|
Едни от най-честите съвети, които може да чуете или прочете от специалисти по инфозащита по отношение на авторизирането ви в интернет ресурси и услуги е да ползвате сложни пароли, да не използвате една и съща парола за множество сайтове, а така също да ползвате организатори (мениджъри) на пароли, което от своя страна улеснява спазването на предните два съвета. Макар и вероятно да има хора, които могат да запомнят пароли от типа на $-hU_8^@c44.a!J, някои - като мен например - не са особено добри в помненето на подобни символни редове. Ето защо организаторите на пароли са особено практични инструменти в онлайн ежедневието ни. Какво става обаче, когато тези инструменти биват компрометирани?"Скъпи LastPass потребителю, бихме искали да ви информираме, че наскоро нашият екип откри и незабавно блокира подозрителна активност в нашата мрежа. Не са достигнати данни от хранилищата на потребители. Само че други данни, включително имейл адреси и полетата с напомняния за пароли, са били компрометирани. Ние сме убедени, че алгоритмите по криптиране, които използваме са достатъчни да защитим нашите потребители", и така нататък. Уверява писмото изпратено вчера (или тази сутрин - в зависимост от това в коя точка на света се намирате) от администриращите сайта на LastPass.От блога на компанията Джо Сигрист, изпълнителен директор на LastPass и създател на услугата, също съобщава за пробив в системата, който е бил засечен в петък. Той уточнява, че макар и да не са достигани потребителските акаунти, то са компрометирани потребителските имейл адреси, както и автентикационните хешове. Сигрист призовава потребителите на услугата да сменят своята главна парола възможно най-скоро. И разбира се, ако използвате тази парола за влизане в някой сайт, да я смените. Ако ще сменяте своята парола скоро, нужно е да знаете, че трябва да го направите от устройство или IP, от което и преди сте достигали LastPass акаунта си. В противен случай ще трябва да се верифицирате по имейл, че този, който сменя паролата сте именно вие.Макар и засечен в петък, остава неизвестно, дали атакуващите мрежата на LastPass не са я били компрометирали от по-рано. Освен това, макар и уверенията, че главните пароли са "осолени" и защитени допълнително, то вземайки предвид това, че са достигнати базите данни с имейлите на потребителите, атакуващите могат да се опитат да познаят главните пароли на потребителите. Ако те са слаби (да речем "123456"), то те имат проблем, а атакуващата страна може лесно да достигне до изключително ценна информация (данни за вписването в банкови акаунти, профили в социални мрежи, електронни услуги, офис портали и др.). От LastPass споделят, че са информирали съответните служби и са се свързали с външни специалисти за помощ, което е похвално, но въпросът за времето на атаката и съобщаването за пробива остава. Така мисли и Джоузеф Боно, специалист по криптография от Станфорд. Пред WIRED той коментира, че ако атаката е била с по-ранна дата, даже и потребителите, ползващи силна парола не са защитени.Очаквайте подробности по случая. |
|
