Оцените:

Чтобы было понятней, о чём идёт речь, поясним, что такое LastPass. Это плагин для браузера по автозаполнению форм и онлайн-менеджер, который на сервере хранит ваши пароли от разных сайтов. Таким образом, пользователям необходимо помнить только логин-пароль от своего аккаунта в LastPass. При посещении сайтов поля авторизации будут автозаполняться плагином LastPass. Данные на сервере хранятся в зашифрованном виде. Расшифровка происходит при помощи ключа, который является хэш-функцией от мастер-пароля и e-mail и хранится локально на компьютере пользователя. Сервис этот весьма популярен и имеет различные регалии – выбор редакторa журнала PC Magazine как программа для хранения паролей, 5-звездочный рейтинг на Firefox Add-Ons, кроме того, LastPass приобрела в прошлом году не менее популярный сервис закладок Xmarks.


Во вторник 3 мая системные администраторы LastPass обнаружили резкий скачок в потреблении трафика на одном из серверов, отвечающих за ведение логов событий. Событие это осталось бы незамеченным – в конце концов логи – это не пароли пользователей, однако вскоре скачок трафика произошёл с сервера базы данных, содержащих личную информацию пользователей.


dc1f7b4e-0bab-4fff-9942-ec4c461250d8[1]


Несмотря на то, что других следов взлома, кроме возросшего трафика, обнаружено не было, в своём блоге компания написала, что предпочитает предполагать, что произошло худшее – что был получен несанкционированный доступ к базе. В блоге также отмечалось, что тем пользователям, у которых сложный мастер-пароль от их аккаунта в LastPass опасаться нечего: так как данные в базе хранятся в зашифрованном виде, то методом перебора в разумные сроки подобрать пароль, который будет использоваться для расшифровки, невозможно (данные зашифрованы по алгоритму AES 256-битным ключом).


Тем не менее, всем без исключения пользователям было рекомендовано сменить мастер-пароль. В качестве дополнительной меры безопасности к аккаунтам был разрешёно доступ только с тех IP-адресов, с которых ранее уже происходил доступ. Тем, пользователям, кому необходимо было зайти в LastPass с нового IP-адреса, необходимо было верифицировать себя путём клика на активационную ссылку, которая присылалась в e-mail.


Любопытно, что вскоре компания сообщила, что сервера испытывают перегрузку от запросов пользователей на смену пароля. Поэтому тех, кто пользуется сервисом с прежнего IP-адреса, попросили повременить со сменой пароля на пару дней.


Cyber[1]


6 мая в интервью PC World генеральный директор LastPass Джо Сигрист (Joe Siegrist) заявил, что, очевидно, заявление об утечки данных было слишком алармистским, и, по его мнению, злоумышленниками были украдены данные небольшого числа пользователей. В этом интервью он ещё раз акцентировал внимание на том, что пользователям с сильным мастер-паролем опасаться нечего. При этом людям со слабыми мастер-паролями он порекомендовал не только сменить сам мастер-пароль, но и пароли от наиболее важных сервисов, которые хранились в LastPass, таких как e-mail и онлайн-банкинг.


Кстати, любопытный факт – в своём блоге компания отмечает, что многие пользователи из числа тех, кто поменял мастер пароль, уже успели его забыть. Для них из бэкапов системы был восстановлен прежний мастер-пароль. Компания рекомендует сразу после смены пароля несколько раз потренироваться с его вводом для лучшей запоминаемости.


Отметим, что ранее, в начале марта этого года, эксперт в области безопасности Майк Кардвелл (Mike Cardwell) обнаружил XSS-уязвимость в LastPass, с помощью которой можно извлечь адреса электронной почты пользователей, адреса ресурсов, для которых сохранены авторизационые данные и некоторую другую информацию. Для использования этой уязвимости пользователь должен был быть предварительно авторизован в LastPass, а после авторизации посетить вредоносный ресурс. О найденной уязвимости Майк Кардвелл сообщил в администрацию LastPass и она была оперативно исправлена.


lastpass-251x300[1]


Какой вывод из всего этого можно сделать? Серебряной пули нет. Будете хранить пароли на компьютере – компьютер могут взломать или же винчестер может необратимо сломаться. Будете хранить в LastPass – уже лучше, но и тут сильный мастер-пароль не панацея – через засланный в ваш компьютер троян снимет необходимую информацию. Будете хранить пароли в офлайне на бумажке – взлома компьютера или смерти винчестера можете опасаться в меньшей степени (но перехватывающих информацию троянов всё равно надо бояться) – но бумажка может потеряться или, например, сгореть. Лучший способ, конечно – это иметь отличную память и хранить в ней 32-х значные пароли из мешанины букв, чисел и спецсимволов, но и это не панацея – никто не даёт вам гарантии, что вы всё не забудете.

Автор: danivanov
Оцените:

Комментарии Facebook

Комментарии ВКонтакте