Huvud Övrig Varför ändrar jag INTE mitt LastPass-huvudlösenord

Varför ändrar jag INTE mitt LastPass-huvudlösenord



Nyheten att LastPass-nätverkssäkerhet har äventyrats är naturligtvis en allvarlig fråga. Att företaget som bryts mot var ett som tillhandahåller en lösenordshanteringstjänst skrattar upp allvaret med ett hack - eller tio. Så varför är jag, någon som har byggt en karriär på att skriva om IT-säkerhet och inte drar ut håret om det? Långt bortom det faktum att jag inte har någon att dra i, är LastPass-intrånget inte lika stort för vissa av oss som för andra.

none

Vi har inte funnit några bevis för att krypterade användardata har tagits eller att LastPass-användarkonton har nåtts, berättar en LastPass-talesman. Så vad handlar det om, kan du fråga - var är risken? Det är dubbelt så som jag ser det. För det första, eftersom e-postadresser och tillhörande lösenordspåminnelser har äventyrats, förväntar jag mig att se riktade nätfiskeförsök i form av falska meddelanden om återställning av huvudlösenord. Jag skulle vilja tro att jag inte skulle falla för dem.

hur man aktiverar 2fa i fortnite

När det gäller den andra risken kommer svaga huvudlösenord för närvarande att vara föremål för brute-force cracking försök, med tillstånd av servern per användare salter och autentisering hashes nås. När det gäller sådana krackningsförsök går det faktum att LastPass stärker dessa autentiseringshashar med ett slumpmässigt salt och kastar in ytterligare 100 000 omgångar PBKDF2-SHA256 på serversidan för gott mått gör det svårare att bryta dem. Men om huvudlösenordet är dåligt kommer det fortfarande att vara öppet för brute-force attacker; det tar bara lite mer tid att knäcka det.

Så LastPass tvingar en ändring av huvudlösenord på de flesta användare och ber om verifiering av e-post från de som loggar in från en ny enhet eller IP-adress. Jag kommer dock inte att ändra mitt huvudlösenord, inte heller har jag (låt oss titta) i 442 dagar nu eftersom det är slumpmässigt, det är komplext, det är mer än 25 tecken långt, det används inte någon annanstans, och jag kan komma ihåg det av hjärtat. Dessutom säkerhetskopieras det av följande två magiska ord: multifaktorautentisering.

bom! För mig är allt detta försök att komma in i LastPass-nätverkets periferi för ingenting eftersom jag använder ett starkt huvudlösenord som backas upp av multifaktorautentisering. Även om mitt huvudlösenord på något sätt komprometterades skulle angriparen då behöva komma åt min YubiKey (en fysisk token) för att dekryptera mitt lösenordsvalv. Dessa avancerade inställningar är gratis att använda och har varit tillgängliga för användare under en tid - plus, du behöver inte köpa en YubiKey; Du kan använda en gratis nedladdningsbar app som Google Authenticator om du vill. Varför skulle du inte använda tvåfaktorautentisering (2FA) på någon webbplats eller tjänst där den erbjuds? Nej seriöst?

På tal om avancerade inställningar finns det en annan som jag använder som ger mig ännu ett förtroende för att mina data är ganska säkra med LastPass, och det är en geografisk åtkomstlåsning. Du kan ställa in landsbegränsningar som gör att du kan bestämma i vilka länder ditt lösenordsvalv kommer åt. Jag håller detta låst till Storbritannien om jag inte reser utomlands, i vilket fall jag aktiverar den specifika platsen innan jag avgår. Åh, och jag tillåter inte inloggningar från Tor-nätverk heller. Paranoid, moi? Nej, bara förnuftigt att begränsa åtkomst till dessa nycklar till riket. Som du borde vara också.

Det som oroar mig mest om LastPass-kompromissen är inte, konstigt nog, kompromissen själv utan svaret på den; och särskilt media - både professionellt och socialt. Det verkar finnas en underliggande känsla av glädje när man sparkar LastPass, och massor av berättade så typiska rapporter. Men vad sa du exakt? Vad har exakt hänt här? Inga krypterade lösenordsdata har äventyrats så långt vi kan se, och LastPass har varit ganska transparent när det gäller att avslöja händelsen och sätta steg för att ytterligare säkerställa användarnas förtroende.

Vad skulle media som inte säger oss göra? Återgå till penna och papper, eller kanske en mer teknisk kryptering själv lösning? Jag har sett båda föreslagna och varken minskar risken för den genomsnittliga Joe, bara tvärtom. Kanske flytta till en annan lösenordshanteringsleverantör? Återigen, hur hjälper det när du inte vet hur de skulle svara när - inte om - de får ett brott? Du vet åtminstone att LastPass är på bollen när det gäller brottrespons.

För mig förblir en lösenordshanterare det säkraste alternativet för de flesta, och om du följer min ledning och kombinerar ett starkt huvudlösenord med multifaktorautentisering och några inloggningsalternativ minskar du risken för kompromisser så mycket som det är mänskligt möjligt.

Och det, kära läsare, är anledningen till att jag inte behöver ändra mitt huvudlösenord; eller min lösenordshanterare för den delen.

Intressanta Artiklar