LastPass Hacked: Ändra ditt huvudlösenord, aktivera multifaktorautentisering
LastPass släppte idag ett säkerhetsmeddelande på sin blogg som låter användarna veta att dess servrar hackades och vissa data stulits. Här är en titt på vad LastPass sa, hur man ändrar ditt huvudlösenord och aktivera multifaktorautentisering för gott resultat.
LastPass Hacked
I ett blogginlägg gav LastPass några begränsade detaljer om vad som hände:
Vi vill meddela vårt samhälle det på fredag, vårt team upptäckte och blockerade misstänkt aktivitet i vårt nätverk. I vår undersökning har vi inte hittat några bevis på att krypterade användarvalvdata togs, eller att LastPass användarkonton kunde nås. Undersökningen har dock visat att LastPass-konto-e-postadresser, lösenordsminnelser, server per användarsalter och autentiseringshack har äventyras.
Vi är övertygade om att våra krypteringsåtgärder är tillräckliga för att skydda de allra flesta användare. LastPass stärker autentiseringshashen med ett slumpmässigt salt och 100.000 rundor på serversidan PBKDF2-SHA256, utöver de rundor som utförs på klientsidan. Denna ytterligare förstärkning gör det svårt att attackera de stulna hasharna med någon signifikant hastighet.
Företaget sade också: "Vi kräver att alla användare som loggar in från en ny enhet eller IP-adress först verifierar sitt konto via e-post, om du inte har aktiverat multifaktorautentisering. Som en försiktighetsåtgärd kommer vi också att uppmana användarna att uppdatera sitt huvudlösenord. "
En sak som är ganska irriterande för många användare är att de hittar om denna nyhet på webbplatser. Som bolaget sade också i sin post att e-postmeddelanden skickas till alla användare om säkerhetsincidenten. Vid tidpunkten för det här skrivandet har jag inte fått en, och med utseendet på kommentarerna på LastPass-bloggen har inte många andra användare.
Ändra ditt LastPass Master Password
Ändra ditt huvudlösenord och klicka på Kontoinställningar i den vänstra rutan.
Sedan klickar du på Ändra huvudlösenord i fönstret Kontoinställningar under avsnittet Inloggningsuppgifter.
Det tar dig till sidan Lösenordsåterställning där du helt enkelt kan följa instruktionerna på skärmen för att ändra ditt huvudlösenord. Under processen återkrypteras LastPass allt och skickar dig ett verifieringsmeddelande om att du ändrade befälhavaren.
Aktivera MultiFactor Authentication för LastPass
Vi rekommenderar att du aktiverar multifaktorautentisering för ditt LastPass-konto. Det lägger till ett extra säkerhetslager till ditt konto och ger dig mer lugn och ro att dina lösenord är säkra.
I sitt uttalande idag sa LastPass: "Vi kräver att alla användare som loggar in från en ny enhet eller IP-adress först verifierar sitt konto via e-post, om du inte har multifaktorautentisering aktiverad."
Vi visade dig hur du aktiverar LastPass Two Factor Authentication för några år sedan. Processen är extremt enkel och det finns inget bättre sätt att säkra ditt LastPass-konto. Ärligt talat, i det onlineklimat vi har idag är det inte längre möjligt att aktivera tvåfaktorsautentisering om du vill behålla dina onlinekonton säkra. Vi har talat om detta i djup här på och vi planerar att fokusera på detta ännu mer under de närmaste veckorna.
För att aktivera tvåfaktor eller multifaktorautentisering i Lastpass, gå bara till Kontoinställningar> Multifaktoralternativ och välj vilken metod du vill använda ... Google Authenticator är förmodligen det enklaste.
Det finns andra tjänster som användare som har ett Premium-konto ($ 12 / år) kan använda som fingeravtrycksscannrar och USB-nycklar.
Uppdatering 6/16/2015:
Idag fick jag äntligen ett mail från LastPass om säkerhetsproblemet. Det är kort och ger inte mycket mer detalj än vad vi redan vet.
Kära LastPass-användare,
Vi ville varna dig för att nyligen upptäckte vårt team och omedelbart blockerade misstänkt aktivitet i vårt nätverk. Inga krypterade användarvalvdata togs, men andra data, inklusive e-postadresser och lösenordsminnelser, äventyras.
Vi är övertygade om att de krypteringsalgoritmer vi använder skyddar våra användare tillräckligt. För att ytterligare säkerställa din säkerhet kräver vi verifiering via e-post när du loggar in från en ny enhet eller IP-adress och uppmanar användarna att uppdatera sina huvudlösenord.
Vi ber om ursäkt för besväret, men i slutändan tror vi att detta bättre skyddar LastPass-användare. Tack för din förståelse, och för att använda LastPass.
Hälsningar,
The LastPass Team
Sammanfattningsvis verkar det inte vara något att göra panik om, eftersom lösenorden som lagras i ditt valv är väl skyddade och borde inte ha äventyras. Men du vill definitivt ändra ditt huvudlösenord och aktivera multifaktorautentisering så snart som möjligt.