LastPass Hacked: Endre hovedpassordet ditt, aktiver multifaktorautentisering

LastPass la i dag ut en sikkerhetsvarsel på bloggen sin, og la brukerne vite at serverne ble hacket og at noen data ble stjålet. Her er en titt på hva LastPass sa, hvordan du endrer hovedpassordet ditt og aktiverer multifaktorautentisering for godt mål.

LastPass Hacket

I en blogg innlegg, LastPass ga noen begrensede detaljer om hva som skjedde:

Vi vil varsle samfunnet vårt om at fredag ​​oppdaget og blokkerte teamet vårt mistenkelig aktivitet i nettverket vårt. I vår undersøkelse har vi ikke funnet noen bevis for at det ble tatt krypterte brukerhvelvingsdata, og heller ikke at LastPass-brukerkontoer ble åpnet. Undersøkelsen har imidlertid vist at e-postadresser til LastPass-kontoen, påminnelser om passord, server per brukersalt og autentiseringshasjer ble kompromittert.

Vi er sikre på at krypteringstiltakene våre er tilstrekkelige for å beskytte de aller fleste brukere. LastPass styrker autentiserings hash med et tilfeldig salt og 100 000 runder med serversiden PBKDF2-SHA256, i tillegg til de rundene som er utført klientsiden. Denne ekstra forsterkningen gjør det vanskelig å angripe de stjålne hasjene med betydelig hastighet.

Selskapet sa også: "Vi krever at alle brukere som logger seg på fra en ny enhet eller IP-adresse først verifiserer kontoen sin via e-post, med mindre du har aktivert multifaktorautentisering. Som en ekstra forholdsregel vil vi også be brukerne oppdatere hovedpassordet. "

En ting som er ganske irriterende for mange brukere, er at de finner ut om denne nyheten på nettsteder. Som selskapet også sa i sitt innlegg at e-post blir sendt til alle brukere om sikkerhetshendelsen. I skrivende stund har jeg ikke mottatt en, og av utseendet til kommentarene på LastPass-bloggen har heller ikke mange andre brukere.

Endre passordet ditt LastPass

Hvis du vil endre hovedpassordet, og klikke på Kontoinnstillinger fra venstre rute.

I vinduet Kontoinnstillinger klikker du deretter på Endre hovedpassord under delen Innloggingsinformasjon.

Dette fører deg til siden Tilbakestill passord der du bare kan følge instruksjonene på skjermen for å endre hovedpassordet. Under prosessen vil LastPass kryptere alt på nytt, og sende deg en bekreftelsesmail som du endret master.

Aktiver MultiFactor-godkjenning for LastPass

Mens du er inne på det, anbefaler vi at du aktiverer multifaktor-autentisering for LastPass-kontoen din. Det gir et ekstra lag med sikkerhet til kontoen din, og vil gi deg mer trygghet om at passordene dine er sikre.

I uttalelsen i dag sa LastPass: "Vi krever at alle brukere som logger på fra en ny enhet eller IP-adresse først verifiserer kontoen sin via e-post, med mindre du har multifaktor-godkjenning aktivert.”

Vi viste deg hvordan du gjør det Aktiver LastPass-tofaktorautentisering for noen år siden. Prosessen er ekstremt enkel, og det er ingen bedre måte å sikre LastPass-kontoen på. Ærlig talt, i det elektroniske klimaet vi har i dag, er det ikke lenger valgfritt å aktivere tofaktorautentisering hvis du ønsker å sikre dine online kontoer sikre. Vi har snakket om dette grundig her på groovyPost, og vi planlegger å fokusere på dette enda mer de kommende ukene.

For å aktivere tofaktor- eller multifaktor-godkjenning i Lastpass, bare gå til Kontoinnstillinger> Multifaktoralternativer og velg metoden du vil bruke... Google Authenticator er sannsynligvis den enkleste.

Det er andre tjenester brukere som har en Premium-konto ($ 12 / år) kan bruke som fingeravtrykkskannere og USB-nøkler.

Oppdatering 6/16/2015:

I dag fikk jeg endelig en e-post fra LastPass om sikkerhetsspørsmålet. Det er kort og gir ikke mye mer detalj enn det vi allerede vet.

Kjære LastPass-bruker,

Vi ønsket å varsle deg om at nylig oppdaget teamet vårt og blokkerte mistenkelig aktivitet i nettverket vårt. Ingen krypterte data om brukerhvelv ble tatt, men andre data, inkludert e-postadresser og passordpåminnelser, ble kompromittert.

Vi er sikre på at krypteringsalgoritmene vi bruker vil beskytte brukerne våre tilstrekkelig. For ytterligere å sikre din sikkerhet, krever vi bekreftelse via e-post når vi logger på fra en ny enhet eller IP-adresse, og ber brukerne oppdatere hovedpassordene sine.

Vi beklager ulempene, men til slutt tror vi at dette vil beskytte LastPass-brukere bedre. Takk for din forståelse, og for at du bruker LastPass.

hilsen,
LastPass-teamet

Totalt sett ser det ikke ut til å være noe å få panikk over da passordene som er lagret i hvelvet ditt er godt beskyttet og ikke burde vært kompromittert. Imidlertid vil du definitivt ønske å endre hovedpassordet ditt og aktivere multifaktorautentisering så snart som mulig.