LastPass атакуван, PlayStation Network Breached: Съхраняването на паролите ви в облака безопасно ли е?
LastPass, базираният в облак мениджър на пароли, е открил анормална активност в сървърните си регистрационни файлове, категорично предполагайки, че някой е имал достъп до база данни, съдържаща имейл адреси на потребителите, криптирани хешове на пароли и сол на сървъра. Ако сте потребител на LastPass, ще бъдете принудени да промените главната си парола при следващото влизане - и освен това, в случай че хакерите успешно са принудили вашата главна парола, LastPass ще ви позволи да промените главната си парола само ако имате достъп до услугата от блок с IP адрес, който сте използвали преди, или ако потвърдите имейл адреса си.
Ако не сте го използвали преди, LastPass е добавка за уеб браузър, която генерира различна защитена парола за всяка от вашите онлайн услуги - след това, когато се върнете на сайта, LastPass автоматично попълва формуляра за вход с вашите данни. Паролите ви се съхраняват на сървърите на LastPass, за да можете да използвате LastPass от дома, офиса или където и да е другаде. Всичко е шифровано с вашата главна парола или парола, която трябва да бъде достатъчно дълга, за да издържи на атака на груба сила.
Концепцията за съхраняване на всичките ви пароли на едно място, зад ключалка, не е нова. Известно е, че един от „най-добрите“ начини за съхранение на сложни пароли е на лист хартия в реалния сейф или в банков депозит - и също така има много хора, които държат писмени копия на пароли в чекмеджета на бюро, кутии за обувки , или дори на бележки след него, прикрепени към монитора им. Наистина ли LastPass е по-сигурна опция от тези реални решения?
LastPass, както всяка онлайн услуга, е податлив на цял набор от хакове, от SQL инжектиране до атаки човек в средата. Само преди няколко месеца беше установено, че LastPass е уязвими за скриптове между сайтове (XSS), а днешните новини предполагат, че може да има друга слабост в защитата му. Истината е, че тези хранилища в облака с имейл адреси и пароли представляват крайната цел за хакери, спамъри и крадци на самоличност. Достъпът до базата данни с пароли на LastPass би струвал милиони долари и единственото нещо, което го защитава - защитава нас - е шепа цифрови механизми за сигурност.
Това не означава, че LastPass е несигурен. Технологиите, върху които е изградена услугата, са изначално сигурни и LastPass винаги се е движил бързо, за да бъде в крак с началото на изкуството. В края на деня обаче изпращате паролите си през интернет и паролите ви се съхраняват в база данни извън вашия контрол. Независимо дали ви харесва или не, съществува известен риск за използването на която и да е онлайн услуга, включително LastPass.
В идеалния свят ние бихме изрязали средния човек и сами бихме генерирали сложни пароли и бихме ги извикали от паметта с помощта на умни мнемонични трикове. В действителност обаче, когато сме принудени да запомним пароли, повечето от нас избират нещо просто - или, което е още по-лошо, използваме една и съща парола в множество услуги. Едно добро решение е да използвате офлайн мениджър на пароли като KeePass , който след това можете да носите със себе си на USB памет - но ако къщата ви е ограбена или ви ограбят, тогава ще пожелаете вместо това да използвате LastPass.
И накрая, имайте предвид това: единствената разлика между PlayStation Network на Sony, която беше монументално и ужасно нарушен миналата седмица и хранилището за пароли на LastPass е как те са защитени от неоторизиран достъп. Както LastPass, така и Sony имат достъп до едни и същи защитени протоколи и техники за криптиране и единственото нещо, което пази данните ви в безопасност - или не - е как са използвани.
Прочетете повече на Блог на LastPass