A LastPass adatszivárgása még 2022 augusztusában történt, de most kezdenek igazán izgalmasak lenni a dolgok.
LastPass jelszókezelő
A LastPass az egyik (ha nem A) legnépszerűbb jeszókezelő, minden platformon használható és nagyban megkönnyíti az online lét elviselhetetlen könnyűségét.
A cég CEO-ja, Karim Toubbe 2022 decemberében egy blogposztban ismerte el a történteket. Ebben leírja, hogy egy külső fél hozzájutott a felhasználók adataihoz és a széfben (vault) tárolt érzékeny adatokhoz. Sajnos ez nem az első alkalom, hogy a LastPass-t ilyen támadás éri, ahogy történt ez már 2011-ben is.
Milyen adatokhoz fértek hozzá?
A legutóbbi adatszivárgásban az elkövetők a következő adatokhoz fértek hozzá:
- titkosítatlan felhasználói adatokhoz
- LastPass felhasználónevek
- Cégnevek
- Számlázási címek
- Email címek
- Telefonszámok
- IP címek
- Széf (vault) adatok
- URL-ek
- felhasználónevek és jelszavak (titkosított formában)
Mit tehetsz, ha LastPass-t használsz használtál?
A cég nem közölte, hogy mennyi felhasználó érintett a szivárgásban, de ha te LastPass jelszókezelőt használsz, attól tartok, itt az ideje egy új megoldást keresned és megváltoztatni az összes jelszavadat, amit ebben az eszközben tároltál.
Lehet, hogy nem vagy érintett – megvan rá az esély. De ebben a pillanatban érdemes úgy kezelned, mintha az lennél – tekintve, hogy ezzel kapcsolatban nem árulnak el információkat.
Az érzékeny adatokhoz csak kódolt formában fértek hozzá a támadók, de mivel azok már náluk vannak, ezért semmi nem akadályozza meg őket abban, hogy brute force támadással előbb-utóbb feltörjék a titkosítást, ami után pedig kényelmesen hozzáférnek az összes információhoz.
Mi az a Brute Force Attack?
A brute force támadás egy próbálgatós módszer, amelyet arra használnak, hogy feltörjenek egy jelszót vagy titkosítási kulcsot. Az alapelv az, hogy az összes lehetséges kombinációt kipróbálják addig, amíg a helyes megoldást megtalálják.
Általában automatizált folyamatról van szó, amely szoftvert használ a különböző jelszavak vagy kulcsok generálásához és teszteléséhez.
A brute force támadás hatékony lehet, de nagyon idő-, és erőforrásigényes, különösen összetett jelszavak vagy kulcsok esetén.
A támadások elleni védekezéshez erős jelszavakat vagy kulcsméreteket érdemes használni, valamint más biztonsági intézkedéseket is alkalmazni, például az újrapróbálkozások korlátozását vagy a fiók zárolását a sikertelen bejelentkezési kísérletek után.
A LastPass közleménye szerint a titkosított adatok feltöréséhez több millió évre lesz szükség – amennyiben követted a jelszókészítés szabályait. Sajnos azonban százból kilencvenkilencen ezt nem teszik meg, hiszen rengetegen használják az 123456, Jelszo1 és hasonló ‘jelszavakat’, amik kb semmi ellen nem védenek és egy ilyen brute force támadás esetén elsőként hullanak el.
Ellenőrizheted, hogy kiszivárogtak-e jelszavaid – ilyenkor akár a dark web legmélyebb bugyraiban is kiköthetnek. Mondani sem kell, hogy ez nem jó…
Tehát, amennyiben nem használsz rendes jelszót, vagy csak szeretnél nyugodtan aludni, a következő a teendő:
- Keress egy új jelszókezelőt – A LastPass történelme miatt egyébként is érdemesebb lehet egy másikat találni.
- Változtasd meg a fontos jelszavaidat azonnal – A legfontosabbak a banki jelszavaid, paypal, stripe és a pénzhez köthetők. A céges jelszavak és egészségügyi információkhoz tartozóak szintén prioritást élveznek. Használj erős jelszavakat!
- Változtasd meg az összes jelszavadat – Ha a fontosakkal megvagy, jöhetnek a levelezéshez, hostinghoz, ilyesmikhez tartozók, majd az összes többi. Tudom, időigényes.
- Kétlépcsős azonosítás – ahol csak lehet, kapcsold be. Igen, néha kényelmetlen tud lenni. De vagy ez, vagy lemondasz a bankszámládról.
- Mesterjelszó megváltoztatása – Bár ez már változtat azon, ha a te adataid is a kiszivárgottak között van, de a jövőbeli támadások esetére jobb, ha ezt a hibafaktort is kiiktatod – persze csak akkor, ha a LastPass-szal maradsz ezután is.
Alternatív jelszókezelők
Ha lecserélnéd a LastPass jelszókezelőt, itt van néhány alternatíva:
- 1Password: Ez kizárólag fizetős verzióban érhető el, de ettől függetlenül valószínűleg a legjobb választás. 14 napig kihasználható próbaverziója van és természetesen használható minden felületen.
- Keeper: Személyes és céges használatra is ajánlott (mi ezt használjuk céges környezetben). Személyes fiók esetén választhatsz családi csomagot is, amit 5 személy használhat desktopon és mobilon egyaránt.
- Bitwarden: Az egyik legjobbra értékelt jelszókezelő a szaklapoknál. Nyílt forráskódú, céges és személyes használatra egyaránt elérhető. Desktopon, böngészőben, mobilon és parancssorból is használható, akár ingyenesen is.
- NordVPN + NordPass: extra elővigyázatosságként használj VPN-t, ehhez még egy jelszókezelő is tarotozik (a Plus csomagban) ami nagyban megkönnyítheti az életed (kedvezményes, 2 éves ajánlat).
Ha szeretnéd megtanulni a biztonság alapjait, nézd meg a tananyagunkat, amiben az olyan alapvető dolgok mellett, mint hogy hogyan készíts biztonságos jelszavakat, azt is megtanulod, hogyan használd a lehető legnagyobb biztonsággal a web3 platformokat, és mozogj lelki nyugalommal a DeFi-ban.