LastPass compromesso: modifica della password principale, abilitazione dell'autenticazione a più fattori

LastPass ha rilasciato oggi un avviso di sicurezza sul suo fileblog che informa gli utenti che i suoi server sono stati violati e alcuni dati sono stati rubati. Ecco uno sguardo a ciò che ha detto LastPass, come cambiare la tua password principale e abilitare l'autenticazione a più fattori per una buona misura.

LastPass compromesso

In un post sul blog, LastPass ha fornito alcuni dettagli limitati su ciò che è accaduto:

Vogliamo informare la nostra comunità che venerdì,il nostro team ha scoperto e bloccato attività sospette sulla nostra rete. Nella nostra indagine, non abbiamo trovato prove che siano stati acquisiti dati crittografati del vault dell'utente, né che sia stato effettuato l'accesso agli account utente LastPass. L'indagine ha mostrato, tuttavia, che gli indirizzi e-mail degli account LastPass, i promemoria delle password, i server per utente e gli hash di autenticazione sono stati compromessi.

Siamo fiduciosi che le nostre misure di crittografia lo sianosufficiente per proteggere la stragrande maggioranza degli utenti. LastPass rafforza l'hash di autenticazione con un salt casuale e 100.000 round di PBKDF2-SHA256 lato server, oltre ai round eseguiti lato client. Questo rafforzamento aggiuntivo rende difficile attaccare gli hash rubati con una velocità significativa.

La società ha anche affermato: "Chiediamo tutto questogli utenti che accedono da un nuovo dispositivo o indirizzo IP verificano prima il proprio account tramite e-mail, a meno che non sia abilitata l'autenticazione a più fattori. Come ulteriore precauzione, chiederemo anche agli utenti di aggiornare la propria password principale ".

Una cosa che è piuttosto irritante per moltiutenti è che stanno trovando questa notizia sui siti web. Come ha anche affermato la società nel suo post che vengono inviate e-mail a tutti gli utenti sull'incidente di sicurezza. Al momento in cui scrivo, non ne ho ricevuto uno e, a giudicare dai commenti sul blog LastPass, non ho nemmeno molti altri utenti.

Cambia la tua password principale LastPass

Per modificare la password principale e fare clic su Impostazioni account dal riquadro di sinistra.

Quindi, nella finestra Impostazioni account, fare clic su Modifica password principale nella sezione Credenziali di accesso.

Questo ti porterà alla pagina di reimpostazione della passworddove puoi semplicemente seguire le istruzioni sullo schermo per cambiare la tua password principale. Durante il processo, LastPass crittograferà nuovamente tutto e ti invierà un'e-mail di verifica che hai cambiato il master.

Abilita l'autenticazione a più fattori per LastPass

Già che ci sei, ti consigliamo di abilitareautenticazione a più fattori per il tuo account LastPass. Aggiunge un ulteriore livello di sicurezza al tuo account e ti darà più tranquillità che le tue password siano al sicuro.

Nella sua dichiarazione odierna, LastPass ha affermato: "Chiediamo a tutti gli utenti che accedono da un nuovo dispositivo o indirizzo IP di verificare prima il proprio account tramite e-mail, a meno che non autenticazione a più fattori abilitato."

Ti abbiamo mostrato come abilitare LastPass Two FactorAutenticazione qualche anno fa. Il processo è estremamente semplice e non c'è modo migliore per proteggere il tuo account LastPass. Onestamente, nel clima online che abbiamo oggi, abilitare l'autenticazione a due fattori non è più facoltativo se vuoi proteggere i tuoi account online. Ne abbiamo parlato in modo approfondito qui a groovyPost e abbiamo intenzione di concentrarci ancora di più su questo nelle prossime settimane.

Per abilitare l'autenticazione a due fattori oa più fattori in Lastpass, vai su Impostazioni account> Opzioni multifattore e seleziona il metodo che desideri utilizzare ... Google Authenticator è probabilmente il più semplice.

Ci sono altri servizi che gli utenti che hanno un account Premium ($ 12 / anno) possono utilizzare come lettori di impronte digitali e chiavi USB.

Aggiornamento 16/06/2015:

Oggi ho finalmente ricevuto un'e-mail da LastPass sul problema di sicurezza. È breve e non fornisce molti più dettagli di quelli che già sappiamo.

Gentile utente LastPass,

Volevamo avvisarti che, di recente, il nostro teamscoperto e immediatamente bloccato attività sospette sulla nostra rete. Non sono stati acquisiti dati crittografati del vault utente, tuttavia altri dati, inclusi indirizzi e-mail e promemoria password, sono stati compromessi.

Siamo fiduciosi che gli algoritmi di crittografiache usiamo proteggeremo sufficientemente i nostri utenti. Per garantire ulteriormente la tua sicurezza, richiediamo la verifica tramite e-mail quando si accede da un nuovo dispositivo o indirizzo IP e chiederemo agli utenti di aggiornare le proprie password principali.

Ci scusiamo per l'inconveniente, ma alla fine riteniamo che questo proteggerà meglio gli utenti di LastPass. Grazie per la tua comprensione e per aver utilizzato LastPass.

Saluti,
Il team di LastPass

Nel complesso, questo non sembra essere nulla perpanico perché le password archiviate nel tuo vault sono ben protette e non avrebbero dovuto essere compromesse. Tuttavia, vorrai sicuramente cambiare la tua password principale e abilitare l'autenticazione a più fattori il prima possibile.