LastPass hacket: Skift din hovedadgangskode, aktiver multifaktor-godkendelse

LastPass offentliggjorde i dag en sikkerhedsmeddelelse på sin blog, hvori brugerne ved, at dens servere blev hacket, og nogle data blev stjålet. Her er et kig på, hvad LastPass sagde, hvordan du ændrer din hovedadgangskode og aktiverer multifaktorgodkendelse til et godt mål.

LastPass hacket

I en blogindlæg, LastPass gav nogle begrænsede detaljer om, hvad der skete:

Vi vil underrette vores samfund om, at vores team på fredag ​​opdagede og blokerede mistænkelige aktiviteter på vores netværk. I vores undersøgelse har vi ikke fundet noget bevis for, at der blev taget krypterede brugerhvelvningsdata, eller at der blev adgang til LastPass-brugerkonti. Undersøgelsen har imidlertid vist, at LastPass-konto-e-mail-adresser, adgangskoderpåmindelser, server pr. Bruger salte og godkendelseshasjer blev kompromitteret.

Vi er overbeviste om, at vores krypteringsforanstaltninger er tilstrækkelige til at beskytte langt de fleste brugere. LastPass styrker godkendelseshash med et tilfældigt salt og 100.000 runder med serversiden PBKDF2-SHA256, ud over de runder, der udføres klientsiden. Denne ekstra styrkelse gør det vanskeligt at angribe de stjålne hasjer med nogen betydelig hastighed.

Virksomheden sagde også: ”Vi kræver, at alle brugere, der logger på fra en ny enhed eller IP-adresse, først verificerer deres konto via e-mail, medmindre du har aktiveret multifaktorgodkendelse. Som en ekstra sikkerhedsforanstaltning vil vi også bede brugerne om at opdatere deres hovedadgangskode. ”

En ting, der er ret irriterende for mange brugere, er at de finder ud af denne nyhed på websteder. Som virksomheden også sagde i sit indlæg, at der sendes e-mails til alle brugere om sikkerhedshændelsen. På dette tidspunkt har jeg ikke modtaget en, og af udseendet af kommentarerne på LastPass-bloggen har der heller ikke mange andre brugere.

Skift din LastPass-masteradgangskode

For at ændre din hovedadgangskode og klikke på Kontoindstillinger fra venstre rude.

Klik derefter på Skift hovedadgangskode i vinduet Kontoindstillinger under afsnittet Login-legitimationsoplysninger.

Det bringer dig til siden Password Reset, hvor du blot kan følge instruktionerne på skærmen for at ændre din masteradgangskode. Under processen krypterer LastPass alt igen og sender dig en bekræftelses-e-mail, som du har ændret masteren.

Aktivér MultiFactor-godkendelse til LastPass

Mens du er ved det, anbefaler vi, at du aktiverer multifaktorgodkendelse af din LastPass-konto. Det tilføjer et ekstra lag af sikkerhed til din konto og giver dig mere ro i sindet, at dine adgangskoder er sikre.

I sin erklæring i dag sagde LastPass: “Vi kræver, at alle brugere, der logger på fra en ny enhed eller IP-adresse, først verificerer deres konto via e-mail, medmindre du har multifaktorgodkendelse aktiveret.”

Vi viste dig, hvordan du gør det Aktivér LastPass tofaktorautentisering et par år siden. Processen er ekstremt enkel, og der er ingen bedre måde at sikre din LastPass-konto. Helt ærligt, i det online klima, vi har i dag, er det ikke længere valgfrit at aktivere tofaktorautentisering, hvis du vil holde dine online konti sikre. Vi har talt om dette grundigt her på groovyPost, og vi planlægger at fokusere på dette endnu mere i de kommende uger.

For at aktivere tofaktor- eller multifaktorgodkendelse i Lastpass skal du bare gå til Kontoindstillinger> Multifaktorindstillinger og vælge den metode, du vil bruge... Google Authenticator er sandsynligvis den nemmeste.

Der er andre tjenester, som brugere, der har en Premium-konto ($ 12 / år) kan bruge som fingeraftryksscannere og USB-nøgler.

Opdatering 16/6/2015:

I dag modtog jeg endelig en e-mail fra LastPass om sikkerhedsspørgsmålet. Det er kort og giver ikke meget mere detaljer end det, vi allerede ved.

Kære LastPass-bruger,

Vi ønskede at advare dig om, at vores team for nylig opdagede og straks blokerede for mistænkelig aktivitet på vores netværk. Ingen krypterede brugerhvelvningsdata blev taget, men andre data, inklusive e-mail-adresser og adgangskoderpåmindelser, blev kompromitteret.

Vi er overbeviste om, at de krypteringsalgoritmer, vi bruger, vil beskytte vores brugere tilstrækkeligt. For yderligere at sikre din sikkerhed kræver vi verifikation via e-mail, når vi logger ind fra en ny enhed eller IP-adresse, og vi beder brugerne om at opdatere deres hovedadgangskoder.

Vi beklager ulejligheden, men i sidste ende tror vi, at dette bedre beskytter LastPass-brugere. Tak for din forståelse og for at bruge LastPass.

Hilsen,
LastPass-holdet

Alt i alt ser det ikke ud til at være noget at panikere over, da de adgangskoder, der er gemt i dit hvælvelse, er godt beskyttet og ikke skulle have været kompromitteret. Du vil dog bestemt ønske at ændre din Master Password og aktivere Multifactor Authentication så hurtigt som muligt.