Lastpass bị hack: đây là những gì bạn cần làm

Chúng tôi đã yêu LastPass rất nhiều đến nỗi chúng tôi thực sự đã gọi nó là Trình quản lý mật khẩu tốt nhất. Vì vậy, khi câu chuyện về vụ hack nổ ra cách đây một thời gian, tất cả chúng ta đều ở trong tình trạng sốc. Nhưng, điều đó có nghĩa là mọi người nên bỏ LastPass và sử dụng cái gì khác? Mật khẩu của bạn có an toàn trong đám mây không? Chúng ta có thể tin tưởng công ty một lần nữa? Đó là những gì chúng tôi đang cố gắng tìm hiểu.

Đừng hoảng sợ

Không cần phải nói, đây là điều đầu tiên cần phải làm. Hoảng loạn, hoặc tệ hơn, lan truyền thông tin sai lệch qua bất kỳ phương tiện nào, không phải là cách đúng đắn để đối phó với bất kỳ khủng hoảng nào. Mặc dù cảm thấy sợ hãi khi bạn đọc một tin tức như thế này là điều tự nhiên, bạn phải nhận ra rằng sự hoảng loạn không cần thiết chỉ không phục vụ cho bất kỳ mục đích nào. Trong bài đăng trên blog của họ, LastPass đã nói rõ và tôi xin trích dẫn,

Trong cuộc điều tra của chúng tôi, chúng tôi đã không tìm thấy bằng chứng nào cho thấy dữ liệu kho tiền của người dùng được mã hóa cũng như tài khoản người dùng LastPass được truy cập.

Vâng, nó tiếp tục nói rằng

Tuy nhiên, cuộc điều tra đã chỉ ra rằng các địa chỉ email tài khoản LastPass, lời nhắc mật khẩu, máy chủ cho mỗi muối của người dùng và băm xác thực đã bị xâm phạm.

Nhưng, điều này có nghĩa là gì, bạn yêu cầu? Nói một cách đơn giản, điều đó có nghĩa là trong khi tất cả mật khẩu của bạn an toàn, thông tin khác có thể không được. Trong đó, một lần nữa, bài viết trên blog đã nêu một vài lời khuyên hữu ích.

Có, dữ liệu từ các trình quản lý mật khẩu được lưu trữ trên đám mây, nhưng thông tin được mã hóa ngay trên máy tính của bạn. Và mặc dù kiến ​​trúc điện toán đám mây có rủi ro nhỏ, bạn vẫn có thể yên tâm khi biết rằng tất cả dữ liệu được mã hóa không bao giờ được lưu trữ ở đó. Bao gồm tất cả mật khẩu của bạn.

Mẹo hữu ích: Kiểm tra Hướng dẫn cơ bản về mật khẩu của chúng tôi để biết mọi thứ về cách tạo và quản lý mật khẩu trên internet.

Phòng ngừa bao giờ cũng tốt hơn chữa bệnh

Câu ngạn ngữ cũ này không bao giờ có thể phù hợp hơn trong những thời điểm internet rình mò và mất quyền riêng tư. Dưới đây là một số bước mà bạn nên tuân theo khi nói đến tài khoản LastPass của mình, để đảm bảo bạn không bị mất ngủ vì những sự cố như vậy.

Thay đổi mật khẩu chủ

Để thay đổi Mật khẩu chính của LastPass, chỉ cần nhấp vào Tùy chọn, nơi bạn sẽ tìm thấy phần Cài đặt tài khoản ở bên trái. Nhấp vào đó sẽ cung cấp cho bạn tùy chọn Nhấp vào đây để khởi chạy cài đặt tài khoản như hiển thị bên dưới.

Nhấp vào đó sẽ mở một tab mới, trong đó tất cả những gì bạn cần làm là nhấn nút Change Master Password và đi đến một sự thay thế mới hơn (và mạnh hơn).

Đó là nó, bước quan trọng nhất mà bạn nên làm sau khi sự cố này được thực hiện!

Xác thực 2 yếu tố và các tùy chọn bảo mật khác

Chúng tôi cảm thấy nên sử dụng Xác thực 2 yếu tố bất cứ khi nào có thể và đặc biệt là ở những nơi lưu trữ dữ liệu nhạy cảm. LastPass hoàn toàn chính xác khi đề xuất sử dụng dịch vụ này và chúng tôi cảm thấy rằng bạn nên làm điều này ngay lập tức, sau khi thay đổi mật khẩu chính của bạn. Trên thực tế, trong khi bạn đang ở đó, hãy xem xét thêm Yếu tố xác thực 2 bước cho tất cả các dịch vụ bạn sử dụng chứa dữ liệu nhạy cảm.

Trong LastPass, bạn sẽ tìm thấy Tùy chọn đa nhân trong Cài đặt tài khoản (xem bên trên). Đây là nơi bạn sẽ tìm thấy các tùy chọn để bảo mật hơn nữa tài khoản LastPass của mình. Bạn cũng sẽ thấy tùy chọn Xác thực lưới mà chúng tôi đã viết trước đây.

Hạn chế dựa trên quốc gia

Một lớp bảo mật khác mà LastPass yêu cầu người dùng khám phá là chính sách hạn chế dựa trên quốc gia. Sau khi được bật, điều này sẽ chỉ cho phép các thiết bị có nguồn gốc từ quốc gia cư trú của bạn truy cập dữ liệu LastPass của bạn. Nếu một thiết bị từ bất kỳ quốc gia nào khác cố gắng truy cập vào thiết bị, chúng sẽ hiển thị thông báo lỗi. Chúng tôi đã đề cập đến điều này rất chi tiết và bạn chắc chắn nên đọc nó, nếu bạn chưa có.

Vẫn lo lắng?

Đừng như vậy. Không còn gì để làm ở đây nữa. LastPass đã cập nhật bảo mật của họ và đã nhắc nhở người dùng được xác minh qua email, nếu họ đang sử dụng một thiết bị mới hoặc IP mới. Để xác minh điều này, chúng tôi đã thử chỉ điều đó và rất vui khi báo cáo rằng bước này hoạt động đúng như quảng cáo.

Người dùng hiện tại cũng được nhắc thay đổi Mật khẩu chủ của họ, nhưng ngay cả khi bạn không nhận được lời nhắc đó, chúng tôi vẫn khuyên bạn nên làm điều đó. Cuối cùng, chúng tôi muốn trích dẫn Jeremi Gosney (một chuyên gia bảo mật mật khẩu của Stricture Group), người đã nói chuyện với Ars Technica về vụ hack -

Trên NVIDIA GTX Titan X, hiện là GPU nhanh nhất để bẻ khóa mật khẩu, kẻ tấn công sẽ chỉ có thể thực hiện ít hơn 10.000 lần đoán mỗi giây cho một lần băm mật khẩu. Đó là chậm thích hợp! Ngay cả mật khẩu yếu cũng khá an toàn với mức độ bảo vệ đó (trừ khi bạn đang sử dụng mật khẩu yếu một cách vô lý.) Và điều này thậm chí không tính đến số lần lặp phía máy khách, có thể định cấu hình được cho người dùng. Mặc định là 5.000 lần lặp, vì vậy tối thiểu chúng tôi đang xem xét 105.000 lần lặp. Tôi thực sự có bộ của tôi được đặt thành 65.000 lần lặp, vì vậy đó là tổng cộng 165.000 lần lặp bảo vệ cụm mật khẩu Diceware của tôi. Vì vậy, không, tôi chắc chắn không đổ mồ hôi vi phạm này. Tôi thậm chí không cảm thấy bắt buộc phải thay đổi mật khẩu chủ của mình.

Trên thực tế, khá nhiều thành viên trong nhóm của chúng tôi sử dụng công cụ này và chúng tôi đã thực hiện chính xác những điều mà chúng tôi đã nêu ở trên. Và bây giờ chúng tôi muốn truyền bá kiến ​​thức đến càng nhiều người càng tốt.

Bạn muốn thử lựa chọn thay thế?

Được rồi, nếu bạn cảm thấy rằng bạn đã mất niềm tin vào LastPass vì tất cả điều này, thì tất nhiên, luôn có những lựa chọn thay thế. Nếu bạn sẵn sàng đầu tư một ít tiền (và một số niềm tin đã mất) thì luôn có 1Password. Đó là các biện pháp kiến ​​trúc và bảo mật tương tự khi chơi, nhưng Agilebits, công ty đứng sau 1Password, có hồ sơ theo dõi tốt hơn LastPass. Do đó, chúng tôi có nghĩa là nó chưa bao giờ bị hack. Không được báo cáo, chính xác hơn. Chưa.

Chuyển mật khẩu của bạn trong iOS: Thật dễ dàng để chuyển dữ liệu của bạn từ LastPass sang 1Password cho iOS, khi bạn đọc bài viết hữu ích của chúng tôi về nó.

Nếu bạn không muốn chi tiêu bất cứ điều gì, thì có một sự thay thế miễn phí. Nó được gọi là KeepPass và nó cũng là nguồn mở. Và chúng tôi cũng đã viết một hướng dẫn để chuyển mật khẩu LastPass của bạn sang Keepass.

Mặc dù nó không tiện lợi như 1Password, nhưng nếu bạn sẵn sàng chơi xung quanh, một vài plugin có thể được thêm vào để phù hợp với chức năng của máy ngang hàng trả phí của nó. Mặc dù vậy, nó cần một chút kiên nhẫn, vì vậy hãy chuẩn bị.

2 lon của chúng tôi

Rất dễ đổ lỗi cho một công ty và nói rằng họ không cẩn thận với dữ liệu của bạn. Nhưng điều đó cũng tốt như đổ lỗi cho các ngân hàng khi có một vụ cướp. Mọi người đã không ngừng đặt tiền của họ ở đó và bạn cũng không nên ngừng tin tưởng người quản lý mật khẩu, chỉ vì một người đã bị hack.

Chúng tôi thậm chí không nói rằng an ninh là lỏng lẻo trên phần của LastPass, nhưng họ chắc chắn cần phải kéo tất lên. Đây không phải là lần đầu tiên một mối đe dọa được phát hiện trong hệ thống của họ, nhưng cả hai lần không có gì lớn bị đánh cắp / mất. Họ đã hành động nhanh chóng và kịp thời thông báo cho người dùng và đã xử lý vấn đề bảo mật dẫn đến việc này. Với một chút đề phòng bản thân, bạn có thể đảm bảo trạng thái tâm trí vui vẻ hơn nhiều. Nếu bạn có thể dành toàn bộ thời gian để suy nghĩ về số dư ngân hàng của mình, chúng tôi chắc chắn bạn có thể dành một vài suy nghĩ cho các mật khẩu để giữ chúng an toàn không?