パスワードサイト?LastPassはデータ侵害の警告

LastPassサイトがハッキングされた後、怪我をして、LastPassのマスターパスワードを更新することはほとんど不可能であることが判明しました;(ウェブサイト)

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

クラウドベースのパスワードセキュリティサイトであるLastPassでさえ、データ侵害の影響を受けません。

同社の最高経営責任者(CEO)であるJoe Siegristは、アカウントの電子メールアドレス、パスワードのリマインダー、ユーザー塩ごとのサーバー、および認証ハッシュが侵害されたというブログ記事を掲載しました。

しかし、同氏は、暗号化されたユーザーボールトのデータが取得されたという証拠は見つかっておらず、LastPassのユーザーアカウントもアクセスされているという。

盗まれたデータに関しては、Siegristは次のように書いている

PBKDF2-SHA256はパスワード強化アルゴリズムであり、効果的にLastPassのマスターパスワードをブルートフォース攻撃で破るのをより困難にします。また、PCや他のデバイスでマスターパスワードを暗号化キーに変換するためにも使用されます。

それは良いと思うが、十分ではない。弱いマスターパスワードでは、あなたはまだ危険です。 LastPassは、弱いマスターパスワードをすぐに更新し、他のサイトのパスワードを置き換えることを推奨しています。

では、弱いパスワードは何ですか?違反の発表に関するディスカッションのセクションでは、LastPass社のある従業員が、通常、英語の辞書で見つかる名前や何かのような “シングルワードパスワード”だと説明しました。

「これまでに他のウェブサイトで使用していたパスワードであれば、少しばらつきがあっても、それを更新することも重要です」と職員は述べています。

今すぐあなたのパスワードをすべて自動的に変更することができます;我々はLastPassのCEOにインタビューします:人価格と実際のtrut h; LastPassは解消し、パスワードなしで多くのユーザーを(うまくいけば、一時的に)

私はさらに行きます。どれくらい強くても、LastPassのマスターパスワードを今すぐリセットしてください。 LastPassなどのパスワード管理システムでは、誰かがあなたのマスターパスワードを持っていれば、あなたの他のすべてのパスワード(ソーシャルネットワーク、仕事、銀行、あなたが名前をつけたもの)は、取ってもらえます。

さらにパスワードを保護するため、LastPassは「マルチファクタ認証が有効になっていない限り、新しいデバイスやIPアドレスからログインしているすべてのユーザが自分のアカウントを電子メールで確認するように要求しています。

「追加の予防措置として、ユーザーにマスターパスワードの更新を促す予定です」とSiegrist氏は付け加えました。

LastPassはサイトのパスワードを変更する必要はないと考えています。これは、暗号化されたユーザーデータが取得されなかったためです。したがって、あなたのマスターパスワードが壊れていないかぎり、「LastPass保管庫に保管されているサイトでパスワードを変更する必要はありません。また、LastPassアカウントの追加保護のために、多因子認証を有効にすることをおすすめします。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

多くのLastPassユーザーは、この攻撃が金曜日に起きたことに注目していますが、月曜日まではこのことについて話されていませんでした。 (LastPassが首尾よく攻撃されたのは今回が初めてではありません。2011年にLastPassはデータを失うことなくロックダウンモードに入りました)。

実際、多くのLassPassユーザーは電子メール通知をまだ受け取っていません。多くのユーザーは、会社からではなく、オンラインサイトからのハックについてしか知りませんでした。

さらに、LastPassサーバーには負荷がかかります。 「パスワードをリセット」ページを過ぎていない人もいます。他の人たちはそれをもう少し遠くにして、次のようなメッセージを受け取りました: “おっと!私たちのサーバーはちょっとオーバーロードされています。

これで十分ではないし、もう一度試してみる価値がある。はい、PBKDF2-SHA256保護されたパスワードを破ることは容易ではありませんが、弱いパスワードと十分な時間と計算能力でそれを行うことができます。

LastPassの評判は打撃を受けている。私は、それがユーザーのアカウントではなく、その評判であり、傷つくことになることを願っています。

 物語

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命