hvilket som helst nettsted eller en tjeneste der det tilbys? Nei seriøst?
Når vi snakker om avanserte innstillinger, er det en annen jeg bruker som gir meg enda et lag av tillit til at dataene mine er rimelig trygge med LastPass, og det er en geografisk tilgangsavstenging. Du kan angi landbegrensninger som gjør det mulig å bestemme land hvor passordhvelvet ditt er tilgjengelig. Jeg holder dette låst til Storbritannia med mindre jeg reiser utenlands. I så fall aktiverer jeg det bestemte stedet før jeg reiser. Åh, og jeg tillater heller ikke pålogginger fra Tor-nettverk. Paranoid, moi? Nei, bare fornuftig med å begrense tilgangen til disse nøklene til riket. Som du burde være også.
Det som bekymrer meg mest om LastPass-kompromisset er ikke, merkelig nok, selve kompromisset, men svaret på det; og spesielt medienes - både profesjonelle og sosiale. Det ser ut til å være en underliggende følelse av glede som blir tatt med å sparke LastPass, og mye fortalt deg rapportering av sånn type. Men hva fortalte du oss? Hva har egentlig skjedd her? Ingen krypterte passorddata er kompromittert så langt vi kan se, og LastPass har vært ganske gjennomsiktig når det gjelder å avsløre hendelsen og sette trinn på plass for å sikre brukernes tillit ytterligere.
Hva ville medieselskere ha oss til å gjøre? Gå tilbake til penn og papir, eller en mer teknisk krypter det selv-løsningen kanskje? Jeg har sett begge foreslått, og verken reduserer risikoen for den gjennomsnittlige Joe, det motsatte faktisk. Kanskje flytte til en annen leverandør av passordadministrasjon? Igjen, hvordan hjelper det når du ikke vet hvordan de vil svare når - ikke hvis - de får et brudd? I det minste vet du at LastPass er på ballen når det gjelder bruddrespons.
For meg forblir en passordbehandling det sikreste alternativet for folk flest, og hvis du følger min ledelse og kombinerer et sterkt hovedpassord med multifaktorautentisering og noen alternativer for påloggingslåsing, reduserer du risikoen for kompromisser så mye som det er menneskelig mulig.
Og det, kjære leser, er grunnen til at jeg ikke trenger å endre hovedpassordet mitt; eller passordbehandleren min for den saks skyld.
