Nyheden om, at LastPass-netværkssikkerhed er kompromitteret, er naturligvis et alvorligt problem. At virksomheden, der blev overtrådt, var en, der leverer en adgangskodeadministrationstjeneste, skriver alvoret op med et hak - eller ti. Så hvorfor er jeg, en person, der har bygget en karriere på at skrive om it-sikkerhed og ikke trækker mit hår ud af det? Langt ud over det faktum, at jeg ikke har nogen at trække i, er LastPass-overtrædelsen ikke så stor en aftale for nogle af os som for andre.
Vi har ikke fundet noget bevis for, at der blev taget krypterede brugerhvelvningsdata, og heller ikke at der var adgang til LastPass-brugerkonti, fortæller en talsmand for LastPass os. Så hvad handler det meget om, spørger du måske - hvor er risikoen? Nå, det er dobbelt, som jeg ser det. For det første, da e-mail-adresser og tilknyttede adgangskodepåmindelser er blevet kompromitteret, ville jeg forvente at se målrettede phishing-forsøg i form af falske meddelelser om nulstilling af master-adgangskode. Jeg vil gerne tro, at jeg ikke ville falde for dem.
hvordan man skifter wav til mp3
Hvad angår den anden risiko, vil svage masteradgangskoder i øjeblikket være genstand for brutale kraftprøvningsforsøg, med tilladelse til serverens salte per bruger og godkendelse af hashes. For så vidt som sådanne krakningsforsøg går, gør det faktum, at LastPass styrker disse godkendelseshasher med et tilfældigt salt og kaster yderligere 100.000 runder PBKDF2-SHA256 på serversiden til en god målestok det sværere at bryde dem. Men hvis hovedadgangskoden er dårlig, vil den stadig være åben for brute-force angreb; det tager bare lidt mere tid at knække det.
Så tvang LastPass en ændring af hovedadgangskoden til de fleste brugere og beder om e-mail-verifikation fra dem, der logger ind fra en ny enhed eller IP-adresse. Jeg vil dog ikke ændre min hovedadgangskode, og jeg har heller ikke (lad os se på det) i 442 dage nu, fordi det er tilfældigt, det er komplekst, det er mere end 25 tegn langt, det bruges ikke andre steder, og jeg kan huske det udenad. Derudover er det bakket op af følgende to magiske ord: multifaktorautentificering.
Boom! Så vidt jeg er bekymret for, er al den indsats for at komme ind i periferien af LastPass-netværket for ingenting, fordi jeg bruger en stærk hovedadgangskode, der bakkes op af multifaktorautentificering. Selvom min hovedadgangskode på en eller anden måde var kompromitteret, ville angriberen derefter have adgang til min YubiKey (et fysisk token) for at dekryptere min adgangskodshvelv. Disse avancerede indstillinger er gratis at bruge og har været tilgængelige for brugere i nogen tid - plus, du behøver ikke at købe en YubiKey; du kan bruge en app, der kan downloades gratis, f.eks. Google Authenticator, hvis du vil. Hvorfor bruger du ikke tofaktorautentificering (2FA) på ethvert sted eller en tjeneste, hvor den tilbydes? Nej seriøst?
Når vi taler om avancerede indstillinger, er der en anden, som jeg bruger, der giver mig endnu et lag af tillid til, at mine data er rimeligt sikre med LastPass, og det er en geografisk adgangsnedlåsning. Du kan indstille landebegrænsninger, der giver dig mulighed for at bestemme de lande, hvorfra adgangskodshvelvingen kan fås. Jeg holder dette låst nede i Storbritannien, medmindre jeg rejser i udlandet, i hvilket tilfælde jeg aktiverer den specifikke placering, inden jeg afgår. Åh, og jeg tillader heller ikke logins fra Tor-netværk. Paranoid, moi? Nej, bare fornuftigt med at begrænse adgangen til disse nøgler til riget. Som du også skal være.
Det, der bekymrer mig mest om LastPass-kompromiset, er ikke mærkeligt nok selve kompromiset, men svaret på det; og især mediernes - både professionelle og sociale. Der ser ud til at være en underliggende følelse af glæde ved at sparke LastPass, og masser af fortalt dig rapporter af den slags. Men hvad fortalte du os præcist? Hvad er der sket her? Ingen krypterede adgangskodedata er kompromitteret, så vidt vi kan se, og LastPass har været ret gennemsigtig med hensyn til at afsløre begivenheden og sætte skridt på plads for yderligere at sikre brugernes tillid.
Hvad ville medierne, der siger nej, have os til at gøre? Vend tilbage til pen og papir eller en mere teknisk krypter det måske selv? Jeg har set begge foreslået og hverken reducerer risikoen for den gennemsnitlige Joe, snarere faktisk det modsatte. Måske flytte til en anden udbyder af adgangskodestyring? Igen, hvordan hjælper det, når du ikke ved, hvordan de vil reagere, når - ikke hvis - de lider et brud? I det mindste ved du, at LastPass er på bolden, når det kommer til brudrespons.
For mig forbliver en adgangskodeadministrator den sikreste mulighed for de fleste, og hvis du følger min ledelse og kombinerer en stærk masteradgangskode med multifaktorautentificering og nogle login-lockdown-muligheder, reducerer du risikoen for kompromis så meget som det er menneskeligt muligt.
Og det, kære læser, er grunden til, at jeg ikke behøver at ændre min hovedadgangskode; eller min adgangskodeadministrator for den sags skyld.
