LastPass взломан: настало время менять пароли

LastPass взломан: настало время менять пароли

Администрация популярного среди пользователей Интернета сервиса хранения паролей LastPass в своей официальном блоге заявила о том, что стала жертвой хакерской атаки. Напомним, данный менеджер паролей дает возможность использования на различных веб-страницах сложные генерируемые пароли, при этом пользователю необходимо держать в голове лишь один мастер-пароль. Гендиректор сервиса рассказал о том, что на их серверах был обнаружен несанкционированный доступ, вследствие чего была замечена подозрительная активность. В итоге сервера LastPass были скомпрометированы, а хакерам удалось унести с собой в качестве добычи все ответы, которые LastPass спрашивает при восстановлении сохраненных паролей, мастер-пароли в зашифрованном виде, а также все e-mail пользователей менеджера паролей.

Поэтому разработку и проектирование подобных проектов, рассчитанных на массовое использование, стоит доверять профессионалам. Если, к примеру, стоит вопрос создания сайта в Санкт-Петербурге, рекомендуется обратиться к Pro Studio, которые не только качественно создадут, но и не менее качественно продвинут сайт. В результате руководство LastPass делает попытки держаться в такой неприятной ситуации и надеется, по его словам, на стойкость зашифрованных мастер-паролей - у хакеров помимо самих мастер-паролей имеются после удачной атаки и "соли" с хешами. По словам администрации, для усиления хешей паролей были использованы такие методы, как сто тысяч циклов PBKDF2-SHA256 наряду со random-значением "соли". Действительно, компании LastPass лишь остается надеяться на то, что злоумышленникам не удастся взломать мастер-пароли.

Кроме вышеуказанных превентивных мер компания также предприняла и привычные традиционные действия для таких случаев: исключительно всем было строго рекомендовано сменить мастер-пароли, а если же не включена двухшаговая авторизация, то при входе с другого MAC или IP-адреса будет предложено подтвердить данные аккаунта. Среди прочих рекомендаций находятся и активация двухшаговой авторизации, а вот менять пароли, сохраненные в сервиса, не требуется. Как известно, адреса почтовых ящиков повсеместно используются для проведения фишинг-атак - мошенники рассылают письма, в которых якобы администрация некоторого ресурса просит о вводе некоторых дополнительных сведений - в итоге пользователь лишается своих учетных данных. Не секрет, что эксперты в области IT-безопасности не слишком то и сильно пылают любовью к сервисам хранения паролей - ведь с одной стороны, они дают возможность использовать для разных сайтов не один, а разные сложные пароли, не утруждая пользователя помнить их всех. Однако если посмотреть на это с другой стороны, теоретический взлом всех мастер-паролей подобных сервисов даст просто неограниченное количество скомпрометированных данных - надеемся, шифрование защитит пользователей до того, как они успеют поменять мастер-пароли.


Карта сайта


Информационный сайт Webavtocat.ru