Новость о том, что сетевая безопасность LastPass была скомпрометирована, конечно, серьезная проблема. То, что взломанная компания предоставляет услуги по управлению паролями, повышает серьезность проблемы на ступень - или на десять. Так почему же я, человек, построивший карьеру на написании статей об ИТ-безопасности, не вырываюсь из-за этого? Помимо того факта, что мне не к чему дергаться, нарушение LastPass не так важно для некоторых из нас, как для других.
Мы не обнаружили никаких доказательств того, что были взяты зашифрованные данные пользовательского хранилища или что был осуществлен доступ к учетным записям пользователей LastPass, - сообщил нам представитель LastPass. Так в чем же вся суета, спросите вы - в чем риск? На мой взгляд, это двоякое. Во-первых, поскольку адреса электронной почты и связанные с ними напоминания паролей были скомпрометированы, я ожидал увидеть целевые попытки фишинга в виде поддельных сообщений об изменении главного пароля. Хотелось бы думать, что я бы на них не попался.
как выделить текст в paint.net
Что касается второго риска, слабые мастер-пароли в настоящее время будут подвергаться попыткам взлома методом грубой силы из-за того, что серверные соли для каждого пользователя и хэши проверки подлинности, к которым осуществляется доступ. Что касается таких попыток взлома, то тот факт, что LastPass усиливает эти хэши аутентификации случайной солью и добавляет 100000 раундов PBKDF2-SHA256 на стороне сервера для хорошей меры, затрудняет их взлом. Однако, если мастер-пароль плохой, он все равно будет открыт для атак методом перебора; просто потребуется немного больше времени, чтобы его взломать.
Таким образом, LastPass принудительно меняет главный пароль для большинства пользователей и запрашивает подтверждение электронной почты у тех, кто входит в систему с нового устройства или IP-адреса. Однако я не буду менять свой мастер-пароль, и я (давайте посмотрим) уже 442 дня, потому что он случайный, сложный, более 25 символов в длину, он больше нигде не используется, и я могу запомнить это наизусть. Кроме того, это подтверждается двумя волшебными словами: многофакторная аутентификация.
Бум! Насколько я понимаю, все эти попытки проникнуть в периферию сети LastPass напрасны, потому что я использую надежный мастер-пароль, подкрепленный многофакторной аутентификацией. Даже если мой главный пароль каким-то образом был скомпрометирован, злоумышленник должен был получить доступ к моему YubiKey (физическому токену), чтобы расшифровать мое хранилище паролей. Эти расширенные настройки бесплатны и доступны пользователям в течение некоторого времени - к тому же вам не нужно покупать YubiKey; при желании вы можете использовать бесплатное приложение, такое как Google Authenticator. Почему бы вам не использовать двухфакторную аутентификацию (2FA) на любом сайте или в сервисе, где она предлагается? Нет, серьезно?
Говоря о расширенных настройках, я использую еще один, который дает мне еще один уровень уверенности в том, что мои данные достаточно безопасны с LastPass, и это ограничение географического доступа. Вы можете установить ограничения по странам, которые позволят вам выбрать страны, из которых можно получить доступ к вашему хранилищу паролей. Я сохраняю это только для Великобритании, если я не выезжаю за границу, и в этом случае я активирую это конкретное место перед отъездом. Да, и я тоже не разрешаю вход в систему из сетей Tor. Параноик, мои? Нет, просто разумно ограничить доступ к этим ключам от королевства. Как и вам должно быть.
Что меня больше всего беспокоит в компромиссе LastPass, так это, как ни странно, не сам компромисс, а ответ на него; и особенно СМИ - как профессиональные, так и социальные. Кажется, есть скрытое чувство восторга от того, что вы пнули LastPass, и многие рассказали вам об этом в отчетах. Но что именно вы нам сказали? Что именно здесь произошло? Насколько мы можем видеть, никакие зашифрованные парольные данные не были скомпрометированы, и LastPass довольно прозрачно раскрывает событие и принимает меры для дальнейшего обеспечения доверия пользователей.
Что будут делать скептики в СМИ? Вернуться к ручке и бумаге или, может быть, к более техническому решению «зашифровать самостоятельно»? Я видел и то, и другое, и ни одно из них не снижает риск для обычного Джо, как раз наоборот. Может быть, перейти к другому провайдеру управления паролями? Опять же, как это поможет, если вы не знаете, как они отреагируют, когда - не если - они пострадают? По крайней мере, вы знаете, что LastPass всегда на высоте, когда дело доходит до реагирования на нарушения.
Для меня диспетчер паролей остается наиболее безопасным вариантом для большинства людей, и если вы последуете моему примеру и объедините надежный мастер-пароль с многофакторной аутентификацией и некоторыми параметрами блокировки входа в систему, вы снизите риск взлома настолько, насколько это возможно для человека.
Вот почему, дорогой читатель, мне не нужно менять главный пароль; или мой менеджер паролей, если на то пошло.