23/06/2015

Użytkownicy LastPass muszą zmienić swoje hasła natychmiast

Porady Zagrożenia

Menedżer haseł online może znacznie ułatwić Ci życie poprzez automatycznie wprowadzanie poszczególnych haseł dla każdej strony i usługi, którą odwiedzasz. To bardzo wygodne narzędzie – chyba że jest zhakowane. Wówczas posiadając jedno hasło, cyberprzestępcy mogą uzyskać dostęp do bezcennych informacji, włącznie z danymi bankowymi.

keys_vk

LastPass, popularny menedżer haseł, poinformował niedawno o włamaniu internetowym. Atakujący zhakowali adresy e-mail użytkowników, narzędzia do przypominania haseł, ciągi zaburzające i zaszyfrowane dane związane z uwierzytelnianiem. Same hasła nie zostały złamane, ponieważ nie były przechowywane w chmurze. Niemniej jednak LastPass zaleca swoim użytkownikom zmianę ich haseł głównych do menedżera oraz włączenie uwierzytelniania wieloetapowego.

W całej tej sytuacji jest jednak pozytywny aspekt: gdy firma LastPass odkryła wyciek, natychmiast opublikowała informację prasową. Niestety wiele dużych firm utrzymuje podobne włamania w tajemnicy, co jest korzystne dla hakerów – ale na szczęście tu było inaczej.

Potencjalne konsekwencje wycieku wydają się być wątpliwe. Dyrektor generalny i założyciel LastPass, Joe Siegrist, twierdzi, że incydent nie będzie miał wpływu na „zdecydowaną większość użytkowników”. Opinię tę podzielają niektórzy badacze, deklarując, że nie są zagrożeni ci użytkownicy, którzy posiadali silne hasła.

Inni eksperci podejrzewają, że wyciek może spowodować nową falę szkodliwej aktywności wymierzoną bezpośrednio w użytkowników LastPass. Posiadając listę prawdziwych adresów e-mail, hakerzy mogą przeprowadzić ukierunkowaną kampanię phishingową, aby zdobyć brakujące dane. Na przykład firma LastPass radzi użytkownikom, aby zmienili swoje hasło główne.

Co zatrzyma cyberprzestępców przed wysyłaniem do użytkowników LastPass oszukańczych wiadomości, wyglądających jak oficjalne pisma? Gdy ktoś otrzyma podejrzane wiadomości z ostrzeżeniami i zaleceniami od „twórców aplikacji”, może zgodnie z instrukcją kliknąć link w celu zmiany hasła głównego — i oddać je prosto w ręce cyberprzestępców.

Porady dla użytkowników LastPass:

  1. Zmień swoje hasło główne i włącz uwierzytelnianie wieloetapowe. Byłoby idealnie, gdybyś mógł włączyć je na innych stronach – serwisach społecznościowych i kontach pocztowych.
  2. Nie klikaj odnośników w wiadomościach, które podszywają się pod LastPass. Mogą one być fałszywe, z tego powodu lepiej jest wprowadzić adres URL ręcznie w pasku adresu przeglądarki.
  3. Upewnij się, że Twoje hasło główne nie jest jednocześnie używane na jakiejś innej stronie. Zawsze lepiej jest używać różnych haseł dla różnych usług.

To nie pierwszy raz, gdy LastPass boryka się z kwestiami bezpieczeństwa. W zeszłym roku Uniwersytet Kalifornijski w Berkeley ujawnił luki bezpieczeństwa w pięciu menedżerach haseł: LastPass, RoboForm, My1Login, PasswordBox oraz NeedMyPassword.

Jak pewnie wiesz, nie istnieje idealne rozwiązanie bezpieczeństwa. Firma musi jednak wykazać się odwagą, wziąć na siebie odpowiedzialność i poinformować o wycieku, nie bacząc na ryzyko utraty klientów. Być może niektórzy użytkownicy LastPass będą chcieli zmienić firmę, a inni pozostaną lojalni bez względu na wydarzenia.

Jeśli poszukujesz menedżera haseł, możesz przyjrzeć się naszemu Kaspersky Password Manager. Nie przechowujemy haseł użytkowników, więc dane nie mogą zostać skradzione z serwerów Kaspersky Lab – bo zwyczajnie ich tam nie ma.

Co więcej, możesz zainstalować rozwiązanie Kaspersky Total Security — multi-device. Posiada ono wbudowanego menedżera haseł, jak również funkcje bezpieczeństwa, które ochronią Twoje urządzenia i dane przed znanym szkodliwym oprogramowaniem.